תוכנות זדוניות הרסניות של מגבים התפתחו מעט מאוד מאז הוירוס "Shamoon" פגע בכ-30,000 מערכות לקוחות ושרתים ב- ארמקו הסעודית לפני יותר מ-10 שנים. עם זאת, הוא נותר איום חזק כתמיד על ארגונים ארגוניים, על פי מחקר חדש.
מקס קרסטן, מנתח תוכנות זדוניות ב-Trelix, ניתח לאחרונה יותר מ-20 משפחות מגבים שגורמי איומים פרסו בהתקפות שונות מאז תחילת השנה הזו - כלומר תוכנות זדוניות שהופכות קבצים לבלתי ניתנים לשחזור או הורסת מערכות מחשב שלמות. הוא הציג סיכום של ממצאיו באירוע Black Hat East Middle East & Africa ביום שלישי במהלך מושב "Wipermania".
השוואה של מגבים בטבע
הניתוח של קרסטן כלל א השוואה בין ההיבטים הטכניים של המגבים השונים במחקר, כולל ההקבלות וההבדלים ביניהם. לצורך הניתוח שלו, קרסטן כלל מגבים ששחקני איומים השתמשו בהם רבות נגד מטרות אוקראיניות, במיוחד רגע לפני פלישת רוסיה למדינה, כמו גם מגבים גנריים יותר בטבע.
הניתוח שלו הראה את האבולוציה של המגבים, מאז שאמון, שונה מאוד מסוגים אחרים של כלי תוכנה זדוניות. היכן, למשל, התוכנה הזדונית שבה משתמשים שחקני איומים בקמפיינים של ריגול הפכה יותר ויותר מתוחכמת ומורכבת עם השנים, המגבים התפתחו מעט מאוד, למרות שהם נותרו הרסניים כתמיד. הרבה מזה קשור לאופן ולמה שחקני איומים משתמשים בהם, אומר קרסטן ל-Dark Reading.
בניגוד לתוכנות ריגול ותוכנות זדוניות אחרות עבור התקפות ממוקדות וריגול סייבר, ליריבים אין תמריץ קטן לפתח פונקציונליות חדשה להסתרת מגבים ברשת לאחר שהצליחו להגניב אותה לשם מלכתחילה. בהגדרה, המגבים פועלים כדי למחוק או לדרוס נתונים במחשבים ולכן הם רועשים ומזוהים בקלות לאחר ההשקה.
"מכיוון שהתנהגות המגב אינה צריכה להישאר ללא תשומת לב כשלעצמה, אין תמריץ אמיתי להתפתחות", אומר קרסטן. בדרך כלל רק כאשר תוכנות זדוניות צריכות להישאר מוסתרות לאורך תקופה ממושכת, גורמי איומים מפתחים טכניקות מתקדמות ומבצעים בדיקות יסודיות לפני פריסת התוכנה הזדונית שלהם.
אבל מגבים לא צריכים להיות כל כך מורכבים, וגם לא נבדקו היטב, הוא מציין. עבור רוב גורמי האיומים המשתמשים במגבים, "השיטות הנוכחיות עובדות ודורשות מעט או שום התאמה, מלבד יצירת מגב חדש לשימוש בהתקפה הבאה."
קרסטן גילתה שמגב יכול להיות פשוט כמו סקריפט להסרת כל הקבצים מהדיסק, או מורכב כמו תוכנה זדונית רב-שלבית שמשנה את מערכת הקבצים ו/או את רשומות האתחול. לפיכך, הזמן של מחבר תוכנות זדוניות לפתח מגב חדש עשוי לנוע בין דקות ספורות לתקופה ארוכה משמעותית עבור המגבים המורכבים יותר, הוא אומר.
איום בעל ניואנסים
קרסטן תומך בכך שצוותי אבטחה ארגוניים יקח בחשבון כמה גורמים בעת הערכת הגנות מפני מגבים. החשוב ביותר הוא להבין את המטרות והיעדים של שחקן האיום. למרות שמגבים ותוכנות כופר יכולים לשבש את זמינות הנתונים, מפעילי תוכנות הכופר נוטים להיות בעלי מוטיבציה כלכלית, בעוד שהמטרות של תוקף המשתמש בתוכנות זדוניות מגב נוטות להיות יותר ניואנסיות.
הניתוח של קרסטן הראה, למשל, שפעילים וגורמי איומים הפועלים בתמיכה באינטרסים אסטרטגיים של מדינת לאום הם אלה שהפעילו השנה בעיקר מגבים במתקפות סייבר. ברבות מהתקיפות, פעילי איומים כוונו לארגונים באוקראינה, במיוחד בתקופה שקדמה לפלישת רוסיה למדינה בפברואר.
דוגמאות למגבים שבהם השתמשו שחקני איומים בקמפיינים אלה כללו WhisperGate ו-HermeticWiper, שניהם התחזו לתוכנת כופר אך למעשה פגעו ברשומת האתחול הראשית (MBR) במערכות Windows והפכו אותן לבלתי ניתנות להפעלה.
מגבים נוספים שתוקפים פרסו נגד מטרות באוקראינה השנה כוללים את RURansom, IsaacWiper ו CaddyWiper, כלי שקבוצת תולעי החול הידועה לשמצה של רוסיה ניסתה לפרוס במערכות Windows הקשורות לרשת החשמל של אוקראינה. ברבות מהתקפות אלו, נראה כי גורמי האיום שביצעו אותן בפועל קיבלו את המגבים מחברים שונים.
גורם נוסף שמגיבי אבטחה צריכים לזכור הוא שמגבים לא תמיד מוחקים קבצים ממערכת היעד; לפעמים מגבים יכולים לפגוע במערכת היעד על ידי החלפת קבצים גם כן. זה יכול לעשות הבדל בעת ניסיון לשחזר קבצים בעקבות התקפת מגב.
"מחיקת קובץ לרוב משאירה את הקובץ בדיסק כפי שהוא תוך סימון הגודל כחופשי לשימוש עבור פעולות כתיבה חדשות", כתב קרסטן בפוסט בבלוג על המחקר שלו, שפורסם במקביל להרצאתו ב-Black Hat ב-15 בנובמבר. זה מאפשר לשחזר קבצים ב מקרים רבים, אמר.
כאשר כלי מגב משחית קבצים על ידי החלפתם, יכול להיות קשה יותר לשחזר את הקבצים. בפוסט בבלוג, קרסטן הצביע על מגב WhisperGate, שהשחית קבצים על ידי החלפה חוזרת ונשנית של המגה-בייט הראשון של כל קובץ ב-0xCC. מגבים אחרים כמו RURansom משתמשים במפתח הצפנה אקראי עבור כל קובץ בעוד שחלק מהמגבים מחליפים קבצים בעותקים של התוכנה הזדונית עצמה. במקרים כאלה, הקבצים יכולים להישאר בלתי שמישים.
התוצאה העיקרית היא שארגונים צריכים להתכונן למגבים בדיוק כמו שהם מתכוננים לזיהומים של תוכנות כופר, אומר קרסטן. זה כולל גיבויים עבור כל הנתונים הקריטיים ובדיקת תהליכי שחזור לעתים קרובות ובקנה מידה.
"כמעט כל מגב מסוגל להשחית מערכת עד לנקודה שכל הקבצים אובדים או שהמכונה לא תפעל כמו שצריך יותר.", הוא מציין. "מכיוון שקל לבנות מגבים, התוקפים יכולים לבנות אחד חדש מדי יום במידת הצורך."
לכן, הפוקוס עבור ארגונים הוא על הטקטיקות, הטכניקות והנהלים של היריב (TTPs) - כגון תנועה לרוחב - במקום התוכנה הזדונית עצמה.
"עדיף להתכונן לפגיעה [מתקפת מגב] כשאין כזו", אומר קרסטן, "מלהיות מכה במלוא הכוח ללא הודעה מוקדמת".
