ריוק השובב: לחימה נגד תוכנת הכופר בהשראת ‘פתק המוות’

יש עדיין אלמנט בקריפטו “המערב הפרוע” בשנת 2020, שכן מטבעות קריפטוגרפיים שנגנבו באמצעות פריצות ותקיפות כופר עדיין מושלמים בבורסות הגדולות ברחבי העולם. התקפות כופר הוכיחו את עצמה כפרת מזומנים מפושעת ברשת במהלך השנים האחרונות, כאשר הלשכה הפדרלית לחקירות של ארצות הברית מעריכה כי ביטקוין בשווי של מעל 144 מיליון דולר נגנב בין אוקטובר 2013 לנובמבר 2019..

מסיבת עיתונאים שקיימה ה- FBI בפברואר חשפה את הסכום העצום ששולם כופר לתוקפים על ידי קורבנות שהיו נואשים להחזיר את הגישה למערכות ולנתונים הנגועים שלהם. מעניין לציין שתוקפים קיבלו את רוב כופר בביטקוין (BTC). לאחרונה, החוקרים לקחו מדגם של 63 עסקאות הקשורות לתוכנות כופר, המהוות כ -5.7 מיליון דולר של כספים גנובים, ומצאו כי ביטקוין בשווי של יותר ממיליון דולר הופקד בבינאנס בעקבות שורה של עסקאות בכתובות ארנק שונות..

ישנן מספר וריאציות כופר ידועות לשמצה המשמשות האקרים וקבוצות פשיעה ברשת. חברת אבטחת הסייבר קספרסקי מודגש העלייה בסוגים אלה של התקפות המיועדות לארגונים גדולים יותר ביולי, המתארות שני איומי תוכנה זדונית מסוימים: VHD ו- Hakuna MATA.

האיומים הספציפיים הללו לכאורה חיוורים בהשוואה לכמות המטבעות הגנבים שנגנבו באמצעות איומים גדולים יותר של תוכנות זדוניות כגון תוכנת הכופר Ryuk. לכן, הנה מדוע ריוק הייתה שיטת התקפה מועדפת ומה ניתן לעשות כדי למנוע ולהרתיע מהתוקפים לפדות את הרווחים שלהם שלא זכו לפלטפורמות חילופי מרכזיות..

הטרויאני בשערי העיר: ריוק

וקטורי ההתקפה החדשים האלה שהוזכרו בדו”ח של קספרסקי ביולי לא ממש צברו מוניטין זהה לזה של תוכנת הכופר Ryuk. לקראת סוף שנת 2019 שחרר קספרסקי עוד להגיש תלונה שהדגישו את מצוקת העיריות והערים שנפלו טרף להתקפות כופר. Ryuk זוהה על ידי המשרד ככלי המועדף להתקפות על ארגונים גדולים יותר, כאשר מערכות ממשלתיות ועירוניות היו יעדים ראשוניים בשנת 2019.

ריוק הופיע לראשונה במחצית השנייה של 2018 והביא הרס כשהתפשט דרך רשתות מחשבים ומערכות ברחבי העולם. על שם הדמות הפופולרית ריוק מסדרת המנגה Death Note, התוכנה הזדונית היא התחכמות נבונה על “מלך המוות”, שמשעשע את עצמו על ידי מסירת “פתק מוות” לתחום האנושי שמאפשר למאתר התו להרוג מישהו פשוט על ידי לדעת את שמם והמראה שלהם.

התוכנה הזדונית בדרך כלל מועברת בגישה דו-שלבית המאפשרת לתוקפים לבחון את הרשת תחילה. זה מתחיל בדרך כלל עם מספר גדול של מכונות המקבלות אימיילים המכילים מסמך שמשתמשים עשויים להוריד ללא כוונה. הקובץ המצורף מכיל בוט זדוני של Emotet Trojan המופעל אם הקובץ מוריד.

בשלב השני של ההתקפה נראה הבוט של Emotet מתקשר עם השרתים שלו כדי להתקין עוד תוכנה זדונית המכונה Trickbot. זו תוכנת המאפשרת לתוקפים לבצע בדיקה ברשת.

אם התוקפים יפגעו בסיר דבש פתגמי – כלומר רשת של משרד גדול, משרד ממשלתי או מוניציפלי – תוכנת הכופר Ryuk עצמה תיפרס על פני צמתים שונים ברשת. זהו הווקטור שמצפין למעשה קבצי מערכת ומחזיק את הנתונים לפדיון. Ryuk מצפין קבצים מקומיים במחשבים בודדים וקבצים המשותפים ברשת.

יתר על כן, קספרסקי הסביר כי ל- Ryuk יכולת גם לאלץ מחשבים אחרים ברשת להפעיל אם הם במצב שינה, המפיץ את התוכנה הזדונית במספר גדול יותר של צמתים. קבצים הממוקמים במחשבים ברשת שישנים בדרך כלל אינם זמינים לגישה, אך אם התוכנה הזדונית של Ryuk מסוגלת להעיר את המחשבים האלה, היא תצפין גם קבצים במחשבים אלה..

ישנן שתי סיבות עיקריות לכך שהאקרים מבקשים לתקוף רשתות מחשבים ממשלתיות או עירוניות: ראשית, רבות מהמערכות הללו מוגנות על ידי ביטוח, מה שהופך את הסיכוי הרבה יותר להגיע להסדר כספי. שנית, רשתות גדולות יותר אלה קשורות באופן מהותי עם רשתות גדולות אחרות, מה שעלול להוביל לאפקט מרחיק לכת ומשתק. ניתן להשפיע על מערכות ונתונים המפעילים מחלקות שונות לחלוטין, דבר הקורא לפיתרון מהיר, לעתים קרובות יותר וכתוצאה מכך תשלום לתוקפים..

מאבק בפדיון בבורסות מרכזיות

המטרה הסופית של התקפות כופר אלה היא די פשוטה: לדרוש תשלום גדול, שבדרך כלל נעשה באמצעות מטבעות קריפטוגרפיים. ביטקוין היה אפשרות התשלום המועדפת על התוקפים. השימוש בקריפטוגרפיה הבולטת כאמצעי תשלום מועדף הוא בעל תוצאה לא מכוונת עבור התוקפים, מכיוון ששקיפות הבלוקצ’יין של ביטקוין פירושה שניתן לעקוב אחר עסקאות אלה ברמת מיקרו וברמת מאקרו..


קָשׁוּר: התקפות כופר הדורשות קריפטו לצערנו כאן כדי להישאר

זה בדיוק מה שהחוקרים עשו, ועל ידי התבוננות בנקודת הסיום של עסקאות אלה, האנליסטים יכולים לראות תוקפים משתמשים בכמה מחילופי המטבעות הגדולים. בסוף אוגוסט נחשף כי ביטקוין כופר בשווי של למעלה ממיליון דולר הופדה באמצעות Binance..

צוות האבטחה של בינאנס גילה בפני קוינטלגרף כי עסקאות אלה היו מעל 18 חודשים וכי הבורסה פיקחה באופן פעיל על החשבונות הרלוונטיים. הצוות גם הדגיש את השימוש בתוקפים בהחלפה שלו כתוצר לוואי של היקף ההשקעה העצום של מטבעות קריפטוגרפיים הנסחרים בפלטפורמה, מה שמעניק לשחקנים אסורים יותר סיכוי להשתלב בקהל. הדובר הוסיף:

“זה מסובך עוד יותר מכך שלבינאנס יש מגוון רחב של לקוחות הפועלים בפלטפורמה שלה, כאשר חלק מהלקוחות מקבלים כספים כאלה באמצעות עסקאות עמיתים לעמיתים פשוטים, ואחרים מקבלים באמצעות שירותים ארגוניים הממנפים את הפלטפורמה שלנו לנוזלים.”

Cointelegraph פנה לחברת אבטחת הסייבר הישראלית Cymulate כדי ללמוד מה הבורסות יכולות לעשות כדי למנוע טוב יותר מפושעי סייבר להשתמש בפלטפורמות שלהן כדי לחסל מטבעות קריפטו גנובים. אביחי בן יוסף, מייסד החברה ומנהל הטכנולוגיה הראשי, טוען כי לחברות המספקות הגנה על אנטי-וירוס ואיתור ותגובת נקודות קצה יש תפקיד חיוני במעקב אחר קריפטו כופר, בהתחשב בכך שהן יודעות את הסכומים ששולמו ואת הארנק המתאים. כתובות המקבלות את הכספים שנפדו. הוא הוסיף כי משם, מרכזיות יכולות לעקוב אחר התשלומים הבאים ולעקוב אחריהם:

“אנליסטים יכולים לאסוף מספרי ארנקים ולבדוק כמה כסף יש בכל ארנק ואז ליצור סכום של כל הארנקים שנמצאו. חשוב לציין שתמיד יהיו יותר ושאתה צריך להיות מסוגל לעקוב אחר כל אחד ממטעי המטען של Ryuk שנוצרו. “

אין ספק שזה יכול להיות תהליך שלוקח זמן. עם זאת, השימוש בתוקפים בכתובות ארנק לקבלת כספים כופרים מאפשר לצוותי הביטחון לפקוח עין על תנועת הכספים הללו..

בסך הכל, 2020 הייתה שנה רווחית עבור פושעי סייבר שהשתמשו בהתקפות כופר, אשר התפתחות מתמדת. בן יוסף הזהיר ארגונים וחברות לוודא שיש להם את האבטחה הסייבר הטובה ביותר להילחם בסביבת הפשע הסייבר המשתנה כל העת:

“התקפות כופר באופן כללי הולכות ומשתכללות. הם כוללים תנועה רוחבית, סינון נתונים ושיטות רבות נוספות שיש להן השלכות חמורות על חברות שלא ישלמו את הכופר. יש יורש חדש ל- RYUK, Conti, שנכתב קצת אחרת וסביר להניח שפותח על ידי האקרים אחרים. זה נהיה קריטי עבור ארגונים להתאים כלים לבדיקת אבטחה כגון פריצת הדמיית התקפה כדי להבטיח שבקרות האבטחה שלהם פועלות ליעילות המיטבית שלהם כנגד איומים מתעוררים. “

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map