פרצות יום אפס והשתוללות תוכנות כופר

לוגו קספרסקי

מעבדת קספרסקי מפרסמת היום את דוח האיומים לרבעון השני של שנת 2017 המציג תוקפים מתוחכמים ששחררו לאוויר עושר של כלים זדוניים חדשים ומתקדמים, כולל שלוש מתקפות יום אפס ושתי התקפות חסרות תקדים: WannaCry ו- ExPetr. ניתוח של שתי ההתקפות האחרונות מראה כי ייתכן שהקוד הגיע לשטח לפני שהיה מוכן לחלוטין – אירוע לא שכיח אצל תוקפים בעלי משאבים רחבים.

בתקופה שבין החודשים אפריל ויוני נרשמו התפתחויות משמעותיות בהתקפות ממוקדות (APT's) מצד גורמי איום דוברי רוסית, אנגלית, קוריאנית וסינית. להתפתחויות אלה יש משמעויות מרחיקות לכת על אבטחת IT בארגונים: פעילות זדונית מתוחכמת מתרחשת באופן רציף כמעט בכל מקום בעולם, והיא מגבירה את הסיכון של חברות וגופים שאינם מסחריים לסבול מנזק משני במלחמת הסייבר. המתקפות ההרסניות, WannaCry ו- ExPetr, אשר פותחו ככל הנראה בגיבוי מדינה ופגעו בקורבנות הכוללים חברות וארגונים רבים ברחבי העולם, הפכו לדוגמה הראשונה, וכנראה לא האחרונה, למגמה מסוכנת.

הנקודות המרכזיות ברבעון השני של 2017, כוללות:
שלוש פרצות יום אפס במערכת חלונות שהיו בשימוש על ידי גורמי איום דוברי הרוסית Sofacy ו- Turla. Sofacy, הידוע גם כ- APT28 או FancyBear, הפעיל את כלי הפריצה כנגד טווח של מטרות באירופה, כולל ממשלות וארגונים פוליטיים. שחקן האיום הזה גם נצפה כשהוא מפעיל מספר כלים ניסויים, שהבולט ביותר הופעל כנגד חבר מפלגה פוליטית בצרפת לפני הבחירות הלאומיות במדינה.
גריי למברט – מעבדת קספרסקי ניתחה את ערכת הכלים המתקדמת ביותר כיום של קבוצת למברט, משפחה של פעילות ריגול דוברת אנגלית, מתוחכמת ומורכבת מאוד.

מתקפת WannaCry ב-12 במאי ומתקפת ExPetr ב-27 ביוני. למרות שהן שונות מאוד במהותן ובמטרות שלהן, שתיהן היו מאוד לא יעילות כ"מתקפות כופר". במקרה של WannaCry, ההתפשטות הגלובלית המהירה והחשיפה שזכתה לה, הציבו את חשבון הביטקוין של התוקפים באור הזרקורים והדבר הקשה עליהם בהשגת הכופר. הדבר מצביע על כך שהמטרה האמתית של מתקפת
WannaCry הייתה יצירת הרס. מומחי מעבדת קספרסקי חשפו קשרים נוספים בין הפעילות לקבוצת Lazarus. אותה תבנית הפעולה, של קוד זדוני הרסני אשר מתחפש לתוכנת כופר, הופיעה פעם נוספת במתקפת ExPetr.
גם ExPetr, אשר תקף ארגונים באוקראינה, רוסיה ובמקומות נוספים באירופה, נראה כתוכנת כופר אבל התברר כקוד הרסני טהור. המניע מאחורי התקפות ExPetr נותר מסתורי. מומחי מעבדת קספרסקי ביססו קשר קל לגורם האיומים הידוע כ- Black Energy.

"אנו מדגישים זמן רב את החשיבות של מודיעין איומים גלובלי אמיתי, אשר מסייע לאלה המגינים על רשתות רגישות וחיוניות. אנו ממשיכים להיות עדים להתפתחות של תוקפים להוטים יתר על המידה, נטולי התחשבות בבריאות האינטרנט ובגופים והעסקים המסתמכים עליו בפעילות היומית שלהם. בעוד שריגול סייבר, חבלה, ופשיעה ממשיכים להשתולל, חשוב יותר מתמיד עבור המגינים לחבור יחדיו ולשתף את הידע העדכני ביותר כדי להגן על המשתמשים מפני כל האיומים", אמר חואן אנדרס גוארו,סיידה, חוקר אבטחה ראשי, צוות מחקר וניתוח גלובלי, מעבדת קספרסקי.

במהלך הרבעון השני של 2017, הפיק צוות המחקר והניתוח הגלובלי של מעבדת קספרסקי 23 דוחות מודיעין, הכוללים נתוני תסמיני פריצה (IOC) וחוקי YARA שמטרתם לסייע במחקר ובמצוד אחר קוד זדוני. דוח מגמות ה- APT לרבעון השני מסכם את ממצאי דוחות המודיעין של מעבדת קספרסקי.