דוח מפת האיומים של פורטינט חושף: מספר תוכנות הכופר הוכפל במחצית הראשונה של 2022
המלחמה באוקראינה הביאה לעלייה ניכרת בתוכנות מחיקה זדוניות על דיסק בקרב גורמי איום המתמקדים בעיקר בתשתית קריטית. חוקרי FortiGuard Labs זיהו לפחות 7 גרסאות חדשות משמעותיות
עמי רוחקס דומבה
| 08/09/2022
bigstock
פורטינט פרסמה את ממצאי דוח מפת האיומים הגלובלי החצי-שנתי של FortiGuard Labs, גוף המחקר של החברה. הדוח מתבסס על המודיעין השיתופי של FortiGuard Labs, אשר נלקח ממערך החיישנים הרחב של פורטינט, האוספים מיליארדים של אירועי אבטחה אשר נצפו ברחבי העולם במהלך המחצית הראשונה של 2022.
הדוח של FortiGuard Labs משתמש במודל העבודה של MITRE ATT&CK לסיווג השיטות והטכניקות של פושעי הסייבר – הכוללות סיור, פיתוח משאבים וגישה ראשונית – כדי לתאר באילו דרכים גורמי האיום מתמקדים בנקודות תורפה, בונים תשתית זדונית ומנצלים את המטרות שלהם. כמו כן, הדוח מתייחס לנקודות מבט גלובליות ואזוריות ולמגמות איומים המשפיעות על ה-IT וה-OT. להלן ממצאי הדוח העיקריים:
גידול במספר גרסאות תוכנות הכופר מעיד על התפתחות מרחב הפעילות של הפושעים: תוכנות הכופר עדיין מהוות את האיום המרכזי ופושעי הסייבר ממשיכים להשקיע משאבים משמעותיים בטכניקות התקפה חדשות. במחצית הראשונה של 2022, חוקרי FortiGuard Labs איתרו מספר כולל של 10,666 גרסאות של תוכנות כופר, בהשוואה ל-5,400 בששת החודשים שקדמו להם.
מדובר בצמיחה של קרוב ל-100% בגרסאות של תוכנות כופר בתקופה של חצי שנה. הכופרה-כשירות (RaaS) צוברת פופולריות ברשת האפלה וממשיכה לתדלק תעשייה של פושעים אשר מאלצים ארגונים לשקול הסדרים של תשלום כופר. כדי להתגונן מפני מתקפות כופר, ארגונים בכל גודל ובכל תעשייה צריכים לנקוט בגישה יזומה, הכוללת נראות בזמן אמת, הגנה, מניעה יחד עם גישת רשת zero-trust (ZTNA) ופתרון איתור ותגובה מתקדם לנקודות קצה (EDR).
היקף שבועי של תוכנות כופר ב-12 החודשים האחרונים
מגמות הניצול מראות כי רשתות ה-OT ונקודות הקצה הם יעדים מפתים: ההתכנסות הדיגיטלית של ה-IT וה-OT ונקודות הקצה מאפשרת לעבודה מכל מקום (WFA) להמשיך להוות את הגורם המרכזי של מתקפות, כאשר הגורמים העוינים ממשיכים להתמקד בשטח התקיפה הגדל.
ניצול רב של נקודות תורפה בנקודות הקצה מערב משתמשים לא מורשים המקבלים גישה למערכת עם המטרה של תנועה רוחבית כדי להיכנס לעומק הרשתות הארגוניות. דוגמאות לכך ניתן לראות עבור נקודת תורפה מסוג spoofing בנפח גבוה ונקודת תורפה מסוג ביצוע קוד מרחוק (RCE).
כמו כן, ניתוח נקודות התורפה של נקודות הקצה לפי האיתור והנפח שלהן חושף את הדרך הנחושה של פושעי הסייבר, המנסים לקבל גישה באמצעות מקסום נקודות תורפה ישנות וחדשות. בנוסף לכך, כאשר מתבוננים במגמות נקודות התורפה של ה-OT, רואים שגם מגזר זה סובל.
ניתן לראות כי טווח רחב של התקנים ופלטפורמות נוצלו על ידי הפושעים, מה שמדגים את המציאות של אבטחת הסייבר בכל הנוגע להתכנסות מוגברת של ה-IT וה-OT והיעדים של הפושעים, הגורמים לשיבושים.
ֿטכנולוגיית נקודות קצה מתקדמת יכולה לסייע למנוע ולתקן ביעילות התקנים אשר נפגעו בשלב מוקדם במתקפה. בנוסף לכך, ניתן להשתמש בשירות הגנה דיגיטלי מפני סיכונים (DRPS) כדי לבצע הערכות איומים חיצוניים, לאתר ולתקן בעיות אבטחה ולסייע לקבל תובנות קונטקסטואליות בנוגע לאיומים נוכחיים ועתידיים.
מגמות איום הרסניות ממשיכות עם התרחבות תוכנות המחיקה: מגמות של תוכנת המחיקה הזדונית (Wiper) חושפות התפתחות מטרידה של טכניקות מתקפה יותר הרסניות ומתוחכמות, המתבצעות באמצעות תוכנה זדונית אשר משמידה נתונים על ידי מחיקתם.
המלחמה באוקראינה הביאה לעלייה ניכרת בתוכנות מחיקה זדוניות על דיסק בקרב גורמי איום המתמקדים בעיקר בתשתית קריטית. חוקרי FortiGuard Labs זיהו לפחות 7 גרסאות חדשות משמעותיות של תוכנות מחיקה במחצית הראשונה של 2022, אשר שימשו במגוון מתקפות נגד ממשלות, צבא וארגונים פרטיים.
מדובר במספר משמעותי היות והוא קרוב למספר גרסאות תוכנות המחיקה אשר אותרו באופן פומבי מאז 2012. בנוסף לכך, תוכנות המחיקה לא נותרו במיקום גאוגרפי אחד, אלא אותרו ב-24 מדינות מלבד אוקראינה. כדי למזער את ההשפעה של תוכנות מחיקה, ניתן להיעזר בפתרון איתור ותגובת רשת (NDR) בעל בינה מלאכותית עם יכולת לימוד עצמי כדי לאתר חדירות בצורה טובה יותר. כמו כן, יש לאחסן גיבויים מחוץ לאתר ובאופן לא מקוון.
מדינות אשר איתרו תוכנות מחיקה (Wiper) הקשורות למלחמה בין רוסיה ואוקראינה
בחינה של אסטרטגיות הפושעים חושפת תובנות אודות הדרך שבה מתפתחות הטכניקות ושיטות המתקפה. חוקרי FortiGuard Labs ניתחו את הפונקציונליות של התוכנות הזדוניות שהתגלו במהלך המחצית הראשונה של 2022 כדי לעקוב אחר הגישות השכיחות ביותר ומצאו כי בין 8 הטכניקות והשיטות המובילות הממוקדות בנקודות הקצה, התחמקות מאמצעי הגנה (Defense Evasion) הייתה הטכניקה המיושמת ביותר על ידי מפתחי התוכנות הזדוניות.
היות והסתרת הכוונות הזדוניות זהו אחד הדברים החשובים ביותר עבור הפושעים, הם מנסים להתחמק מאמצעי ההגנה על ידי מיסוך וניסיון להחביא פקודות באמצעות שימוש בהסמכה אמיתית כדי לבצע תהליך מהימן ולהוציא לפועל את הכוונה הזדונית שלהם.
הטכניקה השנייה הפופולרית ביותר הייתה Process Injection, כאשר הפושעים פועלים כדי להזריק קוד למרחב הכתובת של תהליך אחר כדי להתחמק מאמצעי הגנה ולשפר את יכולת ההתגנבות שלהם. ארגונים יהיו מסוגלים להתגונן בצורה יעילה יותר נגד הכלים המקיפים של הפושעים אם יהיו חמושים במודיעין זה, שניתן לפעול לפיו.
פלטפורמות אבטחת סייבר משולבות בעלות בינה מלאכותית ולמידת מכונה עם יכולות איתור ותגובה מתקדמות, המופעלות על ידי מודיעין איומים שניתן לפעול לפיו, חשובות כדי להגן על כל הקצוות של הרשתות ההיברידיות.
אבטחה מבוססת בינה מלאכותית על פני שטח התקיפה המורחב
כאשר ארגונים מקבלים הבנה עמוקה יותר של המטרות והטכניקות המשמשות את הפושעים באמצעות מודיעין איומים שניתן לפעול לפיו, הם יכולים להיערך טוב יותר עם אמצעי הגנה כדי להסתגל ולהגיב באופן יזום לטכניקות התקיפה המשתנות במהירות.
תובנות איומים הן קריטיות כדי לסייע לתעדף מדיניות תיקון להגנה טובה יותר על הסביבות. גם מודעות והדרכה לאבטחת סייבר הן חשובות ככל שנוף האיומים משתנה כדי שהעובדים והצוותים יהיו מעודכנים בכל החידושים בנושא. ארגונים זקוקים לפעולות אבטחה אשר יכולות לתפקד במהירות של מכונה כדי לעמוד בקצב הנפח, התחכום ושיעור איומי הסייבר כיום.
אסטרטגיות מניעה, איתור ותגובה המופעלות על בינה מלאכותית ולמידת מכונה המבוססות על ארכיטקטורת אבטחת סייבר רב-שכבתית מאפשרות אינטגרציה הדוקה יותר, אוטומציה מוגברת ותגובה מהירה, מתואמת ויעילה יותר לאיומים ברשת המורחבת.
דרק מאנקי, אסטרטג אבטחה בכיר וסמנכ"ל שיתופי פעולה גלובליים ב-FortiGuard Labs, פורטינט, אמר כי, "פושעי הסייבר מקדמים את האסטרטגיות שלהם כדי לסכל הגנות ולהגדיל את רשתות השותפים הפליליים שלהם. הם משתמשים באסטרטגיות ביצוע תוקפניות כמו סחיטה או מחיקת נתונים, לצד התמקדות בטכניקות סיור לפני המתקפה כדי להבטיח לעצמם החזר על השקעה.
״כדי להיאבק במתקפות מתקדמות ומתוחכמות, ארגונים זקוקים לפתרונות אבטחה משולבים אשר יכולים להשתמש במודיעין איומים בזמן אמת, לאתר דפוסי איום ולתאם בין כמויות עצומות של נתונים כדי לאתר חריגות וליזום באופן אוטומטי תגובה מתואמת ברשתות ההיברידיות".
המלחמה באוקראינה הביאה לעלייה ניכרת בתוכנות מחיקה זדוניות על דיסק בקרב גורמי איום המתמקדים בעיקר בתשתית קריטית. חוקרי FortiGuard Labs זיהו לפחות 7 גרסאות חדשות משמעותיות
bigstock
פורטינט פרסמה את ממצאי דוח מפת האיומים הגלובלי החצי-שנתי של FortiGuard Labs, גוף המחקר של החברה. הדוח מתבסס על המודיעין השיתופי של FortiGuard Labs, אשר נלקח ממערך החיישנים הרחב של פורטינט, האוספים מיליארדים של אירועי אבטחה אשר נצפו ברחבי העולם במהלך המחצית הראשונה של 2022.
הדוח של FortiGuard Labs משתמש במודל העבודה של MITRE ATT&CK לסיווג השיטות והטכניקות של פושעי הסייבר – הכוללות סיור, פיתוח משאבים וגישה ראשונית – כדי לתאר באילו דרכים גורמי האיום מתמקדים בנקודות תורפה, בונים תשתית זדונית ומנצלים את המטרות שלהם. כמו כן, הדוח מתייחס לנקודות מבט גלובליות ואזוריות ולמגמות איומים המשפיעות על ה-IT וה-OT. להלן ממצאי הדוח העיקריים:
גידול במספר גרסאות תוכנות הכופר מעיד על התפתחות מרחב הפעילות של הפושעים: תוכנות הכופר עדיין מהוות את האיום המרכזי ופושעי הסייבר ממשיכים להשקיע משאבים משמעותיים בטכניקות התקפה חדשות. במחצית הראשונה של 2022, חוקרי FortiGuard Labs איתרו מספר כולל של 10,666 גרסאות של תוכנות כופר, בהשוואה ל-5,400 בששת החודשים שקדמו להם.
מדובר בצמיחה של קרוב ל-100% בגרסאות של תוכנות כופר בתקופה של חצי שנה. הכופרה-כשירות (RaaS) צוברת פופולריות ברשת האפלה וממשיכה לתדלק תעשייה של פושעים אשר מאלצים ארגונים לשקול הסדרים של תשלום כופר. כדי להתגונן מפני מתקפות כופר, ארגונים בכל גודל ובכל תעשייה צריכים לנקוט בגישה יזומה, הכוללת נראות בזמן אמת, הגנה, מניעה יחד עם גישת רשת zero-trust (ZTNA) ופתרון איתור ותגובה מתקדם לנקודות קצה (EDR).
היקף שבועי של תוכנות כופר ב-12 החודשים האחרונים
מגמות הניצול מראות כי רשתות ה-OT ונקודות הקצה הם יעדים מפתים: ההתכנסות הדיגיטלית של ה-IT וה-OT ונקודות הקצה מאפשרת לעבודה מכל מקום (WFA) להמשיך להוות את הגורם המרכזי של מתקפות, כאשר הגורמים העוינים ממשיכים להתמקד בשטח התקיפה הגדל.
ניצול רב של נקודות תורפה בנקודות הקצה מערב משתמשים לא מורשים המקבלים גישה למערכת עם המטרה של תנועה רוחבית כדי להיכנס לעומק הרשתות הארגוניות. דוגמאות לכך ניתן לראות עבור נקודת תורפה מסוג spoofing בנפח גבוה ונקודת תורפה מסוג ביצוע קוד מרחוק (RCE).
כמו כן, ניתוח נקודות התורפה של נקודות הקצה לפי האיתור והנפח שלהן חושף את הדרך הנחושה של פושעי הסייבר, המנסים לקבל גישה באמצעות מקסום נקודות תורפה ישנות וחדשות. בנוסף לכך, כאשר מתבוננים במגמות נקודות התורפה של ה-OT, רואים שגם מגזר זה סובל.
ניתן לראות כי טווח רחב של התקנים ופלטפורמות נוצלו על ידי הפושעים, מה שמדגים את המציאות של אבטחת הסייבר בכל הנוגע להתכנסות מוגברת של ה-IT וה-OT והיעדים של הפושעים, הגורמים לשיבושים.
ֿטכנולוגיית נקודות קצה מתקדמת יכולה לסייע למנוע ולתקן ביעילות התקנים אשר נפגעו בשלב מוקדם במתקפה. בנוסף לכך, ניתן להשתמש בשירות הגנה דיגיטלי מפני סיכונים (DRPS) כדי לבצע הערכות איומים חיצוניים, לאתר ולתקן בעיות אבטחה ולסייע לקבל תובנות קונטקסטואליות בנוגע לאיומים נוכחיים ועתידיים.
מגמות איום הרסניות ממשיכות עם התרחבות תוכנות המחיקה: מגמות של תוכנת המחיקה הזדונית (Wiper) חושפות התפתחות מטרידה של טכניקות מתקפה יותר הרסניות ומתוחכמות, המתבצעות באמצעות תוכנה זדונית אשר משמידה נתונים על ידי מחיקתם.
המלחמה באוקראינה הביאה לעלייה ניכרת בתוכנות מחיקה זדוניות על דיסק בקרב גורמי איום המתמקדים בעיקר בתשתית קריטית. חוקרי FortiGuard Labs זיהו לפחות 7 גרסאות חדשות משמעותיות של תוכנות מחיקה במחצית הראשונה של 2022, אשר שימשו במגוון מתקפות נגד ממשלות, צבא וארגונים פרטיים.
מדובר במספר משמעותי היות והוא קרוב למספר גרסאות תוכנות המחיקה אשר אותרו באופן פומבי מאז 2012. בנוסף לכך, תוכנות המחיקה לא נותרו במיקום גאוגרפי אחד, אלא אותרו ב-24 מדינות מלבד אוקראינה. כדי למזער את ההשפעה של תוכנות מחיקה, ניתן להיעזר בפתרון איתור ותגובת רשת (NDR) בעל בינה מלאכותית עם יכולת לימוד עצמי כדי לאתר חדירות בצורה טובה יותר. כמו כן, יש לאחסן גיבויים מחוץ לאתר ובאופן לא מקוון.
מדינות אשר איתרו תוכנות מחיקה (Wiper) הקשורות למלחמה בין רוסיה ואוקראינה
בחינה של אסטרטגיות הפושעים חושפת תובנות אודות הדרך שבה מתפתחות הטכניקות ושיטות המתקפה. חוקרי FortiGuard Labs ניתחו את הפונקציונליות של התוכנות הזדוניות שהתגלו במהלך המחצית הראשונה של 2022 כדי לעקוב אחר הגישות השכיחות ביותר ומצאו כי בין 8 הטכניקות והשיטות המובילות הממוקדות בנקודות הקצה, התחמקות מאמצעי הגנה (Defense Evasion) הייתה הטכניקה המיושמת ביותר על ידי מפתחי התוכנות הזדוניות.
היות והסתרת הכוונות הזדוניות זהו אחד הדברים החשובים ביותר עבור הפושעים, הם מנסים להתחמק מאמצעי ההגנה על ידי מיסוך וניסיון להחביא פקודות באמצעות שימוש בהסמכה אמיתית כדי לבצע תהליך מהימן ולהוציא לפועל את הכוונה הזדונית שלהם.
הטכניקה השנייה הפופולרית ביותר הייתה Process Injection, כאשר הפושעים פועלים כדי להזריק קוד למרחב הכתובת של תהליך אחר כדי להתחמק מאמצעי הגנה ולשפר את יכולת ההתגנבות שלהם. ארגונים יהיו מסוגלים להתגונן בצורה יעילה יותר נגד הכלים המקיפים של הפושעים אם יהיו חמושים במודיעין זה, שניתן לפעול לפיו.
פלטפורמות אבטחת סייבר משולבות בעלות בינה מלאכותית ולמידת מכונה עם יכולות איתור ותגובה מתקדמות, המופעלות על ידי מודיעין איומים שניתן לפעול לפיו, חשובות כדי להגן על כל הקצוות של הרשתות ההיברידיות.
אבטחה מבוססת בינה מלאכותית על פני שטח התקיפה המורחב
כאשר ארגונים מקבלים הבנה עמוקה יותר של המטרות והטכניקות המשמשות את הפושעים באמצעות מודיעין איומים שניתן לפעול לפיו, הם יכולים להיערך טוב יותר עם אמצעי הגנה כדי להסתגל ולהגיב באופן יזום לטכניקות התקיפה המשתנות במהירות.
תובנות איומים הן קריטיות כדי לסייע לתעדף מדיניות תיקון להגנה טובה יותר על הסביבות. גם מודעות והדרכה לאבטחת סייבר הן חשובות ככל שנוף האיומים משתנה כדי שהעובדים והצוותים יהיו מעודכנים בכל החידושים בנושא. ארגונים זקוקים לפעולות אבטחה אשר יכולות לתפקד במהירות של מכונה כדי לעמוד בקצב הנפח, התחכום ושיעור איומי הסייבר כיום.
אסטרטגיות מניעה, איתור ותגובה המופעלות על בינה מלאכותית ולמידת מכונה המבוססות על ארכיטקטורת אבטחת סייבר רב-שכבתית מאפשרות אינטגרציה הדוקה יותר, אוטומציה מוגברת ותגובה מהירה, מתואמת ויעילה יותר לאיומים ברשת המורחבת.
דרק מאנקי, אסטרטג אבטחה בכיר וסמנכ"ל שיתופי פעולה גלובליים ב-FortiGuard Labs, פורטינט, אמר כי, "פושעי הסייבר מקדמים את האסטרטגיות שלהם כדי לסכל הגנות ולהגדיל את רשתות השותפים הפליליים שלהם. הם משתמשים באסטרטגיות ביצוע תוקפניות כמו סחיטה או מחיקת נתונים, לצד התמקדות בטכניקות סיור לפני המתקפה כדי להבטיח לעצמם החזר על השקעה.
״כדי להיאבק במתקפות מתקדמות ומתוחכמות, ארגונים זקוקים לפתרונות אבטחה משולבים אשר יכולים להשתמש במודיעין איומים בזמן אמת, לאתר דפוסי איום ולתאם בין כמויות עצומות של נתונים כדי לאתר חריגות וליזום באופן אוטומטי תגובה מתואמת ברשתות ההיברידיות".
