מה היה לנו ב-2018 בסייבר? נוזקות ממוקדות, כופרות, ושאר ירקות

השנה המסתיימת היום התאפיינה בכמה מגמות חדשות בסייבר, לצד התגברותן של מגמות קיימות. התוקפים החלו להשתמש בבינה מלאכותית בתקיפות שלהם, כי רובוטים תוקפים חזק וטוב יותר מבני אדם. ניצול מחשבים של קורבנות תמימים לטובת כריית מטבעות קריפטוגרפיים צמח באופן חד, כמו גם רוגלות ששוטטו להן במשך חודשים רבים בסתר – בארגונים.

מנתוני מעבדת קספרסקי עולה כי היקף הנוזקות המכיל דלתות אחוריות חדשות, גדל השנה ב-40%. מתוך כל קבצי הנוזקות החדשות שזוהו ב-2018, היקף הקבצים שהכילו דלתות אחוריות צמח ב-44%. היקף הכופרות באותם קבצים גדל ב-43%. אחד מתוך שלושה (30%) מחשבים נתקל בנוזקה אחת לפחות במהלך 2018, "דלתות אחוריות וכופרות ממשיכות להוות סיכון רציני".

טכנולוגיות הזיהוי של קספרסקי טיפלו השנה ב- 346 אלף קבצים זדוניים חדשים בכל יום, לעומת 2011, אז הנתון עמד על 70,000 קבצים חדשים.

לדברי ויצ'סלב זקורזבסקי, ראש מחקר נגד קוד זדוני במעבדת קספרסקי, "ב-2018 ראינו הקלה מסויימת בהיקף זיהוי הקבצים היומי. זה מצביע על הנטייה של ההאקרים להשתמש בנוזקות ישנות ויעילות – או שהם בחיפוש מתמיד אחר דרכים חדשות לפגוע במכשירים ולהרוויח מכך כסף. הפיתוח המתמיד של הכופרות הוא קריאה לשמירה על ערנות וזהירות – למול איומי סייבר מוכרים ושאינם מוכרים".

סכנה לכולם במתקפת סייבר מתוצרת רוסיה. אילוסטרציה: BigStock

השנה, נחשף, בראשונה, כי האקרים רוסיים ניצלו תוכנה לאיתור לפטופים – ככלי פריצה. על פי חוקרי ESET, מתקפת הסייבר שנתגלתה, עשתה שימוש ברוטקיט מסוג UEFI במטרה לחדור למחשבי הקורבנות. הרוטקיט, LoJax, היה חלק מקמפיין שהופעל על ידי קבוצת Sednit נגד מטרות בעלות בולטות באירופה.

החוקרים אמרו כי זו המתקפה הראשונה המוכרת מסוג זה. רוטקיטים מסוג UEFI (רכיב החומרה שאחראי לניהול כל ההתקנים הפיזיים במחשב) הם כלים מסוכנים, המיועדים להתחלה של מתקפות סייבר. הם משמשים כמפתח למחשב כולו, קשים לזיהוי ומסוגלים לשרוד אמצעי הגנת סייבר שונים.

ההאקרים הרוסים השתמשו בתוכנת אנטי גניבה שנקראה בעבר LoJack. חוקרי ESET ציינו כי קבוצת ההאקרים Sednit, או APT28, או Fancy Bear – פועלת תחת הוראותיו הישירות של ולדימיר פוטין, נשיא רוסיה.

להגיע לארגונים הגדולים דרך הקטנים

כריסטופר פורטר, מנהל אסטרטגית מודיעין האיומים ב-FireEye, אמר כי "בניגוד לעבר, האקרים שלוחי מדינות פונים לא רק לארגונים גדולים, אלא גם לעסקים קטנים, ומשתמשים בהם כ'חוט מקשר' למתקפה על העסקים הגדולים. הדרך לפגוע במערך התחבורה של צבא ארה"ב, עוברת בפריצה לחברת משאיות העובדת עם משרד ההגנה".

פורטר ציין כי "הבינה המלאכותית משמשת ככלי נשק פוגעני. רק מעטים הבינו שהבינה המלאכותית, ובתוכה האלגוריתמים של לימוד מכונה, ינוצלו על ידי קבוצות האיום בסייבר. ריבוי הנתונים המצטברים, והחיבורים ביניהם – מייצרים ערך רב יותר, ולכן יהיו אטרקטיביים לגניבתם". עוד ציין פורטר כי "כדי להביך מדינות, כל שצריך הוא לפגוע ברשתות התחבורה או החשמל שלהן. הידע הטכני קיים, כעת רק חסר ה'רצון' לעשות זאת".

בינה מלאכותית. צילום אילוסטרציה: BigStock

שיתוף לא תקין במידע פרטי

תומר נורי, מנהל הטכנולוגיות הראשי וסמנכ"ל טכנולוגיות במלם-תים, אמר כי "2018 הביאה איתה איומים חדשים ואירועים חדשים. השנה הייתה עמוסה באירועי זליגת מידע והגרוע מהם הוא הפריצה לרשת מלונות מריוט. לצד זליגות מידע, התרחשו בה גם אירועי חשיפת מידע – בשל טעות או רשלנות. זה קרה כשנתונים שונעו לענן, או בוזרו".

השנה, ציין נורי, "הייתה אמורה להיות שנת הזנק לתקני הפרטיות. דווקא בשנה זו התוודענו לשיתוף לא מאושר ולא תקין של מידע העובר ברשתות החברתיות לחברות צד ג', כמו פייסבוק וקיימברידג' אנליטיקה. השנה, ההאקרים התמקדו במקום בו יש נגישות גדולה למידע – ביישומים הדיגיטליים וביישומי המובייל. חלק ניכר מ-600 אירועי זליגת מידע, בוצע על תשתיות יישום כגון אפליקציות כושר, בילוי ואורח חיים".

בתחום התשתיות הקריטיות, ציין נורי, "חלה עלייה בכמות האיומים מרשתות IoT ו-OT, כשמישור הפגיעות המשמעותי המשיך להיות המשתמש, ונקודות הממשק בין רשתות". נורי סיים בציינו כי השנה "היה 'מיזוג' של קבוצות פשיעה לסינדיקטים גדולים, בעלי משאבים ויכולת להתמודד עם האכיפה במישור הפיסי והקיברנטי".

על פי חוקרי סימנטק, "שלוש מגמות בולטות היו השנה בעולם אבטחת המידע. האחת, קונסולידציה אצל היצרנים הגדולים. מוצרים משלימים או מתחרים, נרכשו והוטמעו בהיצע של החברות הגדולות, לטובת פתרונות מלאים. השניה, המעבר לענן והגידול במודעות לנחיצות ההגנה המשולבת, מקומית ובענן. לארגונים כיום יש פי 10 יותר אפליקציות בענן, מה שדורש להגביר את אבטחת הארגון ובו בזמן להוריד ולפשט את העומס הניהולי".

לדברי החוקרים, "השלישית היא Zero Trust: האיומים הולכים וגדלים והתוקפים נהיים יותר ממוקדים ובעלי משאבים רבים יותר. לראייה – ארגונים שנפגעים כל הזמן. תפיסת ה-Zero Trust באבטחת המידע בנויה על ההכרה שהאיומים נמצאים בכל מקום, מוכנים לתקוף בכל זמן מחוץ ומתוך הארגון. כדי להגן על עצמו מפני התקפות, הארגון נדרש היום לאמץ תפיסות חדשות, להיות מסוגל לתת הגנה ללא פשרה – ובלא לפגוע בחוויית המשתמש. במודל Zero Trust, לא מנסים לזהות האם מדובר בהתקפה, או באירוע בדיעבד – אלא בחסימה בזמן אמת, לפני שהקוד העוין רץ על מחשבי הארגון. השיטה דוגלת באפס סבלנות כלפי הלא ידוע".

אילוסטרציה: Taborsky/BigStock

נחילים כשירות

לדברי דרק מאנקי, אסטרטג אבטחה גלובלי בכיר בפורטינט, "חלה התקדמות משמעותית במגמת נחילים כשירות (Swarm as a Service) – התקפות מתוחכמות, המופעלות על ידי טכנולוגיית מודיעין המבוססת נחילים בעלי יכולת למידה עצמית. זו מזמנת שימוש בבוטנטים מבוססי נחילים, בשם hivenets (כוורות). דור חדש זה של איומים ישמש ליצירת נחילים גדולים, של בוטים אינטליגנטיים, שיכולים לפעול בשיתוף פעולה ואוטונומית. רשתות נחילים אלו יגבירו את הצורך בהגנה על ארגונים, ואף ישפיעו על המודל העסקי של פושעי הסייבר".

הוא הוסיף כי "אנו רואים התקדמות משמעותית בכלים ובשירותים של פושעי סייבר הממנפים אוטומציה ובינה מלאכותית. כך, בתוך חצי שנה ב-2018, מספר המתקפות בעולם בדקה קפץ מ-4 ל-8 מיליון. ארגונים צריכים לחשוב מחדש על האסטרטגיה שלהם כדי לחזות טוב יותר את האיומים ולהילחם במניעים הכלכליים המאלצים את פושעי הסייבר לקדם דרכי פעולה חדשות במקום אלו שנכשלו. במקום לעסוק במרוץ חימוש מתמיד, ארגונים צריכים לאמץ אוטומציה ובינה מלאכותית כדי לכווץ את מרחב התקיפה מחדירה לגילוי ומגילוי לחסימה".

ונסיים בנתון "מעודד", המגיע מחוקרי מק'אפי: השנה חל גידול חד, של 4,000%, משמע פי 50, בניצול בלא ידיעתם של מחשבי קורבנות תמימים – לטובת כריית מטבעות קריפטוגרפיים.

רק ברבעון השלישי השנה, ציינו, "חל גידול של 71% בשימוש בנוזקות הגונבות כוח מחשוב לטובת כריית המטבעות. הפושעים עושים שימוש נרחב ברכיבי אינטרנט של הדברים, כגון נתבים ומצלמות אבטחה אינטרנטיות – בהם אין כמעט מעטפות הגנה". הם הוסיפו כי הפושעים גונבים יכולות מחשוב גם באמצעות הדבקה של המחשבים בנוזקות הללו, באמצעות אפליקציות מסרים מוצפנים, דוגמת טלגרם.