Cybersixgill: הפורומים הגדולים ברשת האפלה - פחות אפקטיביים לאיסוף מודיעין
ב2021, זוהתה מגמה של ביזור מידע הולך וגובר בדארקנט. בהתאם לכך, אנליסטים לא יכולים עוד להישען רק על הפורומים המובילים כמקור בלעדי למודיעין. כך קובע דו"ח עדכני של חברת מודיעין הסייבר Cybersixgill
עמי רוחקס דומבה
| 12/04/2022
bigstock
הסיפור הגדול של 2021 בסייבר היה תקיפות הכופר. אומנם, היה זה נושא חם כבר ב-2020, אבל ב-2021 הוא נעשה משמעותי אפילו יותר, כאשר תקיפות כופר הופכות לאיום הסייבר בעל ההשפעה הרבה ביותר על אינספור ארגונים ברחבי העולם שחוו תקיפות משבשות ואפילו משתקות.
הנזק היה רב כשם שהקורבנות היו מגוונים: מהתקיפות הושפעו ארגונים מכל סדר גודל ומשלל ורטיקליים - מספקי שירותי תוכנה ועד גופי שידור, מממשלות ועד בתי ספר, מיצרנית גדולה בתעשיית הבשר ועד צינור נפט חיוני בארצות-הברית.
על עוצמת התופעה תעיד הודעת ה-FBI שבעה חודשים לתוך השנה, ולפיה כבר התקבלו במהלכה 2,084 תלונות על תקיפות כופר, אשר גרמו להפסדים בשווי מצטבר של 16.8 מיליון דולר - עלייה של 62% במספר הדיווחים ושל 20% בהפסדים המדווחים ביחס לתקופה המקבילה ב-2020.
הדארקנט מספקת לעולם הפשיעה המקוונת סביבה אידיאלית לפיתוח, התרחבות והפצה של תקיפות כופר, כמו גם לפעולות הסחיטה המתבצעות לאחריהן. ראשית, זוהי פלטפורמה לתכנון ולהוצאה לפועל של תקיפות, שבה קבוצות שונות יכולות לפרסם בפורומים קריאות לשותפים שיחברו אליהן ויסייעו להן באספקטים שונים בביצוע.
כמו כן, תוקפים יכולים לרכוש בדארקנט אמצעי גישה למנעד רחב של מערכות בסיכון דרך שווקים לא חוקיים לגישה ראשונית, המספקים נקודות כניסה שמהן ניתן לצאת למתקפות.
שנית, לאחר התקיפה וההסתננות למערכות הארגוניות, קבוצות כופר מפעילות אתרים לחשיפת המידע המודלף המתארחים אף הם בדארקנט במטרה לסחוט את קורבנותיהן, כשהן מאיימות לחשוף בהם באופן פומבי מידע חסוי אם דרישותיהן לא ייענו.
המקורות של Cybersixgill חושפים התרחבות ניכרת בכלכלת הכופר בדארקנט במהלך 2021: לאורך השנה נמכרה דרכה גישה ל-4,286,150 נקודות קצה - זינוק של 457% בהשוואה ל-2020.
ניכר שספקי הגישה למערכות באותם שווקים הגבירו את ההיצע כדי לעמוד בביקוש הגואה. במקביל, ב-2021 נאספו 3,264 פרסומים בדבר אתרי חשיפות מידע של קבוצות כופר (בחתך גס, כל פוסט מייצג תקיפה) - יותר מכפול ביחס למספר הפרסומים שנאסף ב-2020 (1,509).
לצד הגידול הדרמטי בכופרות, ניתוח הפעילות בדארקנט ב-2021 מעלה תובנה חשובה נוספת: אף שמספר הפרסומים בפורומים ובערוצי המסרים גדל במידה ניכרת (עלייה של 45% ו-338% בהתאמה), מניין הפרסומים והשחקנים המשתתפים בפורומים הפופולריים ביותר דווקא ירד בחדות.
נראה שהדבר מעיד על מגמה של ביזור הולך וגובר בדארקנט. בהתאם לכך, אנליסטים לא יכולים עוד להישען רק על הפורומים המובילים כמקור בלעדי למודיעין. כדי להגיע להבנה מקיפה של ההתפתחויות בדארקנט ולהשיג תמונת מודיעין מדויקת, חייבים להרחיב את היריעה בסריקה ובחקירה ולכלול מקורות רבים ככל שניתן.
מבט קדימה ל-2022
רבים מניחים כי תקיפות הכופר יתקדמו בשנת 2022 באותו המסלול. הנחה שכזאת מפשטת את התמונה יתר על המידה, ולדעתנו, היא גם לא לגמרי מדויקת.
שתי התפתחויות חשובות נשבו ב-2021 בפניהן של קבוצות הכופר: ראשית, באמצע חודש מאי החליטו פורומים רבים לאסור על פרסום כופרות או תוכניות לשיתופי פעולה סביבן, ובכך שללו משחקני הכופר את הפלטפורמה המרכזית שלהם לגיוסים, שותפויות וקידום פעילויות.
שנית, הממשל הפדרלי בארצות-הברית נקט צעדים אגרסיביים נגד קבוצות כופר בולטות והיכולת להמיר מטבעות דיגיטליים המאפשרת את תשלומי הכופר. למעשה, שחקני הכופר הפכו לקורבנות ההצלחה של עצמם: בזמן שהם מרוויחים מתשלומי הכופר המופקעים, הם סובלים עתה מהשלכות מעשיהם הידועים לשמצה.
לאור זאת, אנו מעריכים שב-2022 קבוצות הכופר תהיינה בררניות יותר בבחירת יעדי התקיפה, כשהן מעדיפות להתנזר מתקיפת מטרות רגישות או חיוניות - ואולי אף להימנע כליל מתקיפת ארגונים אמריקאיים - לטובת מטרות בפרופיל נמוך יותר.
זאת, בין היתר, כדי להימנע מזעם תגובת הנגד של הרשויות הפדרליות. לא מן הנמנע שמספר קבוצות יבחרו לסגור את אתרי חשיפת המידע שלהן, אשר נועדו לתת הד פומבי לתקיפות, ובמקום זה יעדיפו לבצע את תקיפות הכופר ולנהל את המשא ומתן בערוצים פרטיים. ככלל, אנחנו מעריכים שקבוצות הכופר יאמצו שיטות פעולה דיסקרטיות יותר במקום תקיפות הרהב.
מגמה זו צפויה לעודד התפתחות בשוקי הגישה מרחוק למערכות: אם שחקני כופר יאותתו על ביקוש לתפריט רחב יותר של מטרות אפשריות, השווקים יצטרכו לעלות מדרגה ולספק לכך מענה.
עוד אנחנו צופים שתימשך מגמת החלוקה והביזור של האקוסיסטם בדארקנט. הפורומים הגדולים יותר נוטים להיות רועשים מדי, גדושים בספאם ובמסרים מתלהמים. נוסף על כך, בשל הפופולריות שלהם, הם לרוב גם מושכים את תשומת הלב של גורמי אכיפת חוק, חוקרים ומשקיפים סקרנים למיניהם.
לכן, אפשר להניח ששחקני האיום בדארקנט יפנו לפורומים ולערוצי מסרים חדשים, אולי בחיפוש אחר פלטפורמות ממוקדות מטרה במקום כאלו העוסקות בכול - מפריצות סייבר ועד מתכונים לעוגיות.
ב2021, זוהתה מגמה של ביזור מידע הולך וגובר בדארקנט. בהתאם לכך, אנליסטים לא יכולים עוד להישען רק על הפורומים המובילים כמקור בלעדי למודיעין. כך קובע דו"ח עדכני של חברת מודיעין הסייבר Cybersixgill
bigstock
הסיפור הגדול של 2021 בסייבר היה תקיפות הכופר. אומנם, היה זה נושא חם כבר ב-2020, אבל ב-2021 הוא נעשה משמעותי אפילו יותר, כאשר תקיפות כופר הופכות לאיום הסייבר בעל ההשפעה הרבה ביותר על אינספור ארגונים ברחבי העולם שחוו תקיפות משבשות ואפילו משתקות.
הנזק היה רב כשם שהקורבנות היו מגוונים: מהתקיפות הושפעו ארגונים מכל סדר גודל ומשלל ורטיקליים - מספקי שירותי תוכנה ועד גופי שידור, מממשלות ועד בתי ספר, מיצרנית גדולה בתעשיית הבשר ועד צינור נפט חיוני בארצות-הברית.
על עוצמת התופעה תעיד הודעת ה-FBI שבעה חודשים לתוך השנה, ולפיה כבר התקבלו במהלכה 2,084 תלונות על תקיפות כופר, אשר גרמו להפסדים בשווי מצטבר של 16.8 מיליון דולר - עלייה של 62% במספר הדיווחים ושל 20% בהפסדים המדווחים ביחס לתקופה המקבילה ב-2020.
הדארקנט מספקת לעולם הפשיעה המקוונת סביבה אידיאלית לפיתוח, התרחבות והפצה של תקיפות כופר, כמו גם לפעולות הסחיטה המתבצעות לאחריהן. ראשית, זוהי פלטפורמה לתכנון ולהוצאה לפועל של תקיפות, שבה קבוצות שונות יכולות לפרסם בפורומים קריאות לשותפים שיחברו אליהן ויסייעו להן באספקטים שונים בביצוע.
כמו כן, תוקפים יכולים לרכוש בדארקנט אמצעי גישה למנעד רחב של מערכות בסיכון דרך שווקים לא חוקיים לגישה ראשונית, המספקים נקודות כניסה שמהן ניתן לצאת למתקפות.
שנית, לאחר התקיפה וההסתננות למערכות הארגוניות, קבוצות כופר מפעילות אתרים לחשיפת המידע המודלף המתארחים אף הם בדארקנט במטרה לסחוט את קורבנותיהן, כשהן מאיימות לחשוף בהם באופן פומבי מידע חסוי אם דרישותיהן לא ייענו.
המקורות של Cybersixgill חושפים התרחבות ניכרת בכלכלת הכופר בדארקנט במהלך 2021: לאורך השנה נמכרה דרכה גישה ל-4,286,150 נקודות קצה - זינוק של 457% בהשוואה ל-2020.
ניכר שספקי הגישה למערכות באותם שווקים הגבירו את ההיצע כדי לעמוד בביקוש הגואה. במקביל, ב-2021 נאספו 3,264 פרסומים בדבר אתרי חשיפות מידע של קבוצות כופר (בחתך גס, כל פוסט מייצג תקיפה) - יותר מכפול ביחס למספר הפרסומים שנאסף ב-2020 (1,509).
לצד הגידול הדרמטי בכופרות, ניתוח הפעילות בדארקנט ב-2021 מעלה תובנה חשובה נוספת: אף שמספר הפרסומים בפורומים ובערוצי המסרים גדל במידה ניכרת (עלייה של 45% ו-338% בהתאמה), מניין הפרסומים והשחקנים המשתתפים בפורומים הפופולריים ביותר דווקא ירד בחדות.
נראה שהדבר מעיד על מגמה של ביזור הולך וגובר בדארקנט. בהתאם לכך, אנליסטים לא יכולים עוד להישען רק על הפורומים המובילים כמקור בלעדי למודיעין. כדי להגיע להבנה מקיפה של ההתפתחויות בדארקנט ולהשיג תמונת מודיעין מדויקת, חייבים להרחיב את היריעה בסריקה ובחקירה ולכלול מקורות רבים ככל שניתן.
מבט קדימה ל-2022
רבים מניחים כי תקיפות הכופר יתקדמו בשנת 2022 באותו המסלול. הנחה שכזאת מפשטת את התמונה יתר על המידה, ולדעתנו, היא גם לא לגמרי מדויקת.
שתי התפתחויות חשובות נשבו ב-2021 בפניהן של קבוצות הכופר: ראשית, באמצע חודש מאי החליטו פורומים רבים לאסור על פרסום כופרות או תוכניות לשיתופי פעולה סביבן, ובכך שללו משחקני הכופר את הפלטפורמה המרכזית שלהם לגיוסים, שותפויות וקידום פעילויות.
שנית, הממשל הפדרלי בארצות-הברית נקט צעדים אגרסיביים נגד קבוצות כופר בולטות והיכולת להמיר מטבעות דיגיטליים המאפשרת את תשלומי הכופר. למעשה, שחקני הכופר הפכו לקורבנות ההצלחה של עצמם: בזמן שהם מרוויחים מתשלומי הכופר המופקעים, הם סובלים עתה מהשלכות מעשיהם הידועים לשמצה.
לאור זאת, אנו מעריכים שב-2022 קבוצות הכופר תהיינה בררניות יותר בבחירת יעדי התקיפה, כשהן מעדיפות להתנזר מתקיפת מטרות רגישות או חיוניות - ואולי אף להימנע כליל מתקיפת ארגונים אמריקאיים - לטובת מטרות בפרופיל נמוך יותר.
זאת, בין היתר, כדי להימנע מזעם תגובת הנגד של הרשויות הפדרליות. לא מן הנמנע שמספר קבוצות יבחרו לסגור את אתרי חשיפת המידע שלהן, אשר נועדו לתת הד פומבי לתקיפות, ובמקום זה יעדיפו לבצע את תקיפות הכופר ולנהל את המשא ומתן בערוצים פרטיים. ככלל, אנחנו מעריכים שקבוצות הכופר יאמצו שיטות פעולה דיסקרטיות יותר במקום תקיפות הרהב.
מגמה זו צפויה לעודד התפתחות בשוקי הגישה מרחוק למערכות: אם שחקני כופר יאותתו על ביקוש לתפריט רחב יותר של מטרות אפשריות, השווקים יצטרכו לעלות מדרגה ולספק לכך מענה.
עוד אנחנו צופים שתימשך מגמת החלוקה והביזור של האקוסיסטם בדארקנט. הפורומים הגדולים יותר נוטים להיות רועשים מדי, גדושים בספאם ובמסרים מתלהמים. נוסף על כך, בשל הפופולריות שלהם, הם לרוב גם מושכים את תשומת הלב של גורמי אכיפת חוק, חוקרים ומשקיפים סקרנים למיניהם.
לכן, אפשר להניח ששחקני האיום בדארקנט יפנו לפורומים ולערוצי מסרים חדשים, אולי בחיפוש אחר פלטפורמות ממוקדות מטרה במקום כאלו העוסקות בכול - מפריצות סייבר ועד מתכונים לעוגיות.
