תוכנת כופר אינה מהווה איום חדש לגמרי באינטרנט. שורשיו מגיעים שנים רבות אחורה. האיום הזה רק הפך למסוכן וחסר רחמים עם הזמן.
המילה "תוכנת כופר" זכתה להכרה נרחבת כתוצאה מהפצצת התקפות סייבר שהפכו עסקים רבים לבלתי שמישים בשנים האחרונות.
כל הקבצים במחשב שלך הורדו והוצפנו, ואז המסך שלך נהיה שחור ומופיעה הודעה באנגלית מעיקה.
Yעליך לשלם כופר לפושעי סייבר עם כובע שחור בביטקוין או מטבעות קריפטוגרפיים אחרים שאינם ניתנים לאיתור על מנת להשיג מפתח פענוח או למנוע מהנתונים הרגישים שלך להתפרסם ברשת האפלה.
אבל פחות עשויים להיות מודעים ל-Ransomware-as-a-Service, מודל עסקי מאורגן היטב בעולם התחתון שיכול לבצע סוגים אלה של התקפות (או RaaS).
במקום לבצע התקפות בעצמם, יוצרי תוכנות כופר משכירים את הווירוסים היקרים שלהם לפושעי סייבר פחות מנוסים שמוכנים לשאת בסיכון הכרוך בביצוע פעולות כופר.
איך הכל פועל בכל זאת? מי מוביל את ההיררכיה ומי מתפקד כמתווכים? ואולי יותר מכריע, איך אתה יכול להגן על העסק שלך ועל עצמך מפני התקיפות המשתקות האלה?
המשך לקרוא כדי ללמוד עוד על RaaS.
מהי תוכנת כופר כשירות (RaaS)?
תוכנת כופר כשירות (RaaS) היא מודל עסקי של ארגונים פליליים המאפשר לכל אחד להצטרף ולהשתמש בכלים להפעלת התקפות כופר.
משתמשי RaaS, כמו אלה המשתמשים במודלים אחרים כשירות כגון תוכנה כשירות (SaaS) או פלטפורמה כשירות (PaaS), שוכרים במקום שירותי כופר.
זהו וקטור תקיפה בקוד נמוך, תוכנה כשירות, המאפשר לפושעים לקנות תוכנת כופר ברשת האפלה ולבצע התקפות של תוכנות כופר מבלי לדעת כיצד לקודד.
תוכניות דיוג בדוא"ל הן וקטור התקפה נפוץ עבור פגיעויות RaaS.
כאשר קורבן לוחץ על קישור זדוני בדוא"ל של התוקף, תוכנת הכופר מורידה ומתפשטת על פני המחשב המושפע, ומשביתה את חומות האש ותוכנת האנטי-וירוס.
תוכנת RaaS יכולה לחפש דרכים להעלאת הרשאות ברגע שההגנה ההיקפית של הקורבן נפרצה, ובסופו של דבר להחזיק את הארגון כולו כבן ערובה על ידי הצפנת קבצים עד לנקודה שבה אי אפשר להגיע אליהם.
לאחר שהקורבן קיבל מידע על המתקפה, התוכנית תספק להם הנחיות כיצד לשלם את הכופר ו(אידיאלי) לקבל את המפתח ההצפנה המתאים לפענוח.
למרות שפגיעות RaaS ותוכנות כופר אינן חוקיות, פושעים שמבצעים סוג זה של תקיפה יכולים להיות מאתגרים במיוחד לתפיסה מכיוון שהם משתמשים בדפדפני Tor (הידועים גם כנתבי בצל) כדי לגשת לקורבנות שלהם ולדרוש תשלומי כופר בביטקוין.
ה-FBI טוען שיותר ויותר יוצרי תוכנות זדוניות מפיצים את תוכניות ה-LCNC המזיקות שלהם (קוד נמוך/ללא קוד) בתמורה לקיצוץ בהכנסות הסחיטה.
כיצד פועל מודל RaaS?
מפתחים ושותפים משתפים פעולה כדי לבצע מתקפת RaaS יעילה. מפתחים אחראים על כתיבת תוכנות זדוניות מיוחדות של תוכנות כופר, שנמכרות לאחר מכן לשותף עצמאי.
קוד הכופר וההנחיות להפעלת התקיפה מסופקים על ידי המפתחים. RaaS פשוט לשימוש ודורש מעט ידע טכנולוגי.
כל מי שיש לו גישה לרשת האפלה יכול להיכנס לפורטל, להצטרף כשותף ולפתוח תקיפות בלחיצה אחת. שותפים בוחרים את סוג הווירוס שהם רוצים להפיץ ומבצעים תשלום באמצעות מטבע קריפטוגרפי, בדרך כלל ביטקוין, כדי להתחיל.
המפתח והשותף מחלקים את הרווחים כאשר כספי הכופר משולמים וההתקפה מצליחה. סוג מודל ההכנסות קובע את אופן הקצאת הכספים.
הבה נבחן כמה מהאסטרטגיות העסקיות הלא חוקיות הללו.
שותף RaaS
בשל מגוון גורמים, לרבות המודעות למותג של קבוצת תוכנות הכופר, אחוזי ההצלחה של הקמפיינים, וקליבר ומגוון השירותים המוצעים, תוכניות שותפים מחתרת הפכו לאחת הצורות הידועות ביותר של RaaS.
ארגונים פליליים מחפשים לעתים קרובות האקרים שיכולים להיכנס לרשתות עסקיות בעצמם כדי לשמור על קוד הכופר שלהם בתוך החבורה. לאחר מכן הם מנצלים את הנגיף והסיוע כדי להפעיל את התקיפה.
עם זאת, ייתכן שהאקר אפילו לא יזדקק לכך לאור העלייה האחרונה של גישה לרשתות ארגוניות למכירה ברשת האפלה כדי לעמוד בקריטריונים הללו.
האקרים הנתמכים היטב ופחות מנוסים משיקים תקיפות בסיכון גבוה בתמורה לחלוקת רווחים במקום לשלם חיוב חודשי או שנתי כדי להשתמש בקוד הכופר (אך לפעמים שותפים יצטרכו לשלם כדי לשחק).
רוב הזמן, כנופיות תוכנות כופר מחפשות האקרים מיומנים מספיק כדי לפרוץ לרשת של חברה ואמיצים מספיק כדי לבצע את השביתה.
במערכת זו, השותף מקבל לרוב בין 60% ל-70% מהכופר, כאשר 30% עד 40% הנותרים נשלחים למפעיל ה-RaaS.
RaaS מבוסס מנוי
בטקטיקה זו, הרמאים משלמים דמי חבר על בסיס קבוע כדי לקבל גישה לתוכנות כופר, תמיכה טכנית ועדכוני וירוסים. מודלים רבים של שירותי מנויים מבוססי אינטרנט, כמו Netflix, Spotify או Microsoft Office 365, דומים לזה.
בדרך כלל, עברייני תוכנות כופר שומרים לעצמם 100% מההכנסות מתשלומי כופר אם הם משלמים על השירות מראש, שעשוי לעלות 50 עד מאות דולרים בכל חודש, תלוי בספק ה-RaaS.
דמי חבר אלו מייצגים השקעה צנועה בהשוואה לתשלום הכופר הרגיל של כ-220,000$. כמובן, תוכניות שותפים יכולות גם לשלב בתכניות שלהן אלמנט המבוסס על מנוי בתשלום כדי לשחק.
אישור לכל החיים
מפיק תוכנות זדוניות יכול להחליט להציע חבילות בתשלום חד פעמי ולהימנע מלקחת את הסיכוי להיות מעורב ישירות במתקפות סייבר במקום להרוויח כסף חוזר דרך מנויים וחלוקת רווחים.
פושעי סייבר במקרה זה משלמים תשלום חד פעמי כדי לקבל גישה לכל החיים לערכת תוכנת כופר, שבה הם יכולים להשתמש בכל דרך שהם רואים לנכון.
חלק מפושעי סייבר ברמה נמוכה יותר יכולים לבחור ברכישה חד פעמית גם אם היא יקרה משמעותית (עשרות אלפי דולרים עבור ערכות מתוחכמות), שכן יהיה להם קשה יותר להתחבר למפעיל ה-RaaS אם המפעיל ייתפס.
שותפויות RaaS
התקפות סייבר באמצעות תוכנות כופר מצריכות שלכל האקר המעורב יש מערכת ייחודית של יכולות.
בתרחיש זה, קבוצה תתכנס ותספק תרומות שונות למבצע. כדי להתחיל, נדרשים מפתח קוד כופר, האקרים של רשתות ארגוניות ומנהל משא ומתן דובר אנגלית.
בהתאם לתפקידו ולמשמעותם בקמפיין, כל משתתף, או שותף, יסכים לחלק את הרווחים.
כיצד לזהות מתקפת RaaS?
בדרך כלל, אין הגנה מפני תקיפה של תוכנות כופר שהיא יעילה ב-100%. עם זאת, דוא"ל דיוג נותרו השיטה העיקרית המשמשת לביצוע תקיפות של תוכנות כופר.
לכן, חברה חייבת לספק הדרכה למודעות דיוג כדי להבטיח שלאנשי הצוות יש את ההבנה הטובה ביותר כיצד לזהות מיילים דיוג.
ברמה הטכנית, לעסקים עשויים להיות צוות אבטחת סייבר מיוחד שמשימה לבצע ציד איומים. ציד איומים הוא שיטה מוצלחת מאוד לאיתור ומניעת תקיפות של תוכנות כופר.
בתהליך זה נוצרת תיאוריה תוך שימוש במידע על וקטורי תקיפה. התחושה והנתונים מסייעים ביצירת תוכנית שעשויה לזהות במהירות את סיבת התקיפה ולעצור אותה.
כדי לפקוח עין על ביצועים לא צפויים של קבצים, התנהגות חשודה וכו' ברשת, נעשה שימוש בכלים לציד איומים. כדי לזהות ניסיונות התקפות של תוכנת כופר, הם עושים שימוש בשעון עבור אינדיקטורים של פשרה (IOCs).
בנוסף, נעשה שימוש במודלים רבים של ציד איומים מצביים, שכל אחד מהם מותאם לענף ארגון היעד.
דוגמאות של RaaS
מחברי תוכנות כופר הבינו זה עתה עד כמה משתלם לבנות עסק של RaaS. בנוסף, היו כמה ארגוני איומים שהקימו פעילות RaaS כדי להפיץ תוכנות כופר כמעט בכל עסק. אלו הם כמה מארגוני RaaS:
- כהה: זהו אחד מספקי ה-RaaS הידועים לשמצה. על פי דיווחים, כנופיה זו עמדה מאחורי המתקפה על הצינור הקולוניאלי במאי 2021. על פי ההערכות, DarkSide החלה באוגוסט 2020 והגיעה לשיא בפעילות במהלך החודשים הראשונים של 2021.
- דהרמה: Dharma Ransomware הופיעה במקור בשנת 2016 תחת השם CrySis. למרות שהיו כמה וריאציות של Dharma Ransomware לאורך השנים, Dharma הופיע לראשונה בפורמט RaaS בשנת 2020.
- מבוך: כמו עם ספקי RaaS רבים אחרים, Maze הופיע לראשונה בשנת 2019. בנוסף להצפנת נתוני משתמשים, ארגון RaaS איים לשחרר נתונים לציבור במאמץ להשפיל קורבנות. Maze RaaS נסגר רשמית בנובמבר 2020, אם כי הסיבות לכך עדיין מעורפלות במקצת. עם זאת, כמה אקדמאים מאמינים שאותם עבריינים נמשכו תחת שמות שונים, כמו אגרגור.
- דופל פיימר: זה נקשר למספר אירועים, כולל אחד ב-2020 נגד בית חולים בגרמניה שגבה את חייו של חולה.
- Ryuk: למרות שה-RaaS היה פעיל יותר ב-2019, מאמינים שהוא היה קיים לפחות ב-2017. חברות אבטחה רבות, כולל CrowdStrike ו-FireEye, הכחישו טענות של חוקרים מסוימים כי התלבושת ממוקמת בצפון קוריאה.
- LockBit: בתור סיומת הקבצים, הארגון משתמש להצפנת קבצי קורבנות, ".abcd virus", צץ לראשונה בספטמבר 2019. היכולת של LockBit להתפשט באופן אוטונומי על גבי רשת יעד היא אחת התכונות שלו. עבור תוקפים לעתיד, זה הופך אותו ל-RaaS רצוי.
- ריוויל: למרות שיש כמה ספקי RaaS, זה היה הנפוץ ביותר בשנת 2021. מתקפת Kaseya, שהתרחשה ביולי 2021 והשפיעה על לפחות 1,500 חברות, הייתה קשורה ל-REvil RaaS. על פי החשד, הארגון גם עמד מאחורי המתקפה על יצרנית הבשר JBS USA ביוני 2021, שבגינה נאלץ הקורבן לשלם כופר של 11 מיליון דולר. היא גם נמצאה אחראית לתקיפת תוכנת כופר על ספקית ביטוח הסייבר CNA Financial במרץ 2021.
כיצד למנוע התקפות RaaS?
האקרים של RaaS משתמשים לרוב בהודעות דוא"ל מתוחכמות של ספיר פישינג שנוצרו במומחיות כדי להיראות אותנטיות להפצת תוכנות זדוניות. גישת ניהול סיכונים מוצקה התומכת בהדרכה מתמשכת למודעות אבטחה עבור משתמשי קצה נחוצה כדי להגן מפני ניצול RaaS.
ההגנה הראשונה והטובה ביותר היא יצירת תרבות עסקית המיידעת את משתמשי הקצה על טכניקות הדיוג העדכניות ביותר ועל הסכנות שמייצגות התקפות תוכנות כופר על הכספים והמוניטין שלהם. יוזמות בנושא זה כוללות:
- שדרוגי תוכנה: מערכות הפעלה ואפליקציות מנוצלות לעתים קרובות על ידי תוכנות כופר. כדי לסייע בעצירת התקפות כופר, חשוב לעדכן את התוכנה כאשר התיקונים והעדכונים יוצאים לאור.
- הקפד לגבות ולשחזר את הנתונים שלך: הקמת אסטרטגיית גיבוי ושחזור נתונים היא הצעד הראשון, וכנראה, החשוב ביותר. הנתונים הופכים לבלתי שמישים עבור משתמשים לאחר הצפנה באמצעות תוכנת כופר. ההשפעה של הצפנת נתונים על ידי תוקף יכולה להיות מופחתת אם לחברה יש גיבויים עדכניים שניתן להשתמש בהם בהליך שחזור.
- מניעת דיוג: פישינג באמצעות מיילים היא שיטה טיפוסית להתקפה עבור תוכנות כופר. ניתן למנוע התקפות RaaS אם קיימת איזושהי הגנת דואר אלקטרוני נגד פישינג במקום.
- אימות מרובה גורמים: חלק מתוקפי תוכנות הכופר משתמשים במילוי אישורים, הכולל שימוש בסיסמאות גנובות מאתר אחד באתר אחר. מכיוון שעדיין נדרש גורם שני כדי לקבל גישה, אימות רב-גורמי מפחית את ההשפעה של סיסמה בודדת שנעשה בה שימוש יתר.
- אבטחה עבור נקודות קצה XDR: טכנולוגיות אבטחת נקודות קצה וצייד איומים, כמו XDR, מציעות שכבת הגנה חיונית נוספת מפני תוכנות כופר. זה מציע יכולות זיהוי ותגובה משופרות שעוזרות להפחית את הסכנה של תוכנות כופר.
- הגבלת DNS: תוכנת כופר משתמשת לעתים קרובות בשרת פיקוד ובקרה כלשהו (C2) כדי להתממשק עם הפלטפורמה של מפעיל RaaS. שאילתת DNS מעורבת כמעט תמיד בתקשורת ממחשב נגוע לשרת C2. ארגונים יכולים לזהות מתי תוכנת כופר מנסה ליצור אינטראקציה עם RaaS C2 ולמנוע את התקשורת בעזרת פתרון אבטחה לסינון DNS. זה יכול לשמש סוג של מניעת זיהום.
העתיד של RaaS
תקיפות RaaS יהפכו לשכיחות יותר ואהובות יותר בקרב האקרים בעתיד. למעלה מ-60% מכל מתקפות הסייבר ב-18 החודשים האחרונים, על פי דיווח אחרון, היו מבוססות RaaS.
RaaS הופך ליותר ויותר פופולרי כתוצאה מכמה פשוט להשתמש בו ומהעובדה שאין צורך בידע טכני. בנוסף, עלינו להתכונן לעלייה בהתקפות RaaS המכוונות לתשתית חיונית.
זה מכסה את תחומי הבריאות, המינהל, התחבורה והאנרגיה. האקרים רואים בתעשיות ובמוסדות החיוניים הללו חשופים יותר מאי פעם, ומעמידים גופים כמו בתי חולים ותחנות כוח על הכוונת של התקפות RaaS כמו שרשרת אספקה הבעיות נמשכות עד 2022.
סיכום
לסיכום, גם אם Ransomware-as-a-Service (RaaS) היא יצירה ואחת הסכנות האחרונות לטרף משתמשים דיגיטליים, חיוני לנקוט באמצעי מניעה מסוימים כדי להילחם באיום הזה.
בנוסף לאמצעי זהירות בסיסיים אחרים, אתה יכול גם לסמוך על כלים מתקדמים נגד תוכנות זדוניות כדי להגן עליך עוד יותר מפני האיום הזה. למרבה הצער, נראה כי RaaS כאן כדי להישאר לעת עתה.
תזדקק לתוכנית מקיפה של טכנולוגיה ואבטחת סייבר כדי להגן מפני התקפות RaaS כדי להפחית את הסבירות לתקיפה מוצלחת של RaaS.
השאירו תגובה