סופוס, מובילה גלובלית באבטחת הדור הבא, פרסמה את דוח האיומים לשנת 2022. הדוח מראה כיצד כוח המשיכה של תוכנות הכופר מייצר חור שחור שמושך אליו איומי סייבר אחרים, ויוצר מערכת אספקה מחוברת ומאסיבית לאספקת תוכנות כופר עם השלכות משמעותיות על אבטחת המידע. הדוח, אשר נכתב על ידי חוקרי האבטחה של SophosLabs, צוות ציידי האיומים, צוות תגובה מהירה וצוות ה-AI של סופוס, מספק נקודת ממבט ייחודית ורב מימדית על איומי האבטחה והמגמות שיעסיקו ארגונים ב-2022.
דוח האיומים של סופוס לשנת 2022 מנתח את המגמות המרכזיות הבאות:
- במהלך השנה הקרובה, אופק תוכנות הכופר יהפוך למודולרי ואחיד יותר. "מומחים" בתוכנות כופר יציעו מרכיבים שונים של התקפות "כשירות", ויספקו דרך סדורה, עם כלים וטכניקות, שתאפשר לקבוצות שונות של תוקפים להוציא לפועל התקפות דומות מאוד. על פי חוקרי סופוס, התקפות שפותחו על ידי קבוצות נפרדות של תוכנות כופר התחלפו לאורך השנים בהיצע מתרחב של תוכנות כופר כשירות (RaaS). מפתחים המתמחים בתוכנות כופר מעדיפים כעת להתמקד בהשכרת קוד זדוני ותשתיות לשותפים חיצוניים. חלק מההתקפות המוכרות ביותר במהלך השנה כללו RaaS, כולל התקפות כנגד Colonial Pipeline בארה"ב על ידי שותף של DarkSide. שותף של תוכנת הכופר Conti הדליף את מדריך ההטמעה שסופק לו, כשהוא חושף כלים וטכניקות שהתוקפים יכולים להפעיל כדי לבצע מתקפת כופר.
ברגע שברשותם נמצא הקוד הזדוני שהם צריכים, שותפי ה-RaaS ומפעילי תוכנות כופר אחרים יכולים לפנות למוכרים של "גישה ראשונית" (Initial Access Brokers), כדי לאתר ולתקוף קורבנות פוטנציאליים. דרך פעולה זו מביאה עימה את המגמה השניה הגדולה שסופוס צופה.
- 2. איומי סייבר ותיקים ימשיכו לבצע התאמות כדי להפיץ ולהחדיר תוכנות כופר. אלה כוללים Loaders, droppers ותוכנות זדוניות נפוצות אחרות. הם גם כוללים Initial Access Brokers המופעלים על ידי אנשים, דואר זבל ותוכנות פרסום זדוני. ב- 2021, סופוס דיווחה על Gootloader שהפעיל מתקפה היברידית חדשנית ששילבה קמפיינים המוניים לצד סינון מדויק למיקוד חבילות קוד זדוני בהתאם למטרה.
- השימוש בדרכים מרובות לסחיטה כדי ליצור לחץ על הקורבנות לתשלום כופר צפוי להמשיך ולצמוח מבחינת היקף ועוצמה. ב- 2021, צוות התגובה של סופוס קטלג 10 סוגים שונים של טקטיקות לחץ, החל מגניבת מידע וחשיפתו, דרך שיחות טלפון מאיימות, התקפות מניעת שירות (DDoS) ועוד.
- 4. מטבעות קריפטוגרפיים ימשיכו לשמש דלק לפשיעת סייבר כגון תוכנות כופר והפעלת כורים זדוניים של מטבעות קריפטוגרפיים. סופוס צופה כי המגמה תמשיך עד אשר מטבעות הקריפטו הגלובליים יזכו לרגולציה משופרת. במהלך 2021, חוקרי סופוס חשפו כורי מטבעות כגון Lemon Duck, ו- MrbMiner המוכר פחות, שניצלו גישה שהתאפשרה בזכות פגיעויות חדשות, וחדרו גם למטרות שכבר נפרצו על ידי מפעילי תוכנות כופר, כדי להתקין כורי מטבעות.
"תוכנות הכופר משגשגות בזכות היכולת שלהן לבצע התאמות ולחדש", אמר צ'סטר ווישנייבסקי, מדען מחקר ראשי בסופוס. "לדוגמא, בעוד היצע של RaaS אינו דבר חדש, בשנים קודמות התרומה המרכזית שלו הייתה בעיקר הנגשה של תוכנות הכופר לתוקפים בעלי מיומנות ומימון פחותים. הדברים השתנו, וב- 2021, מפתחי RaaS משקיעים זמן ואנרגיה ביצירת קוד מתוחכם ובמציאת דרכים טובות יותר לחלץ תשלום גבוה מקורבנות, חברות ביטוח וגורמים האחראים על ניהול משא ומתן. הם כעת מעדיפים להעביר לאחרים משימות של מציאת קורבנות, התקנה והפעלת קוד זדוני, והלבנה של מטבעות הקריפטו שהתקבלו. הדבר משבש את אופק איומי הסייבר, כאשר איומים נפוצים, כגון loaders, droppers ו- Initial Access Brokers שהיו בסביבה ויצרו שיבושים הרבה לפני עליית תוכנות הכופר, נשאבים כעת אל 'החור השחור' של תוכנות הכופר".
"כבר לא מספיק שארגון יניח כי הוא מוגן רק באמצעות כלים לניטור אבטחה, ויניח כי הם מזהים קוד זדוני. שילובים מסוימים של זיהוי או אפילו התראות הם המקבילה הוירטואלית של פורץ שישבור צנצנת פרחים בעודו מטפס דרך החלון האחורי. המגינים חייבים לחקור התראות, אפילו כאלו שנחשבו בעבר ללא משמעותיות – מאחר והן הפכו לנקודת גישה להשתלטות על הרשת כולה".
מגמות נוספות שנותחו על ידי סופוס:
- לאחר שנחשפו פגיעויות ProxyLogon ו- ProxyShell (ותוקנו) ב- 2021, המהירות בה נוצלו על ידי תוקפים גורמת לסופוס לצפות ניסיונות רבים לניצול של כלי ניהול IT ושירותים החשופים לרשת, גם מצד תוקפים מיומנים וגם מצד עבריינים מהשורה.
- סופוס גם מצפה שעברייני סייבר יגבירו את הניצול של כלי סימולציה, כגון Cobalt Strike Beacongs, mimikatz ו – PowerSploit. המגינים צריכים לבדוק כל התראה הקשורה לניצול של כלים מוכרים או שילוב של כלים, בדיוק כפי שהם בוחנים זיהוי זדוני, מאחר והדבר יכול להצביע על נוכחות של פורץ ברשת.
- ב- 2021, חוקרי סופוס פירטו מספר איומים חדשים על מערכות לינוקס והם צופים לראות עניין הולך וגובר במערכות מבוססות לינוקס במהלך 2022, גם בענן, ברשת ובשרתים וירטואליים.
- איומים על ניידים והונאות של הנדסה חברתית, כולל Flubot ו- Joker, צפויים להמשיך ולהתפשט כדי לתקוף גם אנשים פרטיים וגם ארגונים.
- היישום של בינה מלאכותית באבטחת סייבר ימשיך להאיץ, בעוד מודלים עוצמתיים של לימוד מכונה מוכיחים את הערך שלהם בזיהוי איומים ותיעדוף התראות. במקביל, עם זאת, התוקפים צפויים להגביר את השימוש שלהם ב- AI בשנים הקרובות, מהפעלת AI בקמפיינים של דיסאינפורמציה וזיוף פרופילים במדיה החברתית ועד ליצירת תוכן למתקפת "בורות השקיה" (watering hole), הודעות פישינג, ווידאו Deepfake.
כדי ללמוד יותר אודות אופק האיומים ב- 2021 והמשמעויות שלו עבור צוותי אבטחה ב- 2022, קראו את הדוח המלא: Sophos 2022 Threat Report ואת הניתוח שלו – כאן
