פושעי הסייבר מתמקדים במשתמשים מחוברים

יום א', 2 ביוני 2019
פורטינט (נאסד"ק: FTNT), הפעילה בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, חשפה את ממצאי דוח מפת האיומים הרבעוני של מעבדות FortiGuard, גוף המחקר הגלובלי של החברה. מהמחקר עולה כי שיטות ההתקפה של פושעי הסייבר הופכות מתוחכמות יותר, החל מתוכנות כופר מותאמות; קידוד מותאם אישית להתקפות מסוימות; התקפות מסוג living-off-the-land-LoTL; או שיתוף תשתיות לצורך מקסום הזדמנויות התקיפה.
 
להלן ממצאי הדוח העיקריים:  
 
תעבורת נתונים לפני ואחרי הפגיעה בארגון: מהמחקר אשר נערך במטרה לבדוק האם פושעי הסייבר מוציאים לפועל את שלבי ההתקפות שלהם בימים שונים של השבוע עלה כי הפושעים תמיד מנסים למקסם את הזדמנות התקיפה לתועלתם. כאשר משווים את נפח סינון נתוני ה-Web בשני שלבי שרשרת ההרס במהלך ימי השבוע ובסופי השבוע, הסבירות לקיום פעילות זדונית שקודמת לפגיעה בארגון גדולה פי שלושה לערך במהלך שבוע העבודה, ואילו בתעבורת נתונים לאחר הפגיעה בארגון אין הבדל גדול בתחום זה.
הסיבה העיקרית לכך היא שפעמים רבות פעולת הפריצה והשימוש לרעה מחייבת פעולה של אדם בתוך הארגון כגון לחיצה על הודעת פישינג בדואר האלקטרוני. בניגוד לכך, פעילות שליטה ובקרה (C2 – command-and-control) אינה זקוקה לכך והיא עשויה להתרחש בכל עת. פושעי הסייבר מבינים זאת ומנסים למקסם את ההזדמנות במהלך השבוע, כאשר נפח הפעילות באינטרנט הוא הגבוה ביותר. ההבחנה בין נוהלי סינון ה-Web בימי השבוע לבין סופי השבוע חשובה להבנה מלאה של שרשרת ההרס הנגרמת כתוצאה מההתקפות השונות.
 
רוב האיומים משתמשים בתשתית משותפת: המידה בה איומים שונים חולקים בתשתית מעלה כמה מגמות בעלות ערך. חלק מהאיומים ממנפים תשתית הנמצאת בשימוש קהילה במידה רבה יותר מאשר תשתית ייחודית או ייעודית. כ-60% מהאיומים חולקים דומיין אחד לפחות, מה שמצביע על כך שרוב הבוטנטים ממנפים את התשתית הקיימת. בנוסף, כאשר איומים חולקים תשתית, הם נוטים לעשות זאת בתחומי שרשרת ההרס עצמה. לרוב, איום לא ימנף דומיין לצורך חדירה ואז ימנף אותו מאוחר יותר לצורך תעבורת C2. הדבר מרמז על כך שלתשתית יש תפקיד או פונקציה ספציפיים כאשר היא נמצאת בשימוש של פעולות זדוניות. ההבנה אילו איומים חולקים תשתית ומהם הנקודות של שרשרת ההתקפה, תאפשר לארגונים לחזות את נקודות ההתפתחות הפוטנציאליות של תוכנות זדוניות או בוטנטים בעתיד.
 
ניהול תוכן זקוק לניהול קבוע: פושעי הסייבר נוטים לעבור מהזדמנות אחת לשנייה במקבצים, תוך התמקדות בטכנולוגיות ובנקודות תורפה מתפתחות שנוצלו בהצלחה במטרה למקסם במהירות את הזדמנות לפעילות זדונית. דוגמה לטכנולוגיה חדשה שמושכת לאחרונה את תשומת לבם של פושעי סייבר רבים הן פלטפורמות ה-Web אשר עוזרות לצרכנים ולעסקים ליצור נוכחות ברשת במהירות. הפושעים ממשיכים להתמקד בפלטפורמות אלו ובתוספים החיצוניים שקשורים אליהן. דבר זה מחזק את החשיבות הקריטית של החלת עדכוני תוכנה באופן מידי ושל הבנה מלאה של זירת נקודות התורפה המתפתחת ללא הרף כדי לשמור על יתרון מול פושעי הסייבר. 
 
תוכנות הכופר עדיין לא נעלמו: אומנם חלק גדול מתוכנות הכופר הוחלף בהתקפות ממוקדות יותר, אך תופעת תוכנות הכופר עדיין חיה ובועטת. כיום, התקפות מרובות מעידות על כך שהתוכנות הללו הותאמו עבור יעדים בעלי ערך גבוה וכדי להעניק לתוקף הרשאות גישה גבוהות יותר אל הרשת.
 
כלים וטריקים עבור Living off The Land: פושעי הסייבר פועלים על פי אותם המודלים העסקיים שמנחים את קורבנותיהם ולכן, פעמים רבות שיטות ההתקפה ממשיכות להתפתח גם לאחר הפריצה הראשונית, וזאת כדי למקסם את המאמצים שלהם. לשם כך, פושעי הסייבר ממנפים כמות הולכת וגדלה של כלים לשימוש כפול – או כלים שכבר מותקנים במערכות היעד – לביצוע התקפות סייבר. .