האיומים במרחב הקיברנטי נמצאים בעליה מתמדת מידי שנה, כאשר אנחנו הופכים לתלויים יותר ויותר בשירותים מקוונים ומתחברים עם עוד ועוד מכשירים שונים לאינטרנט, גם הנזקים שנגרמים מהתקפות ונוזקות הופכים לגדולים יותר.
אמנם בכל שנה מתגלים איומים חדשים לגמרי, אבל רבים מהם מסתמכים על התקפות ותיקות או משכללים אותן, ואת חלק מהטרנדים בתחום ניתן לצפות על פי ניסיון העבר.
נוזקות הכופר ממשיכות לשלוט
לפני עשור כאשר נדבקנו בוירוס או נוזקה, המשמעות היתה בדרך כלל סרגל כלים מציק, פרסומות קופצות, והאטה בגלישה. לפני 5 שנים כאשר נדבקנו המשמעות היתה גניבה של פרטי כרטיס האשראי שלנו או פרטי הכניסה למייל ולרשתות חברתיות.
הדבקה בוירוס כיום אומרת בדרך כלל הצפנה של המידע האישי והקריטי שלנו, ודרישה לתשלום כופר. זו תוצאה של תהליך שנמשך כבר כ 3 שנים, שהגיע לשיאו במהלך 2016.
אחוז של נוזקות כופר מתוך כלל הנוזקות, רבעון ראשון 2016, מקור: InfoSec institute
כיום ידוע לנו על קרוב ל 200 משפחות של תוכנות כופר, כאשר לכל משפחה אלפי ווריאנטים, מה שהופך את נוזקות הכופר לסוג הנוזקות שתופס את הנתח הגדול ביותר בתחום. תהליך שהחל במהלך 2016 וכנראה יתחזק במהלך 2017 הוא מכירה של קוד ליצירת נוזקות כופר בצורה די נרחבת ברחבי ה"דארקנט", כאשר ניתן כבר לראות נוזקות חדשות שפותחו בהתבסס על קוד קיים.
מתוך פורום למכירת נוזקות ב"דארקנט"
אם זה לא היה מספיק, צצו מספר חוקרי אבטחה בשנה החולפת, ששיחררו קוד ליצירת תוכנות כופר בתור proof of concept בטענה שהמטרה שלהם היא לחזק את חברות אבטחת המידע. בפועל צצו בחודשים האחרונים עשרות גרסאות של תוכנות כופר שמבוססות על הקוד שפורסם.
בשורה התחתונה שוק הנוזקות ימשיך להישלט ע"י נוזקות הכופר במהלך 2017, כאשר נוזקות אחרות לגניבת מידע יידחקו הצידה או ישמשו רק בהתקפות ממוקדות.
Ransomware as a service
טרנד נוסף שהחל להתפתח במהלך 2016 הוא נוזקות כופר בתור שירות אוטומטי עבור עבריינים. בהשראת התחום של software as a service שמשתלט על תעשיית התוכנות ושירותי המחשוב, לקחו חלק ממשפחות הפשע המאורגן שמפתחות את נוזקות הכופר את השירות שהן נותנות לעבריינים שמפיצים אותן לשלב הבא.
למרות שכבר קיים קוד פתוח וקוד למכירה של נוזקות כופר, בדרך כלל נדרש העבריין להצטרף למספר שירותים על מנת לייצר מהן כסף. השיטה של ransomware as a service שמיושמת לדוגמא עם נוזקת הכופר Cerber מאפשרת לעבריינים עם ידע טכני בסיסי ביותר להפוך למפיצים שלה, כאשר הם מספקים שירות של יצירת ווריאנטים חדשים, בדיקה שלהם מול מנועים של חברות אנטי וירוס, הקמה והגדרה של שרת התקיפה, והפצה של הנוזקה דרך ספאם, אתרים נגועים או לינקים.
העבודה מול משפחת הפשע אפילו אינה דורשת השקעה מראש, אלא תשלום ישיר עבור כל קורבן ששילם את הכופר. החלוקה היא של 40% ליוצרי הנוזקה, ו- 60% למפיץ שלה.
מתוך ממשק הניהול של Cerber, ניתן להגדיר הכל אוטומטית, כולל את סכום הכופר
השימוש של משפחות הפשע במספר רב של "שותפים" או "משווקים" מוריד את החשיפה שלהן מול רשויות החוק מצד אחד, ומצד שני מגביר את כמות ה Variants של כל נוזקת כופר בצורה אקספוננציאלית. כך נראה עליה משמעותית נוספת בתחום נוזקות הכופר במהלך 2017.
עליה דרמטית במספר הנוזקות לאנדרואיד
עם ממוצע של מיליון וחצי הפעלות ביום, אנדרואיד היא כבר מזמן מערכת ההפעלה השולטת בשוק הסמארטפונים והטאבלטים, כאשר כבר לפני שנה גוגל הצהירה על קרוב למיליארד וחצי מכשירי אנדרואיד פעילים.
השליטה של אנדרואיד בשוק המובייל הולכת ומתבססת, מקור: Statista
פעמים רבות גם הגיעו נוזקות לחנות האפליקציות הרשמית של גוגל. כאשר כל מפתח יכול לשלם סכום חד פעמי של 25$ כדי לפתוח חשבון חדש ולהעלות אפליקציה תוך 24 שעות, גם הסינון של גוגל (נקרא Bouncer) שמשתפר כל הזמן, מפספס מידי פעם נוזקות בתוך ים האפליקציות שמועלות מידי יום. כך מתקיימות אלפי אפליקציות מזויפות ומתחזות שעולות לחנות בשמות משתנים עשרות פעמים ביום.
שיטה נוספת בה משתמשים כותבי הנוזקות היא העלאה של אפליקציה "נקיה" ל Google Play, ולאחר מכן עדכון של האפליקציה שלא דרך החנות הרשמית. במהלך שנת 2017 נראה כנראה התפוצצות של נוזקות לאנדרואיד, שעל פי סקרים שנערכו לאחרונה בישראל כבר עוקפת את Windows במספר ההתקנים המחוברים לאינטרנט.
Ransomware of things
בהמשך לטרנד שעליו כתבתי בתחזיות שלי ל 2016, מכשירי ה Internet Of Things (IOT) משמשים כבר להתקפות מניעת שירות (DDOS) בצורה נרחבת, כרגע במיוחד באמצעות הנוזקה Mirai, שהצליחו להפיל באמצעותה את חברת Dyn, ספקית DNS מהגדולות בארה"ב, וכתוצאה מכך להפיל שירותים של אתרים גדולים כמו טוויטר, Netflix ו- Amazon.
בניגוד לפרסומים המוקדמים של חברת Dyn, ההתקפה לא בוצעה ע"י מיליוני מכשירים אלא "רק" על ידי כ 100,000 מכשירים נגועים.
כיום אם נחבר מכשיר IOT לאינטרנט עם הגדרות ברירת מחדל וכאשר הוא אינו מוגן ע"י חומת אש, ייקח כ 30 שניות בממוצע עד שיותקף ויתווסף לרשת Botnet שמשמשת להתקפות DDOS.
לפני פחות משבועיים פורסמה פרשה של התקפת DDOS על מערכות חימום חכמות לבתים, ששיתקה את החימום בשני בלוקים של מגורים בפינלנד, מקום שבו מערכת חימום שאינה פעילה בחורף יכולה לגרום אפילו למוות.
פרסום בטוויטר מהשבוע האחרון מראה טלוויזיה של LG שאינה ניתנת לתפעול לאחר הדבקה בתוכנת כופר שיועדה לסמארטפונים מבוססי אנדרואיד. עם המעבר של הרבה מהטלוויזיות החכמות למערכת ההפעלה של אנדרואיד, כנראה שגם נראה התקפות של כופר על טלוויזיות מחוברות לאינטרנט. הדבר פחות ישים על מכשירים "טיפשים" כמו מצלמות, שאינם כוללים דיסק קשיח, ולכן באתחול פשוט של המכשיר תימחק גם תוכנת הכופר.
ב-2017 כנראה שנתחיל לראות "נעילה" או אפילו הצפנה בפועל של טלוויזיות חכמות ושל חלק מהתקני ה-IOT, והיעילות בהתקפות יכולה גם להוביל לדרישות כופר תמורת הפסקת התקפות DDoSS על שירותים חיוניים, דבר שיכול לקרוץ לא רק לחובבנים שעוסקים בתחום, אלא גם לעבריינים מקצועיים יותר.
התקפות על רכבים חכמים
רכבים חכמים מתחילים גם הם להפוך למוצר נפוץ בשוק הרכב, ועם הפופולריות שלהם מגיעות כמובן גם ההתקפות.
התקפות עם שלט אוניברסלי "חכם" הן נפוצות מאוד בעולם וגם בישראל בשנים האחרונות, ועם המעבר להנעת רכבים ללא מפתח, חוסכות לגנבים עבודה עם מפתח גנבים או עם כבל ההנעה.
ככל שימשיך המעבר של יצרניות הרכב להנעה ללא מפתח, כך יגברו השנה התקפות אלחוטיות על רכבים.
כאשר אנו מדברים על רכבים חכמים אוטונומיים, שמסוגלים לנהוג בעצמם, הסכנה הופכת למוחשית הרבה יותר. כך הודגמה "חטיפה" של ג'יפ במהלך נסיעה על כביש מהיר לפני כחצי שנה.
כנראה שלא נראה הרבה התקפות כאלה מיושמות במהלך 2017, אבל ככל ששוק הרכב יכניס יותר ויותר רכבים אוטונומיים לייצור, כך גם נראה התקפות שישתלטו על ההיגוי של הרכב, ונוכל כנראה לראות בקרוב התקפות על נהגים תוך כדי נהיגה, ואפילו דרישות כופר תמורת ה"זכות" לקבל בחזרה את השליטה ברכב.
לסיכום
בשנה הקרובה נראה סוגים רבים יותר של נוזקות כופר והתקפות שונות שמשלבות דרישה לתשלום, כמו גם התקפות על מכשירים חכמים שמחוברים לאינטרנט. חשוב לזכור שכל מכשיר שאנחנו מחברים לאינטרנט חשוף להתקפה, כאשר בדרך כלל ההתקפות הן אוטומטיות, שמירה על עירנות ועל כללי אבטחה בסיסיים תגן עלינו ממרבית ההתקפות.