חברת הסייבר הישראלית סיגניה (Sygnia) חושפת פרטים חדשים אודות קבוצת תקיפה המכונה RagnarLocker, אשר מתמקדת בתקיפת כופרה של תשתיות קריטיות ושל ארגונים ברחבי העולם. בסיגניה חושפים כלים חדשים שקבוצת ההאקרים משתמשת בהם ומפתחת בעצמה. בבלוג חדש, מספק צוות החוקרים של סיגניה כלים עבור ארגונים על מנת לסייע בזיהוי שיטות וכלי תקיפה של קבוצת RagnarLocker בטרם יוצפן המידע של הארגון בידי ההאקרים.

צוות סיגניה, בהובלת אורן בידרמן, ראש צוות זיהוי ותגובה לאירועי סייבר בחברה, מסביר כי ההאקרים גונבים מידע רב מהארגון ולאחר מכן מצפינים את תחנות העבודה והשרתים ודורשים כופר על מנת שלא לפרסם את המידע שנגנב ולספק מפתח הצפנה לשרתים שהוצפנו. בבלוג מתואר כיצד ההאקרים עושים זאת וכי חלק מהכלים בהם הם משתמשים פותחו על-ידם.

לדברי בידרמן, "מדובר בקבוצה ותיקה יחסית המוכרת עוד משנת 2020, אך חלק מהכלים והשיטות בהם היא משתמשת טרם נחשפו. בשלב זה, אין ודאות בתעשייה לגבי ארץ המקור ממנה מגיעים חברי הקבוצה, שמעניינת בעיקר בשל העובדה שהיא מתמקדת בחברות השייכות למגזרים של תשתיות קריטיות, כגון: בתי חולים, מפעלים חיוניים וחברות ממשלתיות". בידרמן מציין כי הקבוצה כתבה קוד המאפשר לה "לשלוף" את יומני האירועים והפעולות ממערכת הלוגים של הארגון ב-Windows, שבדרך כלל משמשים אנשי אבטחה בארגון כדי לדעת מה קרה.

קורבנות רבים בצפון אמריקה ובאירופה

ההאקרים מנצלים את המידע אליו נחשפו על מנת לבנות רשימת מטרות בתוך הארגון, כדי להתפשט אליהן ולפרוס את תוכנת הכופר ברשת הארגון. בנוסף, הם משתמשים בכלי רוסי לניהול הגישה מרחוק שנקרא RMS (Remote Manipulator System) כמנגנון פיקוד ובקרה. הבלוג של סיגניה מספק מידע כיצד לחקור את הממצאים הפורנזיים שהותיר כלי זה על השרת שנפגע. כלי גישה מרחוק אחר, AnyDesk, שימש את ההאקרים להוצאת נתונים מהארגון ואיפשר להאקרים להישאר "מתחת לרדאר" מבלי לעורר חשד כיוון שמדובר בכלי אדמיניסטרטיבי לגיטימי ושכיח.

"ההאקרים יוצרים כלים חדשים כל הזמן על מנת שלא יזהו אותם. השילוב של כלי ניהול לגיטימיים עם כלים מתוצרת עצמית עוזר לקבוצה לחמוק ממערכות ההגנה הפרוסות בארגון. ההאקרים מקפידים למחוק את הכלים שלהם לאחר הרצה ובנוסף מצפינים את המערכות ברשת, כך שלמרות שמדובר בקבוצה ותיקה הם עדיין מצליחים להוציא לפועל תקיפות הגובות מחיר כבד מארגונים", מוסיף בידרמן. "יש לקבוצה קורבנות רבים בצפון אמריקה - ארה"ב וקנדה - וגם באירופה. בשלב זה לא ידוע על קורבנות בישראל".

"היענות למתקפת כופר מסוג זה היא אינה גזרת גורל"

לדברי בידרמן, על ארגונים להבין כי היענות למתקפת כופר מסוג זה היא אינה גזרת גורל. "ארגונים יכולים להתכונן ולהיות מוגנים יותר מפני מתקפות כאלו, באמצעות מספר צעדים בסיסים – ובראשם, עליהם לדאוג שמערכות שחשופות לאינטרנט יעברו עדכוני אבטחה בזמן. זאת, מכיוון שקבוצת ההאקרים הזו מנצלת בעיקר את האלמנט הזה. אנו רואים כי מרבית הארגונים שהותקפו לא עדכנו את שרתי הארגון כנדרש". בסיגניה עדכנו גורמי אכיפת חוק גלובליים ושיתפו אותם בממצאים טרם פרסום הדברים. בחברה ממשיכים לעקוב אחר קבוצת התקיפה, שעדיין פעילה, בניסיון לסכל את המתקפות הבאות.

עוד ב-

מתקפת סייבר ענקית על אתרים בישראל: דרמת הענק נחשפת

לכתבה המלאה

מרכז תלונות הפשע באינטרנט של ה-FBI (IC3) פרסם לאחרונה את דו"ח הפשע באינטרנט לשנת 2022, שמצביע על כך שבמהלך 2022 חלה עלייה במתקפות כופר, והמקרים שדווחו הביאו להפסד של יותר מ-34.3 מיליון דולר. הדוח מצביע על כך שבשנה החולפת ה-IC3 קיבל 870 תלונות בנוגע להדבקה בתוכנת כופר מארגונים השייכים ל-14 מתוך 16 מגזרי תשתית קריטיים, בהם שירותי בריאות, ייצור קריטי, שירותי אנרגיה ועוד.