נדיר למצוא מומחה סייבר שלא נתקל בקבוצת הכופרה Conti | צילום: Shutterstock
נדיר למצוא מומחה סייבר שלא נתקל בקבוצת הכופרה Conti | צילום: Shutterstock

האקרים מעבר לפינה: יש להניח שקיימות פרצות אבטחה בכל חברה

קבוצת הכופר Conti Ransomware, אשר זכתה להצלחה רבה בגניבת מידע וסחיטת כספים במשך השנים, הצהירה על תמיכתה המוחלטת ברוסיה. שיחות בין עובדי הארגון אשר דלפו לאחרונה פותחים צוהר לעולם פשעי הסייבר – והמסקנות יכולות לעזור בהתגוננות מול מתקפות עתידיות

Contributors

בחודש פברואר האחרון דלף מידע אודות ארגון ההאקרים Conti Ransomware, לאחר שהקבוצה הצהירה על תמיכתה המלאה בממשל הרוסי והתחייבה להגיב לכל מתקפה כנגד רוסיה – סייבר, או אחרת – "עם כל המשאבים האפשריים הדרושים להלום בחזרה בתשתיות הקריטיות של האויב".

נסיבות קיצוניות יוצרות שינוי קיצוני, כמו למשל כיצד השתנה העולם בין-לילה עם פרוץ מגפת הקורונה. הנה מספר נקודות הנובעות מדליפת הצ'טים של Conti.

מה ניתן ללמוד מדליפת הצ'טים של קבוצת האקרים

נדיר למצוא מומחה סייבר המטפל במתקפות על ארגונים שלא נתקל פעמים רבות בקבוצת הכופרה Conti בשנתיים האחרונות. השיחות שדלפו מהקבוצה חושפות מבנה ארגוני וגיליונות שכר הדומים לאלו הקיימים בעסק לגיטימי. הם כללו מחלקת גיוסים וכ"א, מחלקת פיתוח, ומחלקת תפעול וכן, נמצאו גם תכתובות של "עובדים" שלא קיבלו שכר בזמן.


מבנה הארגון כולל בין 65 ל-100 האקרים פעילים, אשר משלם משכורות בהיקף של כ-6 מיליון דולר מדי שנה, שבשכר ממוצע לעובד, מדובר בסדר גודל של 1500-2000 דולר לחודש. Conti זכתה להצלחה רבה בגניבת מידע ובסחיטת כספים במהלך השנים – על פי הדיווחים, ב-2021 סחטה הקבוצה 180 מיליון דולר.

הקבוצה הצהירה על תמיכתה המלאה בממשל הרוסי | צילום: Shutterstock

הגילוי המרעיש שנבע מהתכתובות מראה שהקבוצה רכשה תוכנות, כלים ובסיסי נתונים (בזמן שהתחזתה לעסק לגיטימי) כדי לבצע מחקר מקיף על קורבנות פוטנציאלים, יצרה התקפות פישינג משכנעות כנגד עובדים ושותפים עסקיים והסיקה כמה יהיו מוכנים הקורבנות לשלם.

היא אף רכשה מוצרי אבטחה כדי לבחון את יכולות הנוזקה שלה לעקוף אותם בחשאיות. השיחות מראות שהקבוצה שקלה לקנות פרצות אבטחה ודלתות אחוריות מגופים המהווים צד ג' – כל זאת תוך כדי שמירה קפדנית על נתוני המאזנים שלה.

Conti נוקטת בגישת עבודה עם משמעת גבוהה וכללי זהירות הנדרשים מחבריה, מהקפדה על סיסמאות חזקות, כתובות אימייל אנונימיות, שימוש ב-VPNים ועוד. כמו כל ארגון שמעוניין להכשיר את עובדיו, Conti מחזיקים במסמכים והוראות טכניות הכוללים מדריכי וידאו כדי להכשיר תוקפים פחות מנוסים ופחות טכנולוגיים למומחים בתחומם, ומסוכנים. וכמו כל עסק, חברי הכנופייה דנים בטכניקות שלהם עם חבריהם לקבוצה.

Conti היא רק דוגמה אחת של קבוצה העוסקת בפשיעת סייבר. עכשיו, לאחר הפלישה לאוקראינה, יש לקחת בחשבון כיצד נסיבות קיצוניות ישפיעו על Conti ועל קבוצות אחרות. מלחמות הסייבר המתרחשות מסביב לעולם  יהפכו את כל השחקנים למתוחכמים יותר.

Conti זכתה להצלחה רבה בגניבת מידע ובסחיטת כספים במהלך השנים | צילום: Shutterstock

הטכניקות שלהם יחלחלו במהירות גם למרחב המסחרי, כפי שכבר קרה בעבר. ההתקדמות שראינו בתכנות כללי (General Programming), עם פריימוורקים נגישים (כמו Rust, Go, Angular וכו'), אוטומציות ותכנות נטול קוד כבר מתרגמים לתחום פשיעת הסייבר והופכים את משימתם של ההאקרים לפיתוח פוגענים, העצמת נזק המתקפות והכשרה – לקלים יותר.

כעת, כשרוסיה הכריזה שזכויות קניין רוחני של מדינות "לא ידידותיות" כבר אינן מוגנות, אילו השלכות ימנעו ממישהו להעצים את פשעי הסייבר?

כאשר אנשים רבים שבקיאים בטכנולוגיה ברוסיה עלולים לאבד בפתאומיות את עבודתם או לסבול מסנקציות נשאלת השאלה: כמה מומחי אבטחת מידע יצטרפו לקבוצות פשיעת סייבר או ייסדו קבוצות חדשות כאלו, רק כדי "לסגור את החודש"? כנופיות כופרה יכולות להפוך לעסקים מוכרים או להתווסף למחלקות מחקר ופיתוח. כך או כך – המטרה שלהם היא המידע שלכם, וסחר בו.

מדוע עליכם להניח קיומן של פרצות אבטחה

כפי שמראות התכתובות שהודלפו מקבוצת Conti – כל מערכת, חשבון משתמש או אדם בכל נקודת זמן יכולים להוות מחולל של מתקפה פוטנציאלית – בין אם אדם בכוונה תחילה שסוחר במידע או מוכר את פרטי ההתחברות שלו לארגון למרבה במחיר, ועד לפגיעויות חמורות שלא מטופלות ומוזנחות. עם שטח רחב כל כך להתקפה, יש להניח שהתוקפים ינצלו לפחות נקודת כניסה אחת – אם עדיין לא עשו זאת.

כל מערכת, חשבון משתמש או אדם בכל נקודת זמן יכולים להוות מחולל של מתקפה פוטנציאלית | צילום: Shutterstock

כשיוצאים מנקודת הנחה שצפויה פרצת אבטחה, יש לחשוב להיכן סביר להניח שהתוקף ירצה להגיע כדי למקסם את רווחיו. אם הארגון שלכם דומה לרוב הארגונים – התשובה היא: ישר למקום האחסון הגדול ביותר של המידע הקריטי – מסמכים עסקיים, מידע מלקוחות, פטנטים וקניין רוחני, או פשוט – מידע אישי של עובדים.

הלוגיקה הזו מקבלת אישוש באבחנות שלנו: ברגע שהם בתוך המערכת, התוקפים מבססים בה שליטה מרחוק, מנצלים את כל החולשות שהם יכולים למצוא, מכוונים לחשבונות בעלי הרשאות הגישה הרבות וברמה הגבוהה ביותר, ומשתמשים בהם כדי לגנוב מידע. לרוע המזל, נדיר שהם נתקלים בהתנגדות משמעותית לאחר שהצליחו לחדור פנימה. כל ארגון נלמד מחדש, כולל מרכיבי ההגנה, והתוקפים לא בוחלים בכלים או טכניקות מיוחדות, שעד כה היו שמורות למדינות, כדי לעקוף את רכיבי ההגנה הקריטיים.

כמה קשה התוקף יצטרך לעבוד כדי לקבל גישה למידע הקריטי אצלכם? בחרו עובד מדרג הביניים ובחנו את "רדיוס הפיצוץ" שלו – כל המידע שתוקף יכול לגנוב אם אצל עובד זה תתרחש פרצת אבטחה. האם העובד או התוקף יכול לגשת למידע קריטי או האם עליו לעבוד קשה לצורך כך ולנסות לפרוץ דרך מערכות אחרות?

לרוב, התשובה אחת – ייתכן שהתוקפים אפילו לא צריכים לעבוד קשה במיוחד, שכן ייתכן שמספיקה להם פריצה למשתמש אחד. לרוב העובדים ברוב הארגונים יש גישה מיותרת לאלפים ואפילו למיליונים של קבצים.

כאשר רוסים הבקיאים בטכנולוגיה עלולים לאבד בפתאומיות את עבודתם או לסבול מסנקציות נשאלת השאלה: כמה מומחי אבטחת מידע יצטרפו לקבוצות פשיעת סייבר רק כדי "לסגור את החודש"?

כיצד תדעו אם לתוקף או לחפרפרת בתוך החברה יש גישה לכמות חריגה של מידע קריטי? אנו רואים מעט מאוד ארגונים המסוגלים לאתר תוקפים בשלב מוקדם מספיק שימנע אובדן מידע.

ואם מדברים על חפרפרות: העובדים שלכם הם הארגון שלכם. למרות שרוב העובדים ישרים, זכרו שמספיק בחפרפרת אחת בעלת גישה רחבה בתוך הארגון כדי ליצור נזק משמעותי. ואם אתם רוצים עוד סיבה לדאגה: כנופיות כופרה מחפשות בצורה פעילה עובדים המוכנים לספק להם מידע פנימי, בין אם באמצעות פרטי התחברות, פרטים אישיים על הנהלה בכירה, כתובות אימייל אישיות, סיסמאות, ובמקרים מסוימים גם בני זוג של עובדים בכירים.

כיצד תוכלו להקשות על עבודתו של התוקף

כלל האצבע הינו להקטין ככל הניתן את "רדיוס הפיצוץ" (לתת למשתמשים גישה רק למה שהם צריכים), בזמן שהארגון מנסה לזהות גישה חריגה למידע שמהווה אינדיקציה למתקפה שבדרך.
בדומה לטירות בימי הביניים, שהיו מוגנות בשוחות, גשר שעולה ויורד, קשתים ועוד, כל צעד נוסף שתאלצו את התוקף או את החפרפרת שבפנים לבצע – יאט אותם ויספק למגינים הזדמנות לזהות את ההתקפה ולסכלה.

למרות שרוב העובדים ישרים, זכרו שמספיק בחפרפרת אחת בעלת גישה רחבה בתוך הארגון כדי ליצור נזק משמעותי | צילום: Shutterstock

בראש ובראשונה, יש לבצע קיטלוג מלא, החל מספירה ועד לחלוקה לקטגוריות, של המידע הקריטי ביותר עבור הארגון – הוא זה שהתוקפים יחפשו. זה כולל גם לדעת היכן נמצאים הקניין הרוחני, קוד המקור, נתוני הלקוחות והעובדים.

הצעד הבא הוא ביצוע ספירת מלאי של אמצעי השליטה המקיפים את המידע הקריטי. האם לאנשים הנכונים יש גישה – מתוך החברה ומחוצה לה? האם ביכולתו של הארגון לזהות פעילות חריגה הנוגעת למידע הקריטי? אם הגדרת אבטחה קריטית שונתה – כיצד תזוהה הפעולה ומה יחזיר את המצב לקדמותו?

לאחר שמיפיתם את מלאי המידע הקריטי של הארגון ואת אמצעי השליטה הקרובים אליו ביותר, תוכלו להתמקד בצעדים קונקרטיים לאופטימיזציה ותחזוקה של אמצעי שליטה אלו. עם כל כך הרבה מחוללי התקפה אפשריים, הגיוני יותר לחשוב על המקורות מהם מגיעים התוקפים לאחר שאבטחתם את היעד אליו הם מכוונים – המידע הקריטי שלכם. זכרו תמיד: לאחר העובדים, המידע הוא הנכס החשוב ביותר שלכם.


יקי פייטלסון הוא חבר מועצת הטכנולוגיה של Forbes, מייסד משותף ומנכ"ל Varonis, האחראי על הובלת ההנהלה, לקביעת הכיוון האסטרטגי ולהוצאתו לפועל בחברה. מועצת הטכנולוגיה של Forbes היא קהילה סגורה של מנהלים ואנשי טכנולוגיה מובילים ברמה העולמית.

ה-Contributors של פורבס ישראל הם כותבים עצמאיים שנבחרו על ידי מערכת פורבס, מומחים בתחומם, המספקים פרשנות וסקירת תופעות עכשוויות בתחום התמחותם. התוכן הוא מטעמם ובאחריותם והוא אינו תוכן ממומן.

הרשמה לניוזלטר

באותו נושא

הרשמה לניוזלטר

מעוניינים להישאר מעודכנים? הרשמו לרשימת הדיוור שלנו.

דילוג לתוכן