השנה האחרונה הציבה רף חדש באגרסיביות תקיפות הכופרה. לצד עליית התדירות של מתקפות הכופרה, עלתה גם רמת התחכום שלהן ועוצמת הנזק שנגרם בעקבותיהן. ההערכה כיום היא שבכל 11 שניות בממוצע מתקיימת מתקפת כופרה על ארגון, עם הפסדים עולמיים הצפויים להגיע ל-20 מיליארד דולר בחודשים הקרובים. בימים האחרונים היינו עדים לעוד תקיפה מתוחכמת, כאשר קבוצת ההאקרים הרוסית REvil תקפה את חברת Kaseya האמריקאית, אשר מספקת מערכת שירותי IT לחברות מרחבי העולם. דרך התוכנה שמספקת החברה לכלל לקוחותיה, הצליחו התוקפים לפגוע במעל ל- 200 חברות שונות בו זמנית, להשבית את פעילותן, להצפין את המידע שלהן וליצור נזק רב.
חברת סייבריזן (Cybereason), המתמחה בעצירת מתקפות כופרה, ערכה סקר נרחב העוסק בתוצאות מתקפות אלו ובעלויות האמיתיות שנגזרות מהן. הסקר נערך בקרב עובדים ב- 1,200 ארגונים מרחבי העולם, ביניהם חברות טכנולוגיה (44%), ייצור (16%) ופיננסים (11%) וחברות נוספות מתחומי הבריאות, המגזר הממשלתי, מוסדות משפטיים ועוד.
הפגיעה ההיקפית
מתוך הסקר עולה, כי מעבר לנזק הכספי שעלול להיגרם מתשלום דרישת הכופר, לארגונים שנתקפו נגרמה פגיעה היקפית משמעותית:
- 66% מהארגונים חוו הפסד בהכנסות.
- 53% ממשתתפי הסקר דיווחו על פגיעה בתדמית החברה והמותג.
- 32% מהארגונים נאלצו לפטר עובדי הנהלה בכירה, או חוו גל התפטרויות.
- 29% מהארגונים נאלצו לבטל תקנים חדשים.
- 25% מהארגונים נאלצו לסגור כליל את הארגון.
- 42% ממשתתפי הסקר העידו, כי חברות הביטוח לא כיסו את כלל ההפסדים שנגרמו כתוצאה ממתקפת הכופרה.
- 80% מהארגונים שהחליטו לשלם את דרישת הכופר חוו מתקפת כופרה בשנית, חלקם אף מאותה קבוצת תקיפה.
- 46% מהארגונים ששילמו את דרישת הכופר לא קיבלו חזרה את המידע בשלמותו.
האם משתלם לשלם?
מומחי האבטחה של סייבריזן מייעצים לא לשלם את דרישת הכופר לתוקפים וזאת מכמה סיבות, ביניהן הניסיון למגר את התופעה, וההבנה שפעולה זו לא תבטיח את החזרת המידע הגנוב בשלמותו ולא תמנע מתקפות עתידית דומות בארגון. למרות זאת, 60% מהנשאלים העידו, כי בארגונם בחרו לעמוד בדרישת התוקפים ולשלם את הכופר הנדרש. מהסקר עולה עוד, כי מרבית דרישות הכופר עומדות בטווח של 350 אלף דולר ל-1.4 מיליון דולר. בנוסף, נראה כי 46% מהארגונים אשר הותקפו ובחרו לשלם את דרישות הכופר לא קיבלו חזרה את המידע בשלמותו, ואף 80% מהארגונים העידו כי נתקפו שנית, לעתים קרובות אפילו על-ידי אותם גורמי איום.
בין אם החליטו הארגונים לשלם או לאו, הפגיעה העצומה לא נגמרה שם. רבים מן הנשאלים העידו, כי ההתמודדות עם השלכות התקיפה הן המסובכת והיקרות באמת. 44% דיווחו כי חוו נזק עסקי משמעותי שכלל אובדן הכנסות, פגיעה חמורה בתדמית הארגון, צמצום כוח אדם לא מתוכנן ואפילו סגירת העסק לחלוטין. בנוסף, קיומו של כיסוי ביטוחי לא הבטיח לארגונים השונים החזר מלא של סך ההפסדים.
התוקפים הופכים למתוחכמים יותר
מתוך מאות הארגונים שדיווחו על פגיעה במהלך השנה האחרונה, אלו הן שלוש תוכנות הכופר הבולטות והמסוכנות ביותר:
- Revil - תוכנת הכופר של אחת מקבוצות התקיפה הגדולות ביותר של השנים האחרונות, האחראית על הדבקה של אלפי ארגונים ברחבי העולם. תוכנת הכופר REvil נחשבת לאיום חמקמק ותוקפני במיוחד, הפועלת באמצעות כלי תקיפה מיוחדים העוזרים לה לפעול מתחת לרדאר של פתרונות האבטחה המסורתיים. קבוצת התקיפה פועלת לרוב באמצעות ניצול חולשות zero day. ערב ירידת מגזין זה לדפוס אתרי הקבוצה לא פעילים, טרם ידוע אם זה חלק מהאסטרטגיה שלהם או פעולה מכוונת של הממשל האמריקאי.
- Conti - קבוצת תקיפה חדשה אשר התחילה את פעילותה במאי 2020, וצברה תאוצה רבה עם מעל ל- 150 תקיפות מוצלחות ומיליוני דולרים שגבתה בעקבותיהן. במספר חודשים בודדים, שחררה קבוצת התקיפה שלושה עדכוני גרסה לתוכנת הכופר שלה, כאשר כל גרסה חזקה ומשופרת מקודמתה.
- NetWalker – מדובר באחת מהנוזקות הידועות לשמצה בשנה האחרונה, עם פגיעה מכוונת בארגוני בריאות גדולים. קבוצה זה מספקת את תוכנת הכופרה שלה כשירות ומוכרת את סט הכלים שלה בדארקנט לכל המרבה במחיר. בשל פוטנציאל הנפיצות שלה, הגדיר אותה צוות המומחים של סייבריזן כ"נוזקה בסיכון גבוה". קבוצה זו, בדומה לאחרות, פועלת בשיטת "הסחיטה הכפולה" בה התוקפים לא מסתפקים בהצפנת מידע ובקשת כופר עבורו, אלא סוחטים את הקורבן בדרישת תשלום עבור מניעת הדלפת המידע וחשיפתו.
לגבש תוכנית הגנה אפקטיבית
אז אילו כלי אבטחה אפקטיביים מפני מתקפות כופרה?
הארגונים אשר חוו תקיפת כופר מקיפה בארגון היו לרוב בעלי מערכות אבטחה ישנות (אנטי-וירוס מסורתי). מנגד, על-פי תוצאות הסקר, יותר מ-50% מהארגונים אשר הצליחו להתמודד ולבלום תקיפות כופר היו אלו אשר יישמו בצורה נרחבת מערכות הגנה מתקדמות (מערכות EPP, אנטי-וירוס מתקדם [NGAV], פלטפורמת XDR וכדומה). הבנת הסיכון הגדול הטמון במתקפות הכופרה מחייב ארגונים לגבש תוכנית הגנה אפקטיבית. קבוצות התקיפה משתכללות, כלי התקיפה הופכים למתוחכמים יותר ותדירות ביצוע התקיפות עולה מחודש לחודש.
הפתרונות בשוק לעצירת מתקפות כופרה קיימים. פלטפורמת ההגנה של סייבריזן מתמחה בעצירת מתקפות כופרה ומגינה על לקוחותיה בצורה הוליסטית (NGAV, EDR, XDR). סייבריזן הגנה על לקוחותיה מפני תקיפות סייבר מתוחכמות, שפתרונות אבטחה אחרים החמיצו, כולל תקיפת שרשרת האספקה על SolarWinds תקיפת שרת Microsoft Exchange ותקיפות כופר הרסניות כמו DarkSide, REvil, Conti ואחרות.
לסייבריזן מערכת מתוחכמת, אשר אוספת מידע בזמן אמת מכלל תחנות הקצה בארגון ומנתחת את פעולותיהן. הפלטפורמה מאפשרת לארגונים לפקח באופן רציף אחר המערכות השונות בארגון, וכן לזהות, לחקור, לבודד ולעצור התקפות בזמן אמת. בנוסף למוצרי החברה, סייבריזן מציעה גם שירותים נלווים (24x7) המסייעים ללקוחות בניהול הפלטפורמה, שירותי Incident Response וביטוח של מעל מיליון דולר במקרה של תקיפה.
