R4IoT: מתקפות הכופר פוגשות את האינטרנט של הדברים

Vedere Labs, קבוצת המחקר של פורסקאוט, חושפת היום מחקר חדש בשם R4IoT (Ransomware for IoT), מחקר הוכחת היתכנות המדגים כיצד תוכנות כופר מהדור הבא יכולות לנצל מכשירי IoT לצורך גישה ראשונית לנכסי IT ו-OT, מתוך כוונה לגרום הפרעה לפעילות העסקית.

בשנים האחרונות, ממשיכות מתקפות הכופר להתפתח על רקע שתי מגמות מתמשכות: האחת, התמורה הדיגיטלית מובילה לצמיחה מהירה במספר התקני "האינטרנט של הדברים" (IoT) ברשתות הארגוניות; והשניה, ההתכנסות של רשתות מחשוב (IT) ותפעול (OT) לכדי רשת אחת.

שחקני הכופרה התפתחו במהירות אף הם ועברו מהצפנת נתונים גרידא, ששימשה אותם עד סביבות 2019, דרך גניבת נתונים מתוך הרשת עוד בטרם ההצפנה, ב-2020, ועד לקמפיינים גדולים של סחיטה הבנויים ממספר שלבים ב-2021.

מגמה זו נמשכה בתחילת 2022, עם הופעתן של משפחות כופרה חדשות ומתוחכמות מאוד כגון ALPHV ומתקפות נוספות של קבוצות "כופר כשירות" (ransomware-as-a-service) כגון קבוצת Conti. התפתחות זו שחלה בשיטות המשמשות את התוקפים פירושה שהקבוצות המוציאות לפועל את מתקפות הכופר יכולות כעת לשתק את הפעולות של כל ארגון כמעט.

היום, מפרסמת Vedere Labs, פעילות המחקר של פורסקאוט דוח הכולל תיאור מפורט של האסטרטגיות והשיטות שיכולות לשמש ארגונים כדי להתגונן מפני סוג חדש של התקפת כופר הממנפת את התקני ה-IoT של הארגון (כגון מצלמות וידאו) לביצוע מתקפות כופר.

הדוח כולל הדגמה מקיפה של וקטור התקפה חדש זה, אשר Vedere Labs רואה בתור השלב הבא באבולוציה של תוכנות הכופר. אנו מכנים את גישת ההתקפה החדשה הזו "כופרה ל-IoT" או R4IoT. דוח R4IoT מתאר כיצד ניתן לנצל מכשירי IoT לטובת גישה ראשונית למכשירי IT ו-OT ולתנועה רוחבית מתוכם, במטרה לגרום לשיבוש פיזי של הפעילות העסקית.

תוכנת הכופר המשמשת בתור הוכחת היתכנות, המתוארת בדוח R4IoT, מנצלת את המגמה הראשונה על ידי שימוש במכשירים חשופים ופגיעים, כגון מצלמות וידאו המשדרות דרך האינטרנט או התקן אחסון רשתי (NAS) בתור נקודת גישה ראשונית לרשת, ואת המגמה השנייה כדי לחטוף מכשירי OT ובכך להוסיף שכבת סחיטה לקמפיין ההתקפי.

מחקר זה הוא הראשון מסוגו, מהסיבות הבאות:

• יישמנו ותיארנו בפירוט את פעולות הזיהוי והתגובה למתקפת R4IoT עבור ארגונים המעוניינים להתגונן מפני איומים עכשוויים ועתידיים.

• זהו המסמך הראשון המשלב את הידע על איומי הכופרה בתחומי ה-IT, ה-OT וה-IoT, והוא כולל תיאור מלא של הוכחת היתכנות מלאה, מהגישה הראשונית דרך התקני IoT, דרך תנועה רוחבית ברשת ה-IT ועד לפגיעה ברשת ה-OT. מעבר להצפנה בלבד, הוכחת ההיתכנות בציוד IT כוללת פריסה של תוכנת כריית מטבעות קריפטוגרפיים וגניבת נתונים מתוך הרשת החוצה.

• ההשפעה על רשת ה-OT אינה מוגבלת למערכות הפעלה רגילות (למשל מערכות Linux) או לסוגי התקנים (למשל בקרים חכמים בבניינים), אינה דורשת כתיבה קבועה (persistence) או שינויי קושחה בהתקנים המותקפים, ופועלת בקנה מידה גדול במגוון רחב של התקנים המושפעים מנקודות תורפה של שכבת ה-TCP/IP.

הוכחת היתכנות זו, המוצגת בסרטון ומפורטת בדוח הטכני, היא הדגמה ברורה של האופן שבו ניתן לשלב ניצול של חולשות ברשתות IoT ו-OT עם מתקפה מאורגנת בדרכים קונבנציונליות. כמו כן, הוכחת ההיתכנות מראה שכדי להתגונן מפני מתקפות מסוג זה, ארגונים זקוקים לפתרונות המאפשרים נראות נרחבת ושליטה משופרת בכל הנכסים ברשת.

מזעור נזקי מתקפות כופרה

מעבר להדגמת אופן הפעולה של מתקפת R4IoT, הדו"ח מראה כי ישנן דרכים לצמצם הן את ההסתברות של התרחשות מתקפות מסוג זה והן את השפעתן, ובכך להקטין את הסיכון הכולל הניצב בפני ארגונים. שלוש הבחנות חשובות שעלו ממחקרנו על האיום הנשקף ממתקפות כופר מאפשרות להתגונן מפני איום זה בפונקציות ה-NIST Cybersecurity Framework השונות:

• הכרה והגנה מתאפשרות מכיוון שמאות התקפות דומות מתרחשות בו זמנית. לדוגמה, בשנת 2021 ביצעה קבוצת Conti מעל 400 התקפות מוצלחות על ארגונים אמריקניים ובינלאומיים. פירוש הדבר הוא שניתן לזהות ניצול פעיל של התקנים ונקודות תורפה בזמן אמת וכך ניתן לתעדף את הגנתם.

• זיהוי מתאפשר מכיוון שרוב הכלים והטכניקות המשמשים שחקני איום אלה ידועים. אנו מציגים את הטקטיקות, הטכניקות והפרוצדורות המובילות (TTPs) ששימשו בנוזקות בשנת 2021.

• תגובה ושחזור מתאפשרים מכיוון שההתקפות אינן מיידיות ואוטומטיות לחלוטין. זמן השהייה הממוצע של תוקפי כופרה עמד בשנת 2021 על 5 ימים.

יישום אמצעי הגנה אלו דורש נראות נרחבת, אוטמציה ושליטה משופרת בכל הנכסים ברשת. פלטפורמת Forescout Continuum מסייעת להשיג זאת באמצעות:

• נראות חסרת תקדים על כל הנכסים ברשת מבלי לשבש תהליכים עסקיים קריטיים. לאחר זיהוי ההתקנים המחוברים, פורסקאוט מסווגת ומעריכה באופן אוטומטי מכשירים אלה לעומת מדיניות החברה. השילוב העוצמתי של שלוש היכולות הללו - זיהוי, סיווג והערכה - מספק את הנראות הדרושה להנעת מדיניות מתאימה ופעולה בהתאם.

• נראות עומק וחוסן סייבר הן במלאי הנכסים והן במלאי ציוד התקשורת מבוסס DPI. הדבר מאפשר ניטור של הרשת וציד איומים, למשל בדמות אינדיקטורים של רמות איום ופגיעוּת.

• חיזוק העיצוב, התכנון והפריסה של פילוח רשת דינאמי ברחבי הארגון המורחב, על מנת למזער את פני השטח החשופים להתקפה ואת הסיכון הרגולטורי. כך ניתן לפשט את תהליך יצירת מדיניות הפילוח עם מודעות להקשר וכן לדמות ולהמחיש את המדיניות לפני האכיפה, לצורך כוונון ואימות פרואקטיביים.

• שיתוף קונטקסטואלי של התקנים בין פלטפורמת Forescout Continuum למוצרי IT ואבטחה אחרים, על מנת להפוך את אכיפת המדיניות לאוטומטית גם בין פתרונות שונים ולהאיץ את התגובה הכלל מערכתית למזעור הסיכונים.