IBM security פרסמו היום את דו"ח מודיעין האיומים של X-Force לשנת 2021 המנתח את ההתפתחויות שחלו במתקפות סייבר בשנה החולפת ב-130 מדינות, והאופן בו תוקפים ניסו להפיק רווחים מהשינויים העסקיים והחברתיים שחוללה מגפת הקורונה ברחבי העולם.
כרבע (23%) מסך ההתקפות שסקר הדו"ח היו התקפות כופר והן היו סוג התקיפה הנפוץ ביותר ב-2020.

קבוצת הכופר הפעילה ביותר ב-2020 הייתה קבוצת סודינוקיבי (Sodinokibi  - המוכרת גם כ-REvil), שהייתה אחראית ל-22% מתקריות הכופר שאיתרו המערכות של IBM. בחברה מעריכים שסודינוקיבי גנבה מקורבנותיה כ-21.6 טרבייט של נתונים וכי קרוב לשני-שליש מקורבנותיה שילמו את הכופר שדרשה מהם מה שהניב לכיסי התוקפים רווח של יותר מ-123 מיליון דולר, מתוכם כ-55 מיליון דולר בחודש אוגוסט בלבד.

קרוב ל-60% ממתקפות הכופר שנכללו בדו"ח השתמשו באסטרטגיית סחיטה כפולה שבה התוקפים מצפינים, גונבים ומאיימים להדליף נתונים אם הקורבן לא ישלם את הכופר. 36% מהפריצות לנתונים שנסקרו בדו"ח נבעו ממתקפות כופר אשר כללו לכאורה גם גניבת נתונים, עובדה הרומזת על התלכדות של מתקפות פריצה לנתונים עם תוכנות כופר. כמו כן מצביע הדו"ח על מגמה של הקמת קרטלים של "תוכנת כופר כשירות" וקבוצות תקיפה שפונות למודל של "מיקור חוץ" ומסתייעות בעברייני סייבר המתמחים בהיבטים שונים של המתקפה – (ransomware-as-a-service - RaaS).

מתקפות לצורך גניבת נתונים זינקו ב-2020 והיקפן עלה ב-160% לעומת 2019. תקיפות לצורך חדירה לשרתים זינקו גם הן והיקפן רשם עלייה ב-233% לעומת 2019. מבחינת שיטות התקיפה - מתקפות המנצלות חולשות (vulnerabilities) תפסו את מקומן של מתקפות הפישינג בסיכום השנה - 35% לעומת 33% מתקפות פישינג. 18% מהמתקפות היו באמצעות ניצול פרטים אישיים שנגנבו.

בנוסף עולה מהדו"ח כי ב-2020 חל גידול של 40% בתוכנות הזדוניות הקשורות ללינוקס, וגידול של 500% בתוכנות זדוניות שנכתבו ב-Go בחציון הראשון של השנה – מגמה המצביעה על כך שהתוקפים מעתיקים את המודל של "כתוב פעם אחת, הפעל מכל מקום" ומגבירים מאמצים בתקיפה של פלטפורמות ענן.

המותגים המוכרים והאמינים הפכו ל"מלכודות דבש"
מגמה נוספת העולה מהדו"ח היא המאמץ של תוקפים להתחזות למותגים אשר הצרכנים נותנים בהם אמון כדי להצליח לקבל מהקורבנות מידע שלא היו מוסרים לגורמים אחרים. בשנה שהתאפיינה בריחוק חברתי ועבודה מרחוק, מותגים מוכרים המציעים כלי שיתוף פעולה כגון גוגל (ראשונה ברשימה - 35%), דרופבוקס ומייקרוסופט, מותגים המסייעים ברכישה מקוונת כגון אמזון ו-PayPal, ופלטפורמות תוכן כמו YouTube ופייסבוק אכלסו את רשימת המותגים שהיו כר נרחב להתחזויות ב-2020.

לראשונה, גם אדידס - אחד המותגים המוכרים והמשפיעים בעולם - הפך למטרה אטרקטיבית לתוקפים (שביעית בדירוג) שניצלו את הביקוש מצד הצרכנים וניתבו אותם לאתרי מסחר זדוניים שמתחזים לאתרים הלגיטימיים. כאשר משתמש התפתה להיכנס לדומיין שנחזה לחנות לגיטימית, התוקפים נקטו בשיטות שונות של הונאה כדי לעודד רכישה מקוונת, לגנוב מידע פיננסי של המשתמשים, לקצור הרשאות משתמש פרטיות או להדביק התקנים בתוכנה זדונית.

לדוגמה, תוקפים התחזו לאתרי מכירה של הסניקרס המבוקשים מדגם Yeezy, בעיצובו של קניה ווסט, וכן לקו הסניקרס "סופרסטאר". דגמי Yeezy לבדם הניבו ב-2019 הכנסות של 1.3 מיליארד דולר ויתכן שהציפייה לקראת השקת הדגם הבא אשתקד גרם לתוקפים למנף את הביקוש למותג הרווחי ולנצל אותו לטובתם.

ענפים חיוניים בתקופת הקורונה – יעדים "חמים" להתקפה
מגמה נוספת שעולה מהדו"ח היא כי תוקפים מיקדו ב-2020 את התקפותיהם בעסקים שעליהם נשענו מאמצי התגובה למגפה - בתי חולים, יצרני ציוד רפואי ותרופות, גופים משמעותיים בשרשרת האספקה של סחורות חיוניות וכן בחברות אנרגיה. כך למשל מספר מתקפות הסייבר על ארגוני בריאות, תעשייה ואנרגיה הוכפל בהשוואה לשנה הקודמת. התוקפים בחרו ארגונים שלא יכלו להרשות לעצמם להשבית את המערכות מחשש לשיבוש המאמצים הרפואיים או שרשרות אספקה של מוצרים קריטיים.

גופים ממגזר הפיננסים והביטוח סבלו מהשיעור הגבוה ביותר של מתקפות סייבר ב-2020 (23%) ואחריהם, מדורגות במקום השני, היו חברות תעשייה ואנרגיה (17.7%) – לעומת 2019 שאז מגזר זה דורג במקום השמיני ברשימת המותקפים. תחום האנרגיה דורג אשתקד במקום השלישי ברשימת המותקפים לעומת מקום תשיעי ב-2019. בתחום התעשייה והאנרגיה, התוקפים ניצלו גידול של קרוב ל-50% בחולשות של מערכות בקרה תעשייתיות (ICS) אשר ארגונים אלה תלויים בהם לפעילות שוטפת.

מדד מודיעין האיומים של X-Force מבוסס על תובנות ותצפיות שהופקו מניטור של יותר מ-150 מיליארד אירועי אבטחה מדי יום ביותר מ-130 מדינות. בנוסף, הנתונים נאספים ומנותחים ממספר רב של מקורות ב-IBM עצמה, לרבות מודיעין האיומים X-Force , צוות התגובה לתקריות (IR), X-Force Red - שירותי האבטחה המנוהלים של IBM, וכן נתונים שסופקו על-ידי Quad9  ו-Intezer. מטרת הדו"ח של IBM היא לספק למקצועני אבטחת המידע תובנות על תמונת האיומים הגלובלית ולהתריע בפניהם על המגמות השולטות בזירה והאיומים הרלוונטיים ביותר לארגוניהם.