תקיפה שהחלה לפני שנה, ורק עכשיו מתגלה
מערך הסייבר הלאומי דיווח לאחרונה על גל תקיפות כופרה כנגד ארגונים קטנים ומשתמשים פרטיים, שמקורן בהודעות דיוג שהופצו בדוא"ל לפני כשנה. הממצא המדאיג: הנוזקה שהה רדומה על מחשבי הקורבנות כשנה שלמה לפני שהופעלה. מערך הסייבר אף פרסם בזמנו התרעה על אותה מתקפת דיוג, אך חלק מהמשתמשים כבר היו נגועים מבלי לדעת על כך.
מה זה "שהייה רדומה" ומדוע היא מסוכנת במיוחד?
שיטת ה"שהייה הרדומה" היא אחת הטכניקות המתוחכמות ביותר שמשתמשים בהן תוקפי סייבר. במקום לפגוע מיד לאחר ההדבקה, הנוזקה מחכה, לומדת את הסביבה ומתפשטת בשקט. כך היא:
- מקשה על זיהוי ותחקור עקב פער הזמן בין ההדבקה לפגיעה
- מאפשרת לתוקפים להגיע לכמה שיותר נקודות קצה לפני ההפעלה
- מנטרלת את הקשר הישיר שעושים משתמשים בין פעולה שביצעו לבין האירוע
כשהכופרה מופעלת לבסוף, הארגון מתקשה לאתר את נקודת הכניסה המקורית, מה שמסבך את שחזור המערכות ואת מניעת הישנות האירוע.
ארגונים קטנים: יעד מועדף שאינו מוגן מספיק
גל התקיפות הנוכחי מתמקד בארגונים קטנים ובמשתמשים פרטיים, ולא בכדי. ארגונים אלה לרוב אינם מפעילים מערכות ניטור רציפות, אין להם צוותי SOC פנימיים, ועדכוני אבטחה אינם תמיד מסודרים. עבור תוקף שמחפש קורבנות שאינם יגלו את נוכחותו במשך שנה, אלה הם היעדים האידיאליים.
מה על כל ארגון לבדוק עכשיו
לאור הממצאים, ישנן מספר פעולות שכדאי לבצע באופן מיידי:
- בדיקת הודעות דוא"ל חשודות מהשנה האחרונה שעשויות להיות קשורות לקמפיין הדיוג
- סריקת תחנות קצה ושרתים באמצעות כלי EDR לאיתור נוזקות רדומות
- עיון באינדיקטורים שפרסם מערך הסייבר (IOCs) ובדיקתם מול הסביבה הארגונית
- הדרכת עובדים על זיהוי הודעות דיוג, במיוחד אלה שמגיעות ממקורות לכאורה מוכרים
תשתית ה-IT כקו ההגנה הראשון
במערכות ליבה ארגוניות שבונה R.A.S Systems, שילוב שכבות אבטחה בתוך ארכיטקטורת המערכת עצמה הוא עיקרון יסוד. ניטור פעילות חריגה, הגדרת הרשאות מינימליות ורישום אירועים מאפשרים לזהות נוכחות רדומה גם חודשים לאחר ההדבקה. ארגון שממתין למתקפה כדי לבנות תשתית מאובטחת, פשוט מאחר מדי.
האיום מהקמפיין הנוכחי מדגיש עיקרון שמחלקות IT יודעות אך לא תמיד מיישמות: בטחון מידע אינו אירוע חד-פעמי אלא תהליך שוטף, ורק ארגון שמנטר את עצמו ברציפות יוכל לגלות את הנוזקה הרדומה לפני שהיא מתעוררת.