מפת האיומים של פורטינט

יום ב', 31 באוגוסט 2020
פורטינט (נאסד"ק: FTNT), הפעילה בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, חשפה את ממצאי דוח מפת האיומים הגלובלי החצי-שנתי של מעבדות FortiGuard, גוף המחקר של החברה.
 
מודיעין האיומים אשר נאסף על ידי מעבדות FortiGuard במחצית הראשונה של 2020 מראה את השינוי הדרמטי שבו פושעי סייבר ומדינות זרות ממנפים את מגפת הקורונה הגלובלית בתור הזדמנות להשיק מתקפות סייבר רבות ומגוונות ברחבי העולם. ההסתגלות של התוקפים למצב החדש אפשרה גלי מתקפות אשר מתמקדים בפחד ובחוסר הוודאות הנובעים מהאירועים של החודשים האחרונים, יחד עם הריבוי הפתאומי של עובדים מרוחקים הנמצאים מחוץ לרשת הארגונית, אשר הרחיבה במהירות את שטח התקיפה הדיגיטלי.
 
אומנם מגמות איומים רבות אשר נחשפו בדוח היו קשורות למגפת הקורונה, איומים מסוימים עדיין היו בעלי מניעים שאינם קשורים למגפה. למשל, מתקפות של תוכנות כופר, מתקפות המתמקדות בהתקני האינטרנט של הדברים (IoT) ובטכנולוגיה תפעולית (OT) כלל לא פחתו, אלא התפתחו והפכו לממוקדות ומתוחכמות יותר.  
 
מרבית האיומים אשר מופיעים בדוח אותרו בכל רחבי העולם ולאורך מרבית התעשיות, כאשר ניתן לראות הבדלים מסוימים בין אזורים גיאוגרפיים או תעשיות שונות. בדומה למגפת הקורונה, ייתכן כי איום כלשהו החל את פעולתו באזור אחד, אך בסופו של דבר, התפשט כמעט לכל מקום, כאשר המשמעות היא כי רוב הארגונים היו יכולים להתמודד עם האיום כבר ברמה המקומית. ההבדלים בשיעורי ההדבקה באזורים השונים התבססו על גורמים כמו מדיניות, שיטות אבטחה ותגובה לאיומים. להלן ממצאי הדוח העיקריים:  
 
מנצלים את ההזדמנות בעקבות אירועים גלובליים: התוקפים כבר השתמשו בעבר בשיטות כמו הנדסה חברתית, אך במחצית הראשונה של 2020 הם עברו לשלב הבא. החל מהאקרים אשר מעדיפים מתקפות פישינג (Phishing) מזדמנות ועד לפעילות עוינת של מדינות, פושעי הסייבר מצאו דרכים רבות לנצל את המגפה הגלובלית למטרתם האישית בקנה מידה גדול. דבר זה כולל מתקפות פישינג והתחזות דרך הדואר האלקטרוני העסקי, מתקפות אשר מגובות על ידי מדינות ומתקפות מבוססות תוכנות כופר. הפושעים עבדו כדי למקסם את טבעה הגלובלי של המגפה אשר השפיעה על כל בני האדם ברחבי העולם, בשילוב עם שטח התקיפה הדיגיטלי, אשר התרחב בן לילה. מגמות אלו ואחרות מדגימות באיזו מהירות התוקפים יכולים לפעול כדי לנצל התפתחויות משמעותיות בעלות השפעה חברתית רחבה ברמה הגלובלית.   
 
הרשת הארגונית הופכת לאישית יותר: העלייה העצומה במספר העובדים מרחוק יצרה היפוך דרמטי של הרשתות הארגוניות כמעט בן לילה, כאשר פושעי הסייבר מיד החלו למנף את ההזדמנות הזאת. במחצית הראשונה של 2020, ניסיונות פגיעה בנתבים של צרכנים פרטיים והתקני IoT היו בראש הרשימה עבור מנועי IPS (מערכת למניעת חדירות). בנוסף לכך, הבוטנטים Mirai ו-Gh0st התגלו כבוטנטים השכיחים ביותר, אשר היו בשימוש של תוקפים אשר מתמקדים בנקודות תורפה ישנות וחדשות בהתקני IoT. מגמות אלו מדגימות כיצד מרחב ההתקפה התרחב עד לרשת הביתית, כאשר פושעי הסייבר מחפשים להשיג טביעת רגל ברשת הארגונית באמצעות ניצול התקנים אשר נמצאים בשימוש של העובדים המרוחקים כדי להתחבר באמצעותם לרשת הארגונית שלהם.   
 
הדפדפנים מהווים יעד: עבור התוקפים, המעבר לעבודה מרחוק היווה הזדמנות חסרת תקדים להתמקד באנשים אשר עובדים מהבית ולא חושדים בדבר במגוון דרכים שונות. למשל, תוכנות זדוניות המבוססות על אתרי אינטרנט שימשו לצורך מתקפות פישינג והונאות אחרות הרבה יותר מאשר מתקפות מסורתיות אחרות המבוססות על דואר אלקטרוני במהלך חצי השנה האחרונה. יותר מכך, אוסף של תוכנות זדוניות אשר כוללת את כל הגרסאות של פיתיונות והונאות פישינג המבוססות על אתרי אינטרנט דורגה במיקום הגבוה ביותר עבור תוכנות זדוניות בינואר ופברואר 2020 ולא הייתה כלולה בחמישייה הראשונה בחודש יוני. נתון זה מדגיש את הניסיון של פושעי הסייבר למקד את המתקפות שלהם בזמן שבו היעד שלהם הוא הכי פגיע – כאשר הוא גולש באינטרנט בביתו. דפדפני אינטרנט, ולא רק התקנים, מהווים גם הם יעדים מרכזיים עבור פושעי הסייבר היום יותר מתמיד, כאשר הפושעים ממשיכים להתמקד בעובדים המרוחקים.
 
תוכנות הכופר לא נעלמו: איומים ידועים היטב כמו תוכנות כופר לא התמעטו במהלך חצי השנה האחרונה. הודעות וקבצים מצורפים אשר קשורים למגפת הקורונה שימשו כדי לפתות את הקורבנות במספר מתקפות תוכנות כופר שונות. תוכנות כופר אחרות התגלו כאשר הן משכתבות את סקטור האתחול בדיסק המקומי אשר מכיל את רצף הפקודות הנחוצות לאתחול מערכת (MBR) לפני שהן מצפינות את הנתונים. בנוסף לכך, הייתה עלייה במתקפות של תוכנות כופר שבהן התוקפים לא רק נעלו את הנתונים הארגוניים של הקורבן, אלא גם גנבו אותם והשתמשו באיום של הפצה רחבה של הנתונים כמינוף נוסף כדי לנסות לסחוט תשלום כופר. מגמה זו מדגישה בצורה משמעותית את הסיכונים של הארגון לאבד מידע בעל ערך או נתונים רגישים אחרים במתקפות תוכנות כופר עתידיות. באופן גלובלי, אף תעשייה לא ניצלה מפעילות של תוכנות כופר והנתונים מראים כי 5 התעשיות המותקפות ביותר בתוכנות כופר הן טלקום, ספקי שירותי אבטחה מנוהלים (MSSP), חינוך, ממשל וטכנולוגיה. העלייה של תוכנות הכופר אשר נמכרות כשירות (RaaS) וההתפתחות של גרסאות שונות מצביעות על כך שתוכנות הכופר לא הולכות לשום מקום.    
 
איומי ה-OT אשר התפתחו לאחר Stuxnet: חודש יוני סימן עשור להופעתו של Stuxnet, אשר היה כלי עזר בהתפתחות איומי אבטחה בתחום הטכנולוגיה התפעולית. כיום  רשתות OT עדיין מהוות יעד עבור פושעי הסייבר. תוכנת הכופר EKANS מראה כי התוקפים ממשיכים להרחיב את ההתמקדות על מתקפות של תוכנות כופר כך שיכללו גם סביבות OT.
 
כמו כן, מסגרת העבודה אשר נועדה לריגול Ramsay, אשר תוכננה כדי לאסוף ולחלץ קבצים רגישים ברשתות מבוססות air-gap או רשתות מוגבלות מאוד, היא דוגמה לסוג של איום אשר מחפש דרכים חדשות שבהן יוכל לחדור לרשתות אלו. השכיחות של איומים אשר מתמקדים במערכות פיקוח, שליטה ואיסוף נתונים (SCADA) ובסוגים אחרים של מערכות בקרה תעשייתיות (ICS) נמוך יותר מבחינת נפח מאשר איומים המשפיעים על ה-IT, אך דבר זה לא מפחית את החשיבות של מגמה זו.