קבוצת תוכנות הכופר 'ALPHV' לוקחת אחריות על מתקפת אבטחת הסייבר של MGM בפוסט ברשת האפלה
תוכנות כופר נותרו איום מתמשך על ארגונים ברחבי העולם, עם עלייה מתמשכת הן בתדירות והן במורכבות ההתקפות. בין השחקנים הבולטים בנוף תוכנות הכופר, קבוצת ALPHA SPIDER זכתה לתשומת לב בשל מעורבותה בסדרה של התקפות בפרופיל גבוה לאחרונה המכוונות לגופים בולטים כמו מעבד תוכנת התשלומים האמריקאית Change וענקית תעשיית המשחקים MGM. מתוך הכרה באיום המשמעותי שמציב ALPHA SPIDER בשל נוכחותו הנרחבת במרחב הסייבר, משרד המשפטים האמריקני יזם מבצע אכיפת חוק בינלאומי שמטרתו לשבש את פעילות ALPHV (המכונה BlackCat), בתוספת ייעוץ מפורט מ-CISA במסגרת יוזמת #StopRansomware.
איתור מתקפות כופר של ALPHA SPIDER (הידוע גם בשם ALPHV, BlackCat)
מאז הופעתה בתחילת שנות ה-2020, ALPHA SPIDER מיצבה את עצמה במהירות כספקית מובילה של תוכנות כופר כשירות (RaaS), ומשכה תשומת לב עם מיקוד לקורבנות בעלי ערך גבוה, יכולות תקיפה מתוחכמות והצעות אטרקטיביות לשותפים. כדי להתמודד ביעילות עם התקפות ALPHA SPIDER פוטנציאליות, מגיני אבטחת סייבר זקוקים לכלי זיהוי וציד איומים מתקדמים המצוידים באלגוריתמי זיהוי מותאמים המתייחסים לטקטיקות, טכניקות ונהלים (TTPs) של האויב. פלטפורמת SOC Prime מציעה סט אוצר של כללי Sigma התואמים ל-28 טכנולוגיות SIEM, EDR, XDR ו-Data Lake, המאפשרים זיהוי של פעילות זדונית הקשורה לתוכנת הכופר ALPHA SPIDER. על ידי מינוף כללי זיהוי אלה, ארגונים יכולים להגן באופן יזום מפני איומים מתפתחים שמציבים ALPHA SPIDER ויריבים דומים.
ניתוח התקפות ALPHV/BlackCat Ransomware
הפעילויות הזדוניות של מפעילי תוכנות הכופר ALPHV (BlackCat, ALPHA SPIDER) נמצאות תחת בחינה אינטנסיבית מאז סוף 2021, מכיוון שהם ממשיכים להתמקד במגזרי תעשייה מגוונים תוך שיפור מתמיד של ארסנל טכניקות התקיפה שלהם. יש לציין כי BlackCat מייצגת את האבולוציה של כנופיות כופר קודמות כמו DarkSide ו-BlackMatter, מה שמסמן רמה מוגברת של תחכום ומומחיות בקרב השותפים שלה. במהלך השנה האחרונה, שחקני ALPHV הציגו טקטיקות חדשות ושיטות חדשניות כדי להגדיל את פעולות תוכנות הכופר שלהם.
ALPHV/BlackCat נבדלת על ידי השימוש שלה בשפת התכנות Rust ואספקת סט מקיף של יכולות שנועדו למשוך שותפים מתקדמים. יכולות אלו כוללות גרסאות של תוכנות כופר התואמות למספר מערכות הפעלה, טכניקות התחמקות הניתנות להתאמה אישית, מסד נתונים אינטרנטי ברור הניתן לחיפוש, אתר דליפות ייעודי ושילוב של מערבל ביטקוין בפאנלים שותפים. מחקר שנערך לאחרונה חשף את השימוש בגרסאות לינוקס של Cobalt Strike ו-SystemBC על ידי מפעילי ALPHV כדי לבצע סיור של שרתי VMware ESXi לפני התחלת פריסת תוכנות כופר.
ההשפעה הנרחבת של התקפות ALPHV/BlackCat ניכרה בתקריות שבהן היו מעורבים ארגונים גדולים כמו MGM Resorts ו-Change Healthcare, וכתוצאה מכך שיבושים משמעותיים בשירות והפסדים כספיים. התוקפים מנצלים פגיעויות ידועות, כולל CVE-2021-44529 ו-CVE-2021-40347, לגישה ראשונית והתמדה בתוך רשתות ממוקדות, ולאחר מכן פעילויות סיור באמצעות Nmap וסריקות פגיעויות ממוקדות. בנוסף, יריבי ALPHV ניסו לנצל את הפגיעות CVE-2021-21972 ומינפו את כלי הגיבוי של Veeam כדי לחלץ אישורים ממסדי נתונים של Veeam.
בהתחשב בנוף איומי תוכנות הכופר ההולך וגובר, המשרד לזכויות האזרח של משרד הבריאות ושירותי האנוש של ארה"ב (OCR) פרסם הודעה על אירוע אבטחת סייבר המתייחס לאירוע המשפיע על Change Healthcare וגופי בריאות אחרים. זה מדגיש את הצורך הדחוף באמצעי אבטחת סייבר משופרים במגזר הבריאות, שחווה עלייה משמעותית בהתקפות כופר בשנים האחרונות. כדי להילחם ביעילות באיומי תוכנות כופר, ארגונים יכולים למנף פתרונות זיהוי מתקדמים כמו Attack Detective, המספקים נראות מקיפה של משטחי תקיפה ומשתמשים באלגוריתמי זיהוי מבוססי התנהגות המותאמים לסביבות אבטחה ספציפיות.
לסיכום, תוכנת הכופר ALPHA SPIDER מציבה אתגר אדיר לארגונים בתעשיות שונות, המחייבת אסטרטגיות הגנה חזקות ואמצעי אבטחה פרואקטיביים. על ידי שמירה על ערנות ומינוף טכנולוגיות אבטחת סייבר מתקדמות, ארגונים יכולים להפחית את הסיכון הנשקף מ-ALPHA SPIDER ולהגן על הנכסים הדיגיטליים שלהם מפני איומי תוכנות כופר.