מסחור מתקפות הסייבר ועליית ה'גישה כ-שירות'

השימוש במודלים של as-a-service הפך את הגישה הראשונית למצרך יסוד, סוג של קומודיטי, במהלך תקיפה ● מה המשמעות עבור המגינים?

לביא לזרוביץ, מנהל המחקר בסייברארק.

פשיעה במרחב הקיברנטי עברה תהליך התבגרות והפכה למגזר עסקי מקצועי ביותר. עם גיבוי חזק מצד ארגוני פשע מאורגן ואף ממשלות, קבוצות רבות של ארגוני פשע קיברנטי – כמו קבוצות המפיצות תכנות כופרה – נראות לעיתים כמו כל עסק אחר, עם היררכיה ארגונית, צוותי שיווק ומחלקות משאבי אנוש.

תעשיית המחתרת פיתחה יכולות שמאפשרות לה להרחיב ולגוון פעילות, והפכה לחלק מכלכלת השירותים המנוהלים שגדלה במהירות. אז כשהגישה לארגון הופכת לקומודיטי, מהי המשמעות עבור המגינים?

קבוצות התקיפה השיגו גישה לכלי הפיתוח, לתשתיות ולמשאבים אחרים הדרושים להרחבת דרכי הגישה שלהן. כיום, הרשת האפלה שופעת בזירות מסחר ופורומים מחתרתיים, בהם אפשר לקנות או לחכור כלים ושירותים זדוניים

הטרנספורמציה של הפשיעה במרחב הקיברנטי שינתה את מגרש המשחקים

ארגונים לגיטימיים בכל התעשיות יוזמים בשנים האחרונות פרוייקטי טרנספורמציה גדולים של תשתיות ה-IT, כולל ענן, אוטומציה, DevOps, עבודה היברידית, ועוד. רבים מהם עושים זאת בעזרת שירותים מנוהלים. ארגוני פשע קיברנטי אינם יוצאי דופן וגם הם מאמצים לאחרונה מודלים של 'as-a- service', כשהעלייה המטאורית בשירותי הענן האיצה את השינוי הזה.

קבוצות התקיפה השיגו גישה לכלי הפיתוח, לתשתיות ולמשאבים אחרים הדרושים להרחבת דרכי הגישה שלהן. כיום, הרשת האפלה שופעת בזירות מסחר, כגון AlphaBay, ובפורומים מחתרתיים, כמו xss[.]is ו-exploit[.]in, בהם אפשר לקנות או לחכור כלים ושירותים זדוניים. כתוצאה, לקוחות עם ניסיון מועט בפיתוח תוכנות זדוניות יכולים למצוא וירטואלית את כל הדרוש להם, כמוצר מדף, ולשלם אנונימית במטבעות דיגיטליים.

הפך לנפוץ גם בסייבר. מודל כ-שירות.

הפך לנפוץ גם בסייבר. מודל כ-שירות.

תוכנת כופר כשירות והמורשת של Conti

מודלים של כופרה כשירות (Ransomware-as-a-service) – לפיהם גופים מתוחכמים מפתחים תוכנה זדונית ומוכרים אותה כשירות למטרת סחיטה, או שוכרים אחרים שיעשו את העבודה המלוכלכת עבורם – התבררו כמשתלמים במיוחד.

מבין זני תוכנות הכופר שזיהו מעבדות סייברארק (CyberArk Labs), שתי משפחות של תוכנות כופר – Conti ו-LockBit – הגיעו לראש רשימת עשר הנפוצות ביותר, על פי מספר הווריאנטים שזוהו בשטח.

קבוצת Conti הייתה מפעילת RaaS מתוחכמת ומסוכנת במיוחד. היא התפרסמה בעקבות הסתננות לארגונים ברחבי העולם ולאחר שחימשה את החולשה הידועה Log4j. ואולם, מתחים גאו-פוליטיים העכירו את הקשרים בין הצדדים והובילו לדליפת מידע עצומה בטוויטר בתחילת 2022.

הנתונים, שנותחו על-ידי מעבדות סייברארק, חשפו מידע על מנגנון הפעולה הפנימי של הקבוצה, לרבות הטקטיקות, הטכניקות והתהליכים שבהם נהגה להשתמש, ואת קוד המקור לתוכנה וכלי כופר. הקבוצה סגרה כנראה את פעילותה במאי 2022. ואולם, על סמך דו"חות מודיעין איומים מעודכנים, אנשיה חזרו לפעילות. בנוסף, קבוצות עברייניות אחרות יכלו להשתמש בחומרים שהודלפו לטובת פיתוח סוגי RaaS משלהן.

קבוצות RaaS מאורגנות מציעות כיום שירותים תומכים לעסקים שנפלו קורבן למתקפות סייבר, כגון: שירותי ניהול מו"מ, בוררות במחלוקות פיננסיות, ומרכזי תמיכה הפועלים סביב השעון. והן ממשיכות לחדש, כדי לשפר את שורת הרווח. לדוגמה, בשנה שעברה החלה קבוצת Conti למכור גישה לרשתות של הקורבנות, על מנת שקבוצות אחרות יוכלו לצאת במתקפות המשך, ומספר הסחיטות המשולשות, בטכניקת REvil הפופולרית, ממשיך לעלות.

עליית 'הגישה כ-שירות' והשלכותיה המרחיקות-לכת

שימוש ב-RaaS מאפשר למפעילי תוכנות כופר להתמקד במינוף הגישה שהשיגו או רכשו כדי להרוויח יותר כסף והשפעה, במקום לכתוב נוזקה משלהם. כשם שכל אחד יכול לקנות מהם ערכת RaaS, כל אחד יכול גם לחפש גישת RDP (פרוטוקול חיבור לשולחן עבודה מרחוק) בדארקנט תמורת סכומים פעוטים, מדולר עד 10 דולרים.

בשנים האחרונות, גישה מרחוק הפכה למצרך יסוד, קומודיטי. מתקפות על עובדים מרוחקים, ספקי צד שלישי ופורטים חשופים של RDP קורות כמעט כל הזמן. הרשאות לשולחנות עבודה מרוחקים משמשות פעמים רבות במתקפות כופר, כמו ב-Conti, כדי לאפשר לתוקפים גישה ראשונית ותנועה רוחבית. מגמה זו מעמידה  את הנושא של גניבת הרשאות בראש רשימת סיכוני הסייבר הארגוניים.

גישה שמחירה נמוך, לפי דרישה, לזהויות אנושיות או זהויות מכונה, מספקת לתוקפים בכל הרמות הזדמנויות רבות שהן הרבה מעבר לתוכנות כופר.

מודל ה'גישה כ-שירות' (Access-as-a service) מספק דרך לגיטימית להשיג דריסת רגל בארגון. היכולת להשיג זהויות פריבילגיות ללא השקעת מאמץ רב היא יתרון עצום לתוקפים. ברגע שהושג מרכיב הזהות, הוא מאפשר לתוקפים לנוע הרבה יותר מהר, להגיע הרבה יותר רחוק בשרשרות האספקה ולטייב את פעילותם, ובכך להפוך את תוכנת הכופר להרבה יותר עמידה וגמישה, לאפשר לה לנוע בכל סביבה ולצמצם את טביעת הרגל שהיא מותירה, כך שתהיה קשה יותר לזיהוי.

מנהלי אבטחת מידע נמצאים כיום תחת לחץ עצום להדביק את הקצב בסביבת האיומים ההולכת ומתפתחת. זהו אתגר ששום צוות אינו יכול להתמודד עימו לבדו.

הכותב הוא מנהל המחקר בחברת סייברארק

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים