טיפול באירועי כופרה

בעבר הרחוק אירועי כופרה היו ממוקדים בחטיפות פיזיות בעיקר במדינות עולם שלישי ודרישות כופר תמורת שחרור החטוף. אירועי כופרה התרחשו גם בעולם המחשבים והתקשורת התרחשו אולם במנות מצומצמות. רוב האירועים הידועים נפתרו מתחת לשולחן על מנת לא לפגוע באמינות ובתדמית של הקורבנות.

תקופת הקורונה נתנה דחיפה רצינית לאירועי הכופרה בעולמות תקיפת מערכות המחשוב, דלף מידע ודרישת כופר. הקורונה הגבילה את חופש התנועה בשטחים ציבוריים וכנופיות הפשע אימצו במהירות את ערוץ הפרנסה החדש: תקיפת מערכות מיחשוב, גניבת המידע מהארגונים, (דלף מידע), שימוש במידע שנצבר לאירועי תקיפה נוספים, והשלב האחרון - דרישה כופר תמורת שיחרור המידע שגנבו.

בשלבים הראשונים התקיפות היו בעיקר בעלות אופי של ניסוי ותעייה. כאשר הבינו את הקלות הבלתי נסבלת לבצע אירועים והפוטנציאל הפיננסי העצום, הקימו קבוצות הפשיעה "יחידות תקיפת סייבר" מקצועיות שלא היו מביישות גופי ביון/ מודיעין ויחידות צבאיות.

הכוכבים העולים של עולם הסייבר הם סוחרי הגישה הראשונית IAB's. 

סוחרי גישה ראשונית (Initial Access Brokers - IABs) הם פושעי סייבר הפועלים להשגת גישה ראשונית לרשת או למערכת של ארגון בדרכים הכוללות גניבת פרטי התחברות, מתקפה מרובת נסיונות (Brute Force) או באמצעות ניצול חולשות  (Exploit).

בתקופת הקורונה, שבה עבודה מהבית הפכה הכרח, הארגונים נאלצו ליישם מדיניות עבודה מרחוק ללא זמן היערכות.  התחברות מרחוק נוצרה לעתים ללא הקפדה על נהלי אבטחת מידע, דבר שהיווה פוטנציאל עצום עבור IABs  שחיכו בדיוק להזדמנות כזו.  השינוי שהתרחש בעולם יצר “מקום של כבוד” עבור IABs בקרב פושעי הסייבר, וכיום הם נושאים בתפקיד מכריע בתעשיית ה-RaaS - Ransomware as a Service,  משום שהם מסייעים בפלישה לרשתות של ארגונים ובכך מקדמים את פעילותם של תוקפי סייבר ממוקדים - לרוב תוקפי כופר (Ransomware).

הטרנד: המחיר נקבע על פי גודל החברה ורמת ההרשאות

מודל התמחור תלוי בעיקר ברווחים ובגודל החברה הנפגעת. נראה שהגישות לחברות אמריקאיות הן הפופולריות ביותר - החברות בארה”ב רווחיות יותר ולכן רלוונטיות עבור התוקפים. אולם הסוחרים אינם מגבילים את עצמם למכירת גישות לחברות גדולות בלבד

איך ה- IBA's פועלים להשגת גישה: 

• הם בוחרים קורבן שלפי כל המדדים שלהם יניב להם הכי הרבה פרנסה מהירה. • הם מבצעים עבודת מחקר רצינית של תבייש יחידות מבצעיות של גופי ביון (חלק בלתי מבוטל מהם יוצאי יחידות טכנולוגיות מוכשרים ביותר אשר במודע או שלא במודע, מוצעות להן משרות בחברות "מחקר סייבר" כשרות עם שכר מאוד גבוה). • אותם מומחי וחוקרי סייבר שבעבר קיבלו שכר טרחה מחברות גלובליות אצלן מצאו פרצות. התעוררו בוקר אחד וגילו שתמריץ הריטיינר הפסיק ויתירה מכך הם נחשפו לתביעות משפטיות.

בתהליך המחקר הם מבצעים שני תהליכים מקבילים:

• עבודת מחקר טכנולוגית בשיטות של מבחני חוסן וחדירות, לאיתור מרחוק של מערכות המיחשוב והטכנולוגיה של הארגון. • עבודה מחקר בשיטה של "מענה להצעות מחיר" דרכם מבינים אילו מערכות יש לארגון ולאן פניו. • חקירת המערכות לאיתור נקודות תורפה, אשר יובילו להמשך תהליך התקיפה וקבלת אחיזה ממשית בתשתית הטכנולוגית של הקורבן.  • אם נתקלו במערכת או ציוד קצה בעייתיים הם מגייסים את המומחים הטכנולוגיים של היצרנים בשלב הזה הם מבצעים תהליכי חדירה לארגון וטשטוש עקבות עד לאחיזה בתשתיות הארגון ברמה מעל הסופר אדמיניסטרטור של הארגון.

הם מתפשטים בארגון, קונים אחיזה שקטה על כל המערכות שלו ומתחילים להעביר באופן סמוי את המידע של הארגון לשרתים נסתרים אותם הכינו מראש.

אם המטרה היא גניבת המידע הרגיש בארגון, הההאקרים ישהו בארגון חודשים רבים באופן נסתר.

במקרה של אירועי כופרה, הם יצפינו את המידע הארגוני וידרשו כופר לשחרור המערכות והשבת המידע.

כל התהליך הזה מתרחש חודשים רבים לפני שמגיע שלב דרישת הכופרה

באירוע שחקרנו ולא ויתרנו בתהליך החקירה מצאנו שלתוקפים הייתה אחיזה בארגון הקורבן לפחות 9 חודשים לפני דרישת הכופר.

אני בוחר לא לשתף את כלי התקיפה, ההתפשטות בארגון וטשטוש העקבות בהם השתמשו התוקפים.

אוסיף שארגוני בטחון חושבים שהם מוגנים. אבל המציאות היא שהם יותר מוגנים אבל בהחלט לא מוגנים באופן מספק.

ארגונים רבים מעדיפים שלא לחשוב על האיום הפנימי - כלומר עובד האירגון המאפשר גישה של תוקף לאירגון (במזיד או בתמימות), כדי לא לרמוז שרמת האמינות של העובדים שלהם נמוכה. אך עצם התנהלות זו מתעלמת מבעית אמיתיות אחרות