שרון וגנר, מנכ״ל סייברסיקסגיל, באדיבות סייברסיקסגיל
מורן שקד
21/02/2024
הדוח השנתי של ספקית מודיעין האיומים בסייבר Cybersixgill שופך אור על כמה מממצאי המודיעין שגיבשו חוקרי החברה ב-2023. זוהי תערובת של התפתחויות מעודדות ומטרידות בזירה החשאית של עברייני הסייבר.
סוגי הפעילות שבאופן כללי זוהתה בהם מגמה של ירידה, כוללים: הונאות כרטיסי אשראי, מכירת פורטי RDP (פרוטוקול גישה מרחוק) ומספר הפגיעויות החדשות שנוספו למאגר הלאומי. אך לצד זאת, גורמים זדוניים מרכזים מאמץ בפעילות שתניב להם רווח רב יותר, מה שמחייב ארגונים להישאר דרוכים בהגנת הסייבר.
נוזקות גונבות ידע, תחנות קצה שנפרצו ודומיינים שנפרצו ממשיכים לצמוח משנה לשנה, כפרקטיקות המקנות דריסת רגל לשם ביצוע מתקפות.
מתקפות כופר מוסיפות לגבות מחיר כלכלי גובר מארגונים ברחבי העולם ובעיקר בארצות-הברית. מספר קטן יותר של כנופיות מצליח להסב נזק עצום באמצעות פחות תקיפות.
טרנדים בגניבת פרטי אשראי.
מוצרים פיזיים ברשת החשאית.
פלטפורמות העברת מסרים מיידיים ופורומים מחתרתיים.
פגיעויות וניצולן.
טרנדים בהשגת גישה ראשונית.
טרנדים בנוזקות ובכופרות.
עיקרי הדברים:
הדוח השנתי של ספקית מודיעין האיומים בסייבר Cybersixgill שופך אור על כמה מממצאי המודיעין שגיבשו חוקרי החברה ב-2023. זוהי תערובת של התפתחויות מעודדות ומטרידות בזירה החשאית של עברייני הסייבר.
סוגי הפעילות שבאופן כללי זוהתה בהם מגמה של ירידה, כוללים: הונאות כרטיסי אשראי, מכירת פורטי RDP (פרוטוקול גישה מרחוק) ומספר הפגיעויות החדשות שנוספו למאגר הלאומי. אך לצד זאת, גורמים זדוניים מרכזים מאמץ בפעילות שתניב להם רווח רב יותר, מה שמחייב ארגונים להישאר דרוכים בהגנת הסייבר.
נוזקות גונבות ידע, תחנות קצה שנפרצו ודומיינים שנפרצו ממשיכים לצמוח משנה לשנה, כפרקטיקות המקנות דריסת רגל לשם ביצוע מתקפות.
מתקפות כופר מוסיפות לגבות מחיר כלכלי גובר מארגונים ברחבי העולם ובעיקר בארצות-הברית. מספר קטן יותר של כנופיות מצליח להסב נזק עצום באמצעות פחות תקיפות.
חברת Cybersixgill, ספקית גלובלית של מודיעין על איומים בסייבר, מפרסמת את הדוח השנתי ובו ניתוח הממצאים שאספה מהרשת הגלויה, העמוקה והאפלה בשנת 2023. הדוח מציג את התובנות העיקריות של מומחי מודיעין האיומים של Cybersixgill באשר לשיח, שיטות הפעולה וההתנהגות החשאית של עברייני הסייבר. זאת בהשוואה לטרנדים מהשנה הקודמת, ותוך ניסיון לחשוף את פעילותם ומטרותיהם הנוכחיות של השחקנים הזדוניים במרחב הסייבר.
דוח State of the Underground 2024 מעמיק במספר סוגיות מפתח, ובהן:
טרנדים בגניבת פרטי אשראי.
מוצרים פיזיים ברשת החשאית.
פלטפורמות העברת מסרים מיידיים ופורומים מחתרתיים.
פגיעויות וניצולן.
טרנדים בהשגת גישה ראשונית.
טרנדים בנוזקות ובכופרות.
"מדי יום ביומו, האנליסטים שלנו אוספים ומנתחים 10 מיליון פרטי מודיעין מהרשת העמוקה והאפלה", אומר דב לרנר, ראש צוות המחקר ב-Cybersixgill. "עם הכיסוי המודיעיני הרחב שלנו ויכולות ה-AI ולמידת המכונה, אנחנו מסוגלים לנטר ברציפות את פעילותם החשאית של עברייני הסייבר ולנתח טרנדים מתהווים". לדבריו, "בזמן שפיתוחים חדשים במודיעין האיומים ובהגנה בסייבר, הידוק ברגולציה ופעילות מוגברת מצד גורמי האכיפה מצליחים לשבש מזימות של עברייני סייבר, הגורמים הזדוניים מרכזים מאמץ בשיטות פעולה ובמטרות שישיגו עבורם רווח מקסימלי. לארגונים המשלבים ראות נרחבת למקורות שקשה לחדור אליהם עם יכולות ניתוח אוטונומיות יש יתרון חשוב במערכה המתמשכת להגנה על האנשים והנכסים שלהם".
הונאות כרטיסי אשראי: עלייה קלה ב-2023, אך עדיין במגמת התכווצות
בחמש השנים האחרונות, הודות לאמצעים משופרים למניעת הונאות, השווקים המחתרתיים של כרטיסי האשראי הגנובים נמצאים בירידה. יחד עם זאת, ב-2023 נרשמה דווקא עלייה של 25% במניין הכרטיסים שפרטיהם נגנבו – 12,022,455 בסך הכול (נתון הנמוך עדיין משמעותית מה-140 מיליון שאיתרנו כמוצעים למכירה ב-2019). העלייה חלה בעיקר בחודשיים האחרונים של השנה, ומכאן שיש להמתין ולראות אם המגמה תימשך ב-2024. כך או כך, ארגונים חייבים להישאר דרוכים בזירה הזאת.
פחות מלל בפלטפורמות המסרים המיידיים ובפורומים
השחקנים הזדוניים עברו בזמן האחרון מפורומים מחתרתיים לפלטפורמות מסרים מיידיים דוגמת טלגרם. ואולם, ב-2023 חלה ירידה משמעותית בפעילותם בשני הערוצים גם יחד. הדבר עשוי להיות קשור לצניחה של 50% בפעילות בפורומים של גורמי ימין קיצוניים. מספר השחקנים הזדוניים הפעילים בעשרת הפורומים המובילים ירד ב-50.3%, עם השפעה של סגירת פורומים גדולים כמו RaidForums ו- BreachForums בידי הרשויות.
פחות פגיעויות חדשות, אך עדיין איום משמעותי
ב-2023, למרות עלייה קלה במספר הפגיעויות החדשות שנוספו למסד הנתונים הלאומי (NVD), הרי שקצב העלייה הואט ביחס לשנה הקודמת: בין השנים 22' ו-23' חל גידול של 5.4% במספר הפגיעויות שנוספו למאגר, לעומת גידול של 36.1% מ-21' ל-22'. חשוב עם זאת לציין כי למרות הירידה בקצב הגידול, מספר התקיפות והשפעתן נותרו בעינם.
נוזקות גונבות מידע: החדשים עומדים בצל הוותיקים
בשנים האחרונות גואה הפופולריות של נוזקות גונבות מידע. אלו שואבות דאטה בעל ערך כגון הרשאות משתמש מתוך המערכות הנגועות. ב-2023, גורמים זדוניים עשו שימוש נרחב בארבעה סוגים חדשים של נוזקות גונבות מידע: Stealc, Risepro, Lumma ו-Silencer. ובכל זאת, כלים ותיקים כמו Raccoon ו- Vidarהוסיפו להיות נפוצים בשימוש, כשהם מבליטים את עמידותן ויעילותן של נוזקות גניבת המידע המבוססות כנגד המתחרות החדשות.
טרנדים בגישה ראשונית: גישות ודומיינים פרוצים בעלייה
המסחר בפורטי RDP (פרוטוקול גישה מרחוק לשולחן העבודה) פסק כליל בשנה שעברה, בעקבות סגירתם של מספר שווקים מחתרתיים מובילים. למרות זאת, רישומי תחנות הקצה שנפרצו – כניסה חיונית עבור גורמים זדוניים המבקשים דריסת רגל במערכות הארגוניות לביצוע מתקפות כופר ואחרות – מצביעים על עלייה משמעותית של 88%. מספר הדומיינים שנפרצו עלה אף הוא – תוספת של 17% ביחס ל-2022, בהמשך למגמה של עלייה עקבית במישור הזה.
מתקפת כופר: תוקפים פחות – משלמים יותר
ב-2023, Cybersixgill דיווחה על ירידה של 9.2% במספר מתקפות הכופר, כאשר חמש הקבוצות המובילות עמדו מאחורי 65% מהאירועים. חרף הירידה, התקיפות נעשו ממוקדות ומתוחכמות יותר והובילו לתשלומים של מיליוני דולרים בממוצע לתקיפה. קבוצת LockBit היא הדומיננטית בהקשר הזה, עם המשך במגמת הקונסולידציה של האחרות וירידה של 30% במניין הקבוצות הפעילות. בד בבד, נמשכה מגמת העלייה בהצעות למתקפת כופר כשירות (as-a-Service), מה שמוריד את רף הכניסה לשחקנים פחות מתוחכמים. אשר למטרות, ארצות-הברית ובריטניה מוסיפות לעמוד במוקד מפת האיומים העולמית.
