על פי דו"ח חדש של Sophos, בשנת 2023 למעלה משלושה רבעים מתקריות הסייבר פגעו בעסקים קטנים, כאשר תוכנות הכופר היו הכואבת ביותר.
קבוצת LockBit הידועה לשמצה גרמה למספר הגבוה ביותר של תקריות כופר לעסקים קטנים (27.59%). תדירות המתקפות של LockBit היו גבוהות בהרבה ביחס לקבוצות הסייבר הידועות: Akira (15.52%), BlackCat (13.79%) ו-Play (10.34%).
הדו"ח הציג את הטקטיקות המתקדמות בהן השתמשו לתוכנות כופר במהלך 2023. הטקטיקות כוללות שימוש בהצפנה מרחוק, לפיה תוקפים מנצלים מכשיר לא מנוהל ברשתות של ארגונים כדי לנסות להצפין קבצים במערכות אחרות באמצעות גישה לקבצי רשת.
בנוסף, המפעילים של תוכנות הכופר בונים תוכנות זדוניות המתמקדות על מערכות הפעלה macOS ו-Linux. החוקרים של Sophos צפו בגרסא מודלפת של תוכנת כופר השייכת ל- LockBit ומיועדת ל-macOS, הם צפו בתוכנה הזדונית במעבד של אפל עצמה וגם בלינוקס במספר בפלטפורמות.
לפי המחקר למעלה מ-90% ממתקפות הסייבר שדווחו על ידי לקוחות Sophos כללו גנבת נתונים או אישורי גישה בדרכים שונות, החל מתוכנות כופר ועד פרצות אבטחת מידע. כמעט חצי (43.26%) מכל התוכנות הזדוניות מכוונות לעסקים קטנים ובינוניים (SMBs).
התוכנות הזדוניות ה"גונבות" הנוכחות ביותר שזוהו ברחבי הטלמטריה של Sophos בשנה שעברה היו RedLine (8.71%), Raccoon Stealer (8.52%), Grandoreiro (8.17%) ו-Discord Token Stealer (8.12%).
הדו"ח מציין כי לאישורי גישה (credentials) גנובים יש ערך עצום עבור ארגוני סייבר זדוניים. אלו הדרכים העיקריות בהם פושעי סייבר משתמשים באישורי הגישה:
- התקפות של הנדסה חברתית, כמו פגיעה באימייל עסקי (BEC)
- גישה לשירותי צד שלישי, כמו מערכות פיננסיות מבוססות ענן
- גישה למשאבים פנימיים שניתן לנצל לצורך הונאה או רווח כספי אחר
- מכירה על ידי מתווכים בפורומים מחתרתיים
החוקרים הבחינו בעלייה בתוכנות גניבת מידע המתמקדות ב-macOS בשנת 2023, מגמה שצפויה להימשך גם השנה. תוכנות אלו מסוגלות לאסוף נתוני מערכת, נתוני דפדפן וארנקי קריפטו, וחלקם נמכרים בפורומים מחתרתיים ובערוצי טלגרם במחיר של עד 3000 דולר.
כריסטופר באד, מנהל מחקר Sophos X-Ops ב-Sophos, הגיב: "הערך של 'נתונים', כמטבע, עלה באופן דרסטי בקרב פושעי סייבר, וזה נכון במיוחד עבור עסקים קטנים ובינוניים, הנוטים להשתמש בשירות או יישום תוכנה אחד."
ההתפתחות המהירה של התקפות הנדסה חברתית
הדו"ח הצביע על עלייה במספר תוכנות זדוניות כשירות (MaaS) המשתמשות בפרסום זדוני ברשת ובהרעלת אופטימיזציה למנועי חיפוש (SEO) כדי להגיע ליותר קורבנות. הרעלת SEO היא תהליך שבו פושעי סייבר רוכשים שירותים לגיטימיים כדי להגביר את החשיפה של אתרי האינטרנט הזדוניים שלהם במנועי החיפוש, ולגרום להם להיראות אותנטיים.
בדוגמה אחת, קבוצה שמשתמשת בתוכנה זדונית המכונה 'Nitrogen' מינפה פרסומות של גוגל ובינג הקשורות למילות מפתח ספציפיות כדי לפתות את קהל היעד להוריד מתקין תוכנה מאתר מזויף, תוך שימוש בזהות מותג לגיטימי של מפתח תוכנה.
הדו"ח מצא שתוקפי BEC הפכו ל"הרבה יותר יצירתיים", הם עושים הרבה מעבר להתחזות לעובד ולבקש מעובד אחר לשלוח כרטיסי מתנה. השחקנים הטובים ביותר של BEC נוטים לפתוח בשיחה, לפני שליחת קישורים וקבצים מצורפים זדוניים לאחר קבלת תשובה מהמטרה, על פי החוקרים.
כמו כן נצפו פושעי הסייבר כשהם מתנסים במגוון שיטות כדי להימנע מכלי זיהוי אבטחת דוא"ל, כולל החלפת תוכן טקסט זדוני בהודעות שלהם בתמונות מוטמעות ושימוש בקוד QR או תמונות שנראות כחשבוניות.
