קבוצת ההאקרים Clop מאיימת על מנהלים
"כבר יצא לי לפגוש מנהלים שהעבירו עשרות ומאות רבות של אלפי שקלים לתוקפים", מסבירה עינת מירון, במאמר דעה
עינת מירון
| 17/01/2021
bigstock
עד היום, אירוע הכופר היקר ביותר מיוחס למתקפה של קבוצת Clop על חברת Software AG במהלכו נדרשה החברה לשלם 23 מיליון דולר. כשמרבית קבוצות התקיפה נקראות ממש כך - group, חברי קלופ, שהתאגדו כבר בשנת 2019, קוראים לעצמם Gang (כנופייה).
קלופ, קבוצה מאורגנת ומותחכמת שבשונה מ- Maze או Ryuk שהקפידו על תדמית של ארגון מסודר עם מבנה כלכלי היררכי, שאפילו דואג לספק לקורבנותיו דו"ח פורנזיקה מקצועי המתאר כיצד בוצעה החדירה, דווקא מחבבים את השיוך הגנגסטרי, המאיים. הם נהנים להגחיך את קורבנותיהם עם סיומת שמם בתוכנת הכופר. כמו שעשו בדצמבר 2020 כשחשפו שבמשך שנה שלמה, התחזו למערכת לגיטימית במערך הקופות הדיגיטליות של רשת הקמעונאות הדרום קוריאנית E-Land. ממנה גנבו שני מיליון פרטי אשראי בתוקף.
לאחרונה חברי קלופ החלו משכללים את תפיסת העבודה שלהם. הם הגדירו יעד חדש - איתור מידע רגיש ששמור במחשביהם האישיים של מנהלים. דבר שמאפשר להם לסחוט את אותם מנהלים באופן אישי וכלכלי הרבה יותר. בעולם מתחילים להצטבר דיווחים על מימוש הטכניקה גם בקרב קבוצות כמו Ragnar Locker, Egregor, Maze.
עינת מירון מומחית Cyber Resilience להערכות והתמודדות עם אירועי סייבר בהיבטים העסקיים: "דרישות הכופר הן איום שמטריד הרבה מאוד מנהלים אבל כשאני פוגשת אותם בשגרת העבודה שלהם. חשוב לי יותר שיכירו דווקא את מתקפות ה- BEC Business Email Compromise. התוקפים תמיד יהיו כמה צעדים קדימה ומבחינתם לפרוש רשת גדולה עם קוד זדוני שמתפשט במהירות ולקוות שמישהו, מתישהו יפול בה, זה כבר פחות אטרקטיבי.
"חברות גדולות עם משאבים, מגינות על עצמן וחברות קטנות שפחות מגנות על עצמן, יש להן גם פחות משאבים כלכליים לשלם. לכן, דווקא קמפיינים מטורגטים, מאורגנים, מתוחכמים שעושים שימוש בטכניקות של Spear phishing מותאמות ליעד ואח"כ משלבות טכניקות של הצפנה, הן איום משמעותי הרבה יותר. קלופ, מצטיינים במתקפות מטורגטות שבהן מזהים את היעד, הקורבן ומתאימים עבורו מתקפה שבסבירות גבוהה יפול בה ואף יוכל לעמוד בדרישה הכספית, שגם היא נבחנת ומקבלת תיקוף טרום ההחלטה להוציא לפועל את המתקפה.
"צריך להבין ולהכיר את סוגי האיומים שבהם משתמשות קבוצות התקיפה שכבר החלו לחקות את החידוש שהוסיפה קלופ לאחרונה. התוקפים כבר לא מסתפקים בלדרוש כופר וזהו. הם מסבירים לחברה שיהיה לה יעיל יותר להמנע מהחשיפה שעלולה לגרום לתביעה משפטית, עיצום רגולטורי, פגיעה מוניטינית ועיכוב בהחזרת הפעילות לשגרה באם יבחרו להשתמש בגיבויים במקום לשלם להם.
"האלימות הזו לא נעימה להתמודדות וצריך להבין שהיא אפעם לא נגמרת. ישנם לא מעט דברים שניתן לעשות ברמה גלובלית, מדינית, ארגונית כדי להמנע מההתמודדות עם אירוע מהסוג הזה, ונדמה שהרשויות מתחילות להבין את החשיבות שבמעורבות שלהן, אבל עד שהן יחלו לנקוט בצעדים הנדרשים, המנהלים בחברות צריכים לשנות את סדרי העדיפויות שלהם ולבנות תרבות אבטחת מידע ארגונית חדשה שתוסיף מעגל הגנה על מעגלי ההגנה הקיימים שלעיתים כבר לא מספיקים.
"כבר יצא לי לפגוש מנהלים שהעבירו עשרות ומאות רבות של אלפי שקלים לתוקפים שהצליחו להונות אותם באמצעות קמפיינים מטורגטים. מציאות שאפשר היה למנוע או לפחות לזהות לפני שמאבדים סכומי עתק, אם היו מיישמים כמה שינויים קלים בתהליכי העבודה שלהם.
"אני ממליצה לכל מנהל שלא רוצה למצא את עצמו מחר מתמודד עם איום בפרסום פרטי הרומן או תלוש השכר שלו לקחת בחשבון שמידע רגיש שלו עלול לשמש לדרישת כופר ארגונית דווקא. חשוב ואפשרי להערך להתמודדות עם חשיפות וסיכונים שכאלה ועדיף תמיד להקדים תרופה למכה. תוקפים לא בוחלים בנימוס או אתיקה. כללי המשחק מזמן השתנו והם רק מחריפים, בשם תאוות בצע הכסף".
"כבר יצא לי לפגוש מנהלים שהעבירו עשרות ומאות רבות של אלפי שקלים לתוקפים", מסבירה עינת מירון, במאמר דעה
bigstock
עד היום, אירוע הכופר היקר ביותר מיוחס למתקפה של קבוצת Clop על חברת Software AG במהלכו נדרשה החברה לשלם 23 מיליון דולר. כשמרבית קבוצות התקיפה נקראות ממש כך - group, חברי קלופ, שהתאגדו כבר בשנת 2019, קוראים לעצמם Gang (כנופייה).
קלופ, קבוצה מאורגנת ומותחכמת שבשונה מ- Maze או Ryuk שהקפידו על תדמית של ארגון מסודר עם מבנה כלכלי היררכי, שאפילו דואג לספק לקורבנותיו דו"ח פורנזיקה מקצועי המתאר כיצד בוצעה החדירה, דווקא מחבבים את השיוך הגנגסטרי, המאיים. הם נהנים להגחיך את קורבנותיהם עם סיומת שמם בתוכנת הכופר. כמו שעשו בדצמבר 2020 כשחשפו שבמשך שנה שלמה, התחזו למערכת לגיטימית במערך הקופות הדיגיטליות של רשת הקמעונאות הדרום קוריאנית E-Land. ממנה גנבו שני מיליון פרטי אשראי בתוקף.
לאחרונה חברי קלופ החלו משכללים את תפיסת העבודה שלהם. הם הגדירו יעד חדש - איתור מידע רגיש ששמור במחשביהם האישיים של מנהלים. דבר שמאפשר להם לסחוט את אותם מנהלים באופן אישי וכלכלי הרבה יותר. בעולם מתחילים להצטבר דיווחים על מימוש הטכניקה גם בקרב קבוצות כמו Ragnar Locker, Egregor, Maze.
עינת מירון מומחית Cyber Resilience להערכות והתמודדות עם אירועי סייבר בהיבטים העסקיים: "דרישות הכופר הן איום שמטריד הרבה מאוד מנהלים אבל כשאני פוגשת אותם בשגרת העבודה שלהם. חשוב לי יותר שיכירו דווקא את מתקפות ה- BEC Business Email Compromise. התוקפים תמיד יהיו כמה צעדים קדימה ומבחינתם לפרוש רשת גדולה עם קוד זדוני שמתפשט במהירות ולקוות שמישהו, מתישהו יפול בה, זה כבר פחות אטרקטיבי.
"חברות גדולות עם משאבים, מגינות על עצמן וחברות קטנות שפחות מגנות על עצמן, יש להן גם פחות משאבים כלכליים לשלם. לכן, דווקא קמפיינים מטורגטים, מאורגנים, מתוחכמים שעושים שימוש בטכניקות של Spear phishing מותאמות ליעד ואח"כ משלבות טכניקות של הצפנה, הן איום משמעותי הרבה יותר. קלופ, מצטיינים במתקפות מטורגטות שבהן מזהים את היעד, הקורבן ומתאימים עבורו מתקפה שבסבירות גבוהה יפול בה ואף יוכל לעמוד בדרישה הכספית, שגם היא נבחנת ומקבלת תיקוף טרום ההחלטה להוציא לפועל את המתקפה.
"צריך להבין ולהכיר את סוגי האיומים שבהם משתמשות קבוצות התקיפה שכבר החלו לחקות את החידוש שהוסיפה קלופ לאחרונה. התוקפים כבר לא מסתפקים בלדרוש כופר וזהו. הם מסבירים לחברה שיהיה לה יעיל יותר להמנע מהחשיפה שעלולה לגרום לתביעה משפטית, עיצום רגולטורי, פגיעה מוניטינית ועיכוב בהחזרת הפעילות לשגרה באם יבחרו להשתמש בגיבויים במקום לשלם להם.
"האלימות הזו לא נעימה להתמודדות וצריך להבין שהיא אפעם לא נגמרת. ישנם לא מעט דברים שניתן לעשות ברמה גלובלית, מדינית, ארגונית כדי להמנע מההתמודדות עם אירוע מהסוג הזה, ונדמה שהרשויות מתחילות להבין את החשיבות שבמעורבות שלהן, אבל עד שהן יחלו לנקוט בצעדים הנדרשים, המנהלים בחברות צריכים לשנות את סדרי העדיפויות שלהם ולבנות תרבות אבטחת מידע ארגונית חדשה שתוסיף מעגל הגנה על מעגלי ההגנה הקיימים שלעיתים כבר לא מספיקים.
"כבר יצא לי לפגוש מנהלים שהעבירו עשרות ומאות רבות של אלפי שקלים לתוקפים שהצליחו להונות אותם באמצעות קמפיינים מטורגטים. מציאות שאפשר היה למנוע או לפחות לזהות לפני שמאבדים סכומי עתק, אם היו מיישמים כמה שינויים קלים בתהליכי העבודה שלהם.
"אני ממליצה לכל מנהל שלא רוצה למצא את עצמו מחר מתמודד עם איום בפרסום פרטי הרומן או תלוש השכר שלו לקחת בחשבון שמידע רגיש שלו עלול לשמש לדרישת כופר ארגונית דווקא. חשוב ואפשרי להערך להתמודדות עם חשיפות וסיכונים שכאלה ועדיף תמיד להקדים תרופה למכה. תוקפים לא בוחלים בנימוס או אתיקה. כללי המשחק מזמן השתנו והם רק מחריפים, בשם תאוות בצע הכסף".
