מהו המפתח לעלייה במתקפות הכופר?

מוסד הטכניון נמצא בימים האחרונים, תחת מתקפת כופר. היקף התקיפה ואופייה עדיין נמצאים תחת חקירה אינטנסיבית.

התקיפה הנוכחית בטכניון היא חלק ממגמה של עלייה חדה במתקפות מצד איראן על ישראל בשנים האחרונות.

על התקיפה לקחה אחריות קבוצה הנקראת "DarkBit". זהות התוקפים, העומדת מאחורי השם עדיין לא ידועה, ההערכה היא שמדובר ב-Faketivists"", זן פעיל מאוד של Threat actors  הפעילים החל מהמחצית הראשונה של 2022. לזן זה משתייכות גם קבוצות כמו: MoseStaff   ו- Blackshadow. קבוצות אלה, מאופיינות בשימוש בכלים ייחודים לצורך ביצוע מתקפות נגד ישראל, מתוך מניעים פוליטיים.

וקטור התקיפה הראשוני, טרם נקבע בבירור, אך ישנן ראיות חזקות, לכך שהאקטיביסטים, השתמשו באישורי משתמש שנאספו במסגרת מתקפות עבר, כווקטור גישה ראשוני לרשת של מוסד הטכניון.

בינואר השנה סיסמאות משתמשים  נקצרו ממחשבים, שנמצאים בדומיינים פנימיים השייכים לטכניון והיו נגועים בתוכנות זדוניות כגון: RedLline, Racoon ו- Vidar . ססמאות אלו הוצעו למכירה בשוק פופולרי ב– Dark web. בתחילת פברואר, שמות משתמשים וסיסמאות נוספות, דלפו מרשימת Combo list שהכילה סיסמאות ממגוון ארגונים וביניהם גם סיסמאות מהטכניון שפורסמו בחודש ינואר 2023.

אחת הדרכים היעילות, שבהן נוקטים  Threat actors לביצוע מתקפת כופר, היא שימוש באישורים חוקיים שנפרצו מדפדפן המשתמש וממחשבים בודדים, ככרטיס כניסה לגישה ראשונית  לרשת. אלו, מתקבלים לעתים קרובות באמצעות תוכנות זדוניות- infostealer שמשווקות כ Malware-as-a-Service (MaaS). תוכנה זו, נפרסת באמצעות רשתות בוטים שנרכשו או נגנבו באמצעות Phishing או על ידי פריסה מוצלחת של Dropper  המעביר תוכנות זדוניות.  המידע שנאסף מ- infostealers, מכונה "logs" או "bots".

לרוב, מידע זה נמכר לפושעי סייבר, בשווקי ה- Dark web כגון Genesis, ,Russian Market ,Amigos ,Market 2easy Marketplace, באמצעות פלטפורמות מסרים כמו טלגרם ובמקורות גישה מיוחדים כגון:Exploit  ו-XSS. במקורות אלו נמכרים אישורים ברמה גבוהה ומתקדמת יותר עבור: VPNs gateways RDP, ואפילו מוצעים למכירה פומבית אישורי Active Directory AD, תוכנות כופר ופגיעויות zero-day, n-day לניצול.

לאחר קבלת גישה לרשת או לדומיין שנפרצו, Threat actors ממנפים מספר TTPs ,על-מנת לנוע לרוחב המערכת, להאציל הרשאות (להעלות להרשאות אדמין גבוהות), לחלץ או להשמיד נתונים ולפרוס תוכנות כופר.

ה-infostealers הנפוצים ביותר, המופיעים ב- Dark web ובמקורות גישה מיוחדים הינם: RedLine, Vidar, Ficker Stealer, Taurus, AZORult, ו-Raccoon.

זוהי פעילותם העיקרית של Threat actors מיוחדים, המכונים Initial Access Brokers ,IABs) מתווכי גישה ראשונית( הפועלים ממניעים פיננסיים ומציעים את המידע – גישה ראשונית לרשתות שנפרצו, למגוון של שחקנים, בין השאר ל- APT. APT הם קבוצות או יחידים המבצעים מתקפות בקנה מידה רחב, לעיתים הם פועלים בחסות מדינות לאום ממניעים פוליטיים או כלכליים.

IABs פועלים בדרך כלל במספר שפות בפורומים שונים, וידועים בכינויים שונים כמו: Tokugaw4 "tokugawa"" ו-"Str0ng3r", כדי למנוע זיהוי, מעקב ומעצר.

טכניקה נוספת לאספקת סיסמאות - היא שימוש ברשימות משולבות-Combo lists .Threat actors מרכיבים רשימות, המאגדות סיסמאות ממגוון של ארגונים. סיסמאות אלו אשר נחשפו בדליפות נתונים בעבר, מאוגדות לקובץ יחיד הנמכר או מודלף ל-Dark web עבור פושעי סייבר אחרים.

מידע כגון אישורים וכתובות דוא"ל שדלף מארגונים שונים ונסחר ב- Dark web מגביר את הסיכון לקיומה של מתקפת כופרה על ארגונים. מתקפות אלו הינן בעלות פוטנציאל לפגיעות חמורות הן פיננסית והן במוניטין הארגונים.

פעילות גוברת של IABs ודרישתם לתשלום נמוך יחסית, מזינות את כלכלת פשעי הסייבר, מורידות את חסם הכניסה של Threat actors, בלתי מיומנים, ומרחיבות את מספר התוקפים וכמובן את כמות המתקפות המבוצעות.

תמונת המודיעין של אירוע התקיפה בטכניון

הגרף המצורף מציג אירועי דליפת אישורים Malwarelog – אישורים שדלפו ממחשבים נגועים בתוכנות זדוניות המופצות ב-Dark web.

בגרף ניתן לזהות אירוע של סיסמאות דולפות ממחשבים נגועים, דליפת Combo List ודליפת אישורי כניסה למערכות הטכניון.

הגרף נלקח מתוך מערכת Situational Awareness המציגה על ציר זמן את כל אירועי המודיעין המקושרים לארגון, החקירה בוצעה במערכת Recorded future.

כיצד ניתן להגן על הארגון מפני ניצול לרעה של סיסמאות?  

המתקפה האחרונה בטכניון  וכן העלייה המובהקת במתקפות כופר, עקב מעורבותם של IABs מדגישות את הצורך לנקוט בגישה פרואקטיבית על ידי שימוש ב-Threat Intelligence (מודיעין איומים).

מרכז הגנת הסייבר של BDO השיק לאחרונה פתרון אבטחת מידע חדשני מנוהל "Situational Awareness ".

באמצעות השימוש בטכנולוגיות מתקדמות ומחקר במגוון רחב של מקורות פורמליים וא-פורמליים, הפתרון מספק מידע מודיעיני ותמונת מצב לגבי הנכסים של הארגון והפגיעויות הקיימות בו, תוך כדי תיעדוף לביצוע תיקונים ברמת האיום הבודד.

בין היתר, הפתרון מסייע ללקוחות לאתר פרטי אישורים שנפרצו, המקושרים לחשבונות תקפים, תוך ניטור מקורות מחתרתיים, לפני שאלו מפורסמים בשווקי ה-Dark web. זאת במטרה, לזהות את האיומים על התשתית הארגונית או על שרשרת האספקה ולנקוט בפעולה לפני דריסת הרגל הראשונית של התוקפים ברשת.

מודעות למצב אבטחת הסייבר - משפרת את הבנת סביבת איומי הסייבר, הסיכונים וההשפעות הכרוכים בה ואת הלימות האמצעים להפחתת הסיכון.

רוצים לדעת יותר על פתרון  Situational Awareness?  דברו איתנו!