איך להיזהר מקבוצת התקיפה שמרגיזה את הממשל האמריקני?
קבוצת CLOP פרצה באחרונה למעל 100 חברות, כולל ענקיות כשניידר אלקטריק, אסתי לאודר וסימנס ● מה אופי התקיפה שלה? ואיך אפשר להיזהר מפניה?
בשבועות האחרונים חלה עלייה מדאיגה במספר מתקפות הכופר שמבוצעות על ידי קבוצת התקיפה CLOP. הקבוצה הזו מתאפיינת בשימוש במתקפת SQL Injection באמצעות כלי העברת הקבצים הפופולרי MOVEit.
CLOP מוכרת בקרב אנשי המקצוע והמתעניינים בסייבר כקבוצה ש-"מתמחה" במתקפות כופר. היא זוהתה ב-2019, אז היא הייתה ידועה כנותנת שירותי כופרה כשירות (RaaS), באמצעות ניצול חולשה שמאפשרת חדירה לארגון והפצה של נוזקת הכופר, שמצפינה את הקבצים החשובים בארגון ומשביתה אותו עד שהוא משלם להאקרים. בתמורה לתשלום, הארגון המותקף מקבל מהתוקפים את מפתח הפענוח להצפנה.
העובדה ש-MOVEit הוא כלי מאוד נפוץ אפשרה להאקרים של CLOP להגיע לחברות ענק, ובהן כמה שמות מוכרים, כמו שניידר אלקטריק, ארנסט אנד יאנג, PWC, אסתי לאודר, ערוץ דיסקברי וסימנס. למעשה, היא כבר פרצה ליותר מ-100 חברות. הקבוצה לא הסתפקה בהצפנת המידע שלהן ובדרישת הכופר, אלא גם גנבה את המידע ומחזיקה בו כבן ערובה. מדובר במידע רגיש אודות החברה המותקפת, לרבות על עובדיה ולקוחותיה. על פי הערכות נכונות לעכשיו, קבוצת CLOP צפויה להרוויח מהתקפותיה השונות כ-100 מיליון דולר.
הנזק של הקבוצה כל כך משמעותי, עד כדי כך שממשלת ארצות הברית פרסמה פרס (Bounty) על סך 10 מיליון דולר למי שיביא מידע ממשי על מי שעומד מאחוריה.
איך נמנעים מחדירה של קבוצת CLOP לארגון?
לפניכם שבעה צעדים שהארגון יכול לעשות כדי למנוע חדירה של קבוצת CLOP למערכים שלו. יובהר שהמידע כאן לא מהווה תחליף לייעוץ סייבר מקצועי. והצעדים הם:
- ביצוע עדכוני אבטחת מידע למערכת MOVEit.
- וידוא שהארגון מבצע גיבויים תקופתיים מעת לעת ושומר עליהם בצורה מאובטחת.
- הדרכת העובדים אודות הסיכונים השונים, כיצד לזהות פעילויות חשודות ובפני מי מתריעים עליהן.
- ביצוע סקרי סיכונים ובדיקות חדירות, כדי לוודא שגם אם התקיפה בוצעה בהצלחה, התוקף לא יוכל להתפשט ברשת הארגונית ולהגיע למידע רגיש.
- גידור הממשקים המסוכנים והחשופים לאינטרנט.
- בניית תוכנית תגובה, שמפרטת כיצד פועלים במקרה של תקיפה.
- הגדרת חוקים לניטור החתימות של ההתקפה, בכדי לזהות ניסיונות תקיפה.
צעדים אלה נכונים לכל הארגונים ולכל סוגי המערכות שחשופות לרשת האינטרנט. ביצוע שלהם יכול למנוע מהארגון המותקף הפוטנציאלי נזק רב מאוד ועוגמת נפש רבה.
הכותב הינו מנהל חטיבת הסייבר של Auren ישראל ויועץ מומחה בתחום הסייבר.
אני חושבת ששני הדברים המהותיים ביותר באמת בעידן של היום הם לבצע בדיקות חדירות אחת לכמה זמן. זאת הדרך הטובה ביותר להקדים את התוקפים הזדוניים. ודבר שני כמובן להגדיר חוקים חכמים שיוכלו לזהות את ניסיונות התקיפה ולחסום אותם. תודה רבה לאושר על רשימת הצעדים למניעת חדירה של קבוצת CLOP ובכלל של כל קבוצה וגורם זדוני. התחברתי מאוד.