לקראת סייברטק 2022: ״פעולות האכיפה והסנקציות נגד קבוצות פשיעה בסייבר - מייצרות הרתעה״
אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן, מספק הצצה לטרנדים בעולם הסייבר שילוו אותנו גם ב2022. כנס סייברטק יערך בין התאריכים 1-3.3.2022 בתל אביב
עמי רוחקס דומבה
| 21/02/2022
אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן. קרדיט: סייבריזן
אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן, מספק הצצה לטרנדים בעולם הסייבר שילוו אותנו גם ב2022. ״ב2021, מתקפות הסייבר נעשו אגרסיביות יותר״, אומר דהן בראיון לישראל דיפנס לקראת כנס סייברטק שיערך בין ה1-3.3.2022 בתל אביב.
התוקפים עובדים מהר
״אחד הטרנדים שאנו רואים והוא מטריד, נוגע בקיצור זמן השהייה של התוקף ברשת (Dwell Time). זה הזמן מהרגע שהתוקף נכנס לרשת הארגון ועד שמגלים אותו או שהוא יוצא. אם זמן השהייה עמד בעבר על 4-6 שבועות, היום מדברים על מתקפות שיכולות לארוך שעתיים בלבד. להכנס מהר, לצאת מהר ולקצור רווח גדול.
״המשמעות שלאמצעי ההגנה בסייבר יש פחות זמן לאתר, לזהות ולסווג את התוקף. כאמור, לפעמים מספיקות שעתיים והרשת שלך מוצפנת. כדי להתמודד עם התופעה, פיתחנו טכנולוגיה שמסוגלת לזהות תהליך שמנסה להצפין. בצורה כזו, אנחנו מצליחים לעצור את הצפנת הקבצים בחלק גדול מהמתקפות אצל הלקוחות שלנו.
״עם זאת, צריך לזכור שהיום מתקפת כופר מורכבת משניים עד ארבעה ממדים. התוקף מזליג מידע טרם הצפנת הקבצים. לאחר מכן, הוא מאיים למכור או לחשוף את המידע. לפעמים הוא פונה ישירות לעיתונאים ולפעמים הוא פונה ישירות ללקוחות הקורבן. הכל כדי להפעיל לחץ על הקורבן, לקבל את הכסף ולהעלם. אנחנו מדברים על קבוצות פשיעה שמגלגלות עשרות או מאות מליוני דולרים בשנה.״
אחד השינויים שביצעה ארה״ב ואירופה בהקשר זה הוא לרדוף אחרי הפושעים. מעצרים מתוקשרים, תפיסת ארנקי קריפטו, סנקציות, רשימות שחורות מול בורסות קריפטו ועוד. ״לא ראינו זאת בעבר״, מסביר דהן. ״זו הסיבה העיקרית שבגינה יש קבוצות כופר שלא תוקפות תשתיות קריטיות או בתי חולים. כדי לא להסתבך עם אכיפת החוק. גם רואים יותר אדמינים של פורומים מנסים להתנער ממכירת מידע בשל סנקציות אמריקאיות והחשש מהבולשת האמריקאית והאירופול.״
Bulletproof
נושא נוסף שלפי דהן ילווה אותנו ב2022 הוא מדינות המספקות מכסה לקבוצות פשע בסייבר. לאחרונה דווח בתקשורת הרוסית על מעצרים של חברי קבוצת Revil. אחת מקבוצות התקיפה הגדולות שפועלות כיום. ״כל עוד הם לא היו תוקפים יעדים רוסים או באינטרס של רוסיה, הקרמלין העלים עין. פתאום התחילו להיות מעצרים ברוסיה. צריך לראות איך המגמה הזו תמשיך״, אומר דהן.
בחסות מדינה
במהלך הראיון התפתח גם שיח סביב איום שחקנים מדינתיים. ״בעבר ראינו קבוצות פשע שנושאות מבט לכלים של שחקני מדינה. כיום, אנחנו רואים מדינות משתמשות בתוכנות כופר בשביל מניעים מדיניים. הקבוצות הללו לא דורשות תשלום בכלל״, מסביר דהן.
״רואים שמדינות משתמשות בשיטות פעולה של גורמי פשיעה. מציאות כזו זה מאפשרת עמימות למדינה. בשונה ממדינות, ארגוני פשיעה פועלים עם מטרות שונות מארגוני ביון. לארגוני פשע יש מטרות פיננסיות. עם זאת, בהיבט משאבים, הם כמעט בלתי מוגבלים.״
עדכון טלאים
בעוד בעבר המיקוד בשיח המקצועי היה סביב חולשות זירו-דיי, כיום, השיח עבר לחולשות ידועות. בשנת 2021 דווחו עשרות אלפי חולשות חדשות, בספק כמה מתוכן עודכנו במערכות ארגונים מסביב לעולם. גם כאשר מדובר בארגון בינלאומי גדול, עתיר משאבים, עדיין, בפועל, מידת תיקון טלאי הקוד השונים אינה משמעותית ביחס לכמות החולשות.
״כמעט בכל התקיפות הגדולות, גם אם היה זירו, אתה רואה שימוש בחולשות ידועות. לפעמים אנחנו מוצאים חולשות שלא תוקנו גם אחרי חודשים ושנים ממועד פרסום הטלאי על ידי היצרן״, אומר דהן. ״כאן נכנסת לפעולה תפיסת הגנה בשכבות. אין ׳כדור כסף׳. אנחנו מספקים פתרונות לשאלה מה קורה שניה אחרי שהם נכנסו לרשת. מה השלבים הבאים? התוקף מחפש הרשאות? סורק פורטים פתוחים? אנחנו תופסים אותו בפעולות האלו.״
אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן, מספק הצצה לטרנדים בעולם הסייבר שילוו אותנו גם ב2022. כנס סייברטק יערך בין התאריכים 1-3.3.2022 בתל אביב
אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן. קרדיט: סייבריזן
אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן, מספק הצצה לטרנדים בעולם הסייבר שילוו אותנו גם ב2022. ״ב2021, מתקפות הסייבר נעשו אגרסיביות יותר״, אומר דהן בראיון לישראל דיפנס לקראת כנס סייברטק שיערך בין ה1-3.3.2022 בתל אביב.
התוקפים עובדים מהר
״אחד הטרנדים שאנו רואים והוא מטריד, נוגע בקיצור זמן השהייה של התוקף ברשת (Dwell Time). זה הזמן מהרגע שהתוקף נכנס לרשת הארגון ועד שמגלים אותו או שהוא יוצא. אם זמן השהייה עמד בעבר על 4-6 שבועות, היום מדברים על מתקפות שיכולות לארוך שעתיים בלבד. להכנס מהר, לצאת מהר ולקצור רווח גדול.
״המשמעות שלאמצעי ההגנה בסייבר יש פחות זמן לאתר, לזהות ולסווג את התוקף. כאמור, לפעמים מספיקות שעתיים והרשת שלך מוצפנת. כדי להתמודד עם התופעה, פיתחנו טכנולוגיה שמסוגלת לזהות תהליך שמנסה להצפין. בצורה כזו, אנחנו מצליחים לעצור את הצפנת הקבצים בחלק גדול מהמתקפות אצל הלקוחות שלנו.
״עם זאת, צריך לזכור שהיום מתקפת כופר מורכבת משניים עד ארבעה ממדים. התוקף מזליג מידע טרם הצפנת הקבצים. לאחר מכן, הוא מאיים למכור או לחשוף את המידע. לפעמים הוא פונה ישירות לעיתונאים ולפעמים הוא פונה ישירות ללקוחות הקורבן. הכל כדי להפעיל לחץ על הקורבן, לקבל את הכסף ולהעלם. אנחנו מדברים על קבוצות פשיעה שמגלגלות עשרות או מאות מליוני דולרים בשנה.״
אחד השינויים שביצעה ארה״ב ואירופה בהקשר זה הוא לרדוף אחרי הפושעים. מעצרים מתוקשרים, תפיסת ארנקי קריפטו, סנקציות, רשימות שחורות מול בורסות קריפטו ועוד. ״לא ראינו זאת בעבר״, מסביר דהן. ״זו הסיבה העיקרית שבגינה יש קבוצות כופר שלא תוקפות תשתיות קריטיות או בתי חולים. כדי לא להסתבך עם אכיפת החוק. גם רואים יותר אדמינים של פורומים מנסים להתנער ממכירת מידע בשל סנקציות אמריקאיות והחשש מהבולשת האמריקאית והאירופול.״
Bulletproof
נושא נוסף שלפי דהן ילווה אותנו ב2022 הוא מדינות המספקות מכסה לקבוצות פשע בסייבר. לאחרונה דווח בתקשורת הרוסית על מעצרים של חברי קבוצת Revil. אחת מקבוצות התקיפה הגדולות שפועלות כיום. ״כל עוד הם לא היו תוקפים יעדים רוסים או באינטרס של רוסיה, הקרמלין העלים עין. פתאום התחילו להיות מעצרים ברוסיה. צריך לראות איך המגמה הזו תמשיך״, אומר דהן.
בחסות מדינה
במהלך הראיון התפתח גם שיח סביב איום שחקנים מדינתיים. ״בעבר ראינו קבוצות פשע שנושאות מבט לכלים של שחקני מדינה. כיום, אנחנו רואים מדינות משתמשות בתוכנות כופר בשביל מניעים מדיניים. הקבוצות הללו לא דורשות תשלום בכלל״, מסביר דהן.
״רואים שמדינות משתמשות בשיטות פעולה של גורמי פשיעה. מציאות כזו זה מאפשרת עמימות למדינה. בשונה ממדינות, ארגוני פשיעה פועלים עם מטרות שונות מארגוני ביון. לארגוני פשע יש מטרות פיננסיות. עם זאת, בהיבט משאבים, הם כמעט בלתי מוגבלים.״
עדכון טלאים
בעוד בעבר המיקוד בשיח המקצועי היה סביב חולשות זירו-דיי, כיום, השיח עבר לחולשות ידועות. בשנת 2021 דווחו עשרות אלפי חולשות חדשות, בספק כמה מתוכן עודכנו במערכות ארגונים מסביב לעולם. גם כאשר מדובר בארגון בינלאומי גדול, עתיר משאבים, עדיין, בפועל, מידת תיקון טלאי הקוד השונים אינה משמעותית ביחס לכמות החולשות.
״כמעט בכל התקיפות הגדולות, גם אם היה זירו, אתה רואה שימוש בחולשות ידועות. לפעמים אנחנו מוצאים חולשות שלא תוקנו גם אחרי חודשים ושנים ממועד פרסום הטלאי על ידי היצרן״, אומר דהן. ״כאן נכנסת לפעולה תפיסת הגנה בשכבות. אין ׳כדור כסף׳. אנחנו מספקים פתרונות לשאלה מה קורה שניה אחרי שהם נכנסו לרשת. מה השלבים הבאים? התוקף מחפש הרשאות? סורק פורטים פתוחים? אנחנו תופסים אותו בפעולות האלו.״
