משודרגים: נחשפה קבוצת האקרים שמכרה "הדבקה ונגישות כ-שירות"

כמעט בכל יום אנחנו שומעים על חברות וגופים שנדבקים בכופרות ובנוזקות בכלל. אולם, מנגנון ההדבקה לא תמיד ברור. הנה מקור הדבקה אפשרי: חוקרי סנטינל וואן הישראלית איתרו קבוצה, העונה לשם Gootloader, אשר פיתחה תשתית לתקיפה, שמדביקה קורבנות פוטנציאליים – ולאחר מכן מוכרת את הגישה אליהם. קבוצות פשיעה אחרות רכשו את הגישה הזו והשתמשו בה על מנת להדביק את הקורבנות בנוזקות שונות – ובראשן הכופרה הידועה לשמצה ReVIL, שתקפה ארגונים רבים ברחבי העולם בחודשים האחרונים.

חוקרי סנטינל וואן התחקו אחרי מתקפות של ReVIL ומצאו כלי שנקרא Gootloader, שמקושר לקבוצה. כלי זה נותן גישה ראשונית למחשבים והוא ידוע גם בשם Dropper או Loader.

הכלי מופץ על ידי מיילים של פישינג, והוא חודר למחשב של הקורבן בצורה חשאית. אז הוא ממתין שם ל-"הוראות הפעלה", שכן "על דעת" עצמו הוא לא מסוגל לעשות כל פעולה או לגרום נזק. הכלי מוודא שהקורבן מהווה חלק מדומיין ארגוני, ואם לא – הוא מוחק את עצמו. אולם, כאשר הוא מופעל, הכלי מוריד למחשב הנגוע נוזקות שונות, לרבות סוגים של כופרה. על הנוזקות נמנות BlueCrab, Cobalt Strike Beacons, Gootkit, Kronos וכאמור Revil.

קרוב ל-1,000 ניסיונות הדבקה בשלושה חודשים

"מה שמעניין בקמפיין התקיפה הזה הוא ההיקף שלו. בשלושת החודשים האחרונים זוהו קרוב ל-1,000 ניסיונות שונים של Gootloader להדביק קורבנות", ציינו החוקרים. הם ניתחו את דפוס הפעולה של הכלי, קרי – סוג הקורבנות, ומצאו שמדובר בעיקר בחברות גדולות, את הפיזור הגיאוגרפי שלהם – בארצות הברית, צפון אירופה, דרום קוריאה ויפן, ואת ריבוי הכלים שבהם נעזרו בתשתית הזו על מנת לחדור לארגונים. על בסיס הניתוח במדדים האמורים, חוקרי סנטינל וואן מניחים שלא מדובר בתוקף יחיד, כי אם בתשתית משותפת, שמושכרת על בסיס שימוש. המשמעות, הסבירו החוקרים, היא שלא מוכרים את הכלי או את השימוש בו, אלא רק משלמים על נגישות, משמע – על מטרות שמוכנות לתקיפה.

החוקרים סיימו בציינם כי "לא ברור מי עומד מאחורי הכלי. אולם, על פי המטרות, כמו גם על פי העובדה שלא הותקפה ולו מטרה רוסית אחת, וזאת אל מול שלל מטרות מערביות – אפשר לשער שיוצריו ומפעיליו של הכלי משתייכים לעולם פשיעת הסייבר, זה שבמזרח אירופה או זה שברוסיה".