עברייני סייבר עוברים לגניבת קוקיז כדי לפרוץ למערכות בקלות רבה יותר
על פי דוח "דלף זהויות SpyCloud 2023", עברייני הסייבר מרחיבים את השימוש במידע פרטי עדכני יותר שנגנב דרך קוד זדוני, ומרחיבים את השימוש בקובצי קוקיז גנובים כדי להתחזות למשתמשים
הדו"ח השנתי של ספייקלאוד (SpyCloud) מציג את המגמות והטקטיקות העדכניות ביותר שננקטו על ידי תוקפים כדי לחלץ נתונים מארגונים ולייצר רווחים במידע שהושג בדרך פשע. צוות החוקרים של ספייקלאוד ניתח מיליארדי נתונים שנאספו מהרשת האפלה במהלך 2022. הניתוח שלהם חושף שינויים מדאיגים בדפוסי הפעילות של עברייני הסייבר.
קוד זדוני הופך מקור מרכזי ומסוכן יותר לגניבת זהויות
בכל שנה תופסות את הכותרות פריצות בסדרי גודל עצומים שגורמות לחשיפה של מיליוני זהויות. החשיפה הרבה שהן מקבלות הביאה לתפיסה שגויה, שאירועים אלה הם המקור העיקרי לדליפת סיסמאות אל הרשת האפלה. אך העובדה היא שקוד זדוני אחראי באותה מידה לגניבת והדלפת נתונים.
מהדו"ח עולה, כי דווקא לפגיעה של תוכנות זדוניות יש השלכות גרועות משמעותית בהשוואה לפריצות מסורתיות לנתונים, הן מבחינת הסיכון לחשיפת זהויות והן בנזק חמור לפעילות העסקית.
עברייני הסייבר משתמשים ברשתות בוטים כדי להגיע לפריסה המונית של תוכנות זדוניות הידועות בכינוי infostealers. תוכנות אלו נועדו לחלץ מידע מגוון ממכשירים שנפגעו, החל מסיסמאות וקובצי קוקיז ועד למידע אישי מזהה (PII). במסד הנתונים של ספייקלאוד יש 721.5 מיליון סיסמאות שנחשפו מהשנה שעברה. 48.5% הגיעו מלוגים של בוטנט.
עבריינים פיתחו חיבה לנתונים המגיעים מקוד זדוני
קוד זדוני לגניבת מידע – infostealer – הוא איום ייחודי מכמה סיבות:
- פרטי הגישה שהם גונבים ממכשירים נגועים הם עדכניים ומדויקים, ופירוש הדבר שהסיכוי של התוקפים להתחזות למשתמש הוא גבוה יותר.
- לקורבנות רבים (ולארגונים שהם עובדים עבורם) אין מושג שהם נדבקו. זנים של קוד זדוני שמוחקים את עצמם (או "מתמוססים") תוך שניות אינם משאירים עדות. בכל מקרה, כל עוד נתוני האימות הגנובים נשארים תקפים, שחקנים זדוניים יכולים להמשיך להשתמש בהם כדי לבצע השתלטות על חשבון וחטיפת הפעלה.
הקוד הזדוני מאפשר שימוש בקוקיז כדי להתחזות למשתמשים
בשנים האחרונות זיהתה ספייקלאוד מגמה מתרחבת בקרב גורמים זדוניים, שבמסגרתה הם משתמשים בסוגים מגוונים יותר של נתונים, שהושגו באמצעות קוד זדוני כדי להתחזות למשתמשים. שימוש בנתוני קוד זדוני עקף את השימוש ברשימות משולבות שמופצות ברשת ומכילות צמדים של שם משתמש וסיסמה. השינוי הזה נובע מהרצון להשיג יעילות משופרת והחזר גבוה יותר על ההשקעה.
המגמה הזאת כאן כדי להישאר – במיוחד כעת, כשתוקפים הבינו שהם יכולים להשתמש בקוקיז גנובים כדי לעקוף אימות רב-שלבי (MFA). קובצי קוקויז מעניקים למשתמשים גישה ל-session שכבר אומת. כל מה שנדרש הוא פרטי מערכת, קובץ קוקי גנוב ודפדפן לפעילות חסויה, והפושע יכול לשלוט בחשבון ללא צורך באישור נוסף. התוקפים למעשה "חוטפים" את ה-Session מבלי להרים דגלים אדומים.
העובדה שספייקלאוד שמה יד על 22 מיליארד קובצי קוקיז של מכשירים ו- Sessions במהלך 2022, מספרת לנו שגורמים עבריינים מתמקדים בנתונים באיכות גבוהה במקום להתמקד בכמות.
חטיפת Session מהווה איום לעובדים ולצרכנים כאחד. מנקודת מבט ארגונית, קוקיז גנובים יכולים לתת לפושעי סייבר כניסה לנתונים רגישים ופוטנציאל להשיג הרשאות מורחבות. בחזית הצרכנים, גורמים עוינים יכולים לבצע הונאה, לרוקן יתרות נקודות בכרטיסי אשראי, ולפעול במגוון אפיקים בלתי חוקיים נוספים.
יש סוג נוסף של נתונים שמוצא את דרכו ללוגים של תוכנות זדוניות – כניסות ליישומי צד שלישי שכולנו משתמשים בהם ביום יום. חוקרי ספייקלאוד ריכזו את פרטי ההתחברות שנגנבו על ידי תוכנות זדוניות ומצאו סיסמאות ליותר מ-90 אפליקציות ענן. ההרשאות הגנובות הללו לא היו גלויות לצוותי האבטחה (טוב, עד עכשיו). החוקרים גם מצאו כמעט 118,000 סיסמאות מאסטר עבור 8 מכלי ניהול הסיסמאות המובילים. זוהי תזכורת לכך, שאפילו לכלי האבטחה המובילים בשוק יש חולשות. אבל הם עדיין חשובים, במיוחד לניהול נכון של משתמשים, ומהווים שכבת הגנה נוספת.
ממשיכים למחזר סיסמאות
גם אם קוקיז שנגנבו יכולים להתגבר על ההגנה הבסיסית שמייצרות סיסמאות, הנוהג הרווח למחזר סיסמאות נותר איום משמעותי על אבטחת זהויות. הדוח של ספייקלאוד מראה, שלמרבה הצער, התדירות של שימוש חוזר בסיסמאות ממשיכה לעלות.
הדו"ח השנתי של ספייקלאוד חושף, כי בקרב משתמשים שנתונים שלהם דלפו לפחות פעמיים בשנה האחרונה, נעשה שימוש חוזר בסיסמאות בשיעור של 72%. הנתון מייצג עלייה של 8% מרמה של 64% בדו"ח של השנה הקודמת. השילוב בין קוד זדוני משתולל והשימוש החוזר בסיסמאות פוגע מאוד במאמצים של צוותי האבטחה.
נתונים אישיים חשופים מעוררים השראה לשינוי אצל העבריינים
בנוסף לשימוש חוזר בסיסמאות, הדוח השנתי של ספייקלאוד מראה עלייה עקבית ומתמשכת במידע אישי חשוף. בשנה שעברה לכדה ספייקלאוד 8.6 מיליארד נכסי PII שהסתובבו בעולם התחתון, נתון שמביא את מסד הנתונים הכולל ליותר מ-60 מיליארד נכסי PII.
הנתונים האלה תומכים במגמת המעבר לשימוש בהונאת זהות סינתטית – כפי שהוצג במחקר של מכון Pew. טכניקה זו עוזרת לתוקפים לפתוח חשבונות חדשים, להגיש בקשה לקווי אשראי ולבצע רכישות בעלות ערך גבוה תוך שימוש במידע של אנשים אמיתיים שנאספו ליצירת זהות בדויה.
חלק מהשחקנים הזדוניים מנצלים כעת זהויות סינתטיות כדי להבטיח להתקבל לעבודות שיעניקו להם גישה למידע רגיש. בגישה קונבנציונלית יותר, ישנם כאלה המשתמשים בזהויות מפוברקות כדי לגרום למוסדות פיננסיים ואפילו ממשלות להיפרד מסכומי כסף נכבדים לטובתם. כל המקרים הללו מדגישים כיצד שפע המידע האישי הגנוב מזין את כושר ההמצאה של פושעי סייבר בעלי תושייה, ומניע אותם לגלות דרכים חדשניות לביצוע פעולות הונאה.
סיכום ממצאי דו"ח דלף זהויות לשנת 2023
בהינתן התפקיד המרכזי שיש לקוד זדוני בדוח השני של ספייקלאוד, החברה מציעה שצוותי אבטחה ישלבו באסטרטגית התגובה שלהם כלים לתיקון שלאחר הדבקה, עם יכולות של איפוס הרשאות אפליקציה וביטול תוקף של קובצי קוקיז שנגנבו על ידי תוכנות זדוניות. הדרך היעילה ביותר להערים על גורמים עוינים היא שימוש באותם נתונים שהם גנבו כדי לנטרל את הפעילויות שלהם. על ידי ביטול הערך של המידע שבידי הפושעים, כמו סיסמאות וקוקיז של עובדים וצרכנים, ארגון יכול להגן על עצמו ועל המשתמשים מהתקפה זדונית, ולאתר זהויות וחשבונות ומכשירים פגיעים. בכך ניתן לשנות את מאזן האימה אל מול היריבים.
לצפייה והורדה של דו"ח דלף זהויות לשנת 2023 של ספייקלאוד הקליקו כאן.