מתקפות סייבר אוטומטיות במגמת עלייה

"דוח נוף האיומים הגלובלי האחרון שלנו מראה בבירור כי פושעי סייבר ממנפים בינה מלאכותית ואוטומציה כדי להאיץ את התקפותיהם במהירות ובקנה מידה חסרי תקדים", אמר דרק מנקי, סגן נשיא למחקר איומים גלובלי ואסטרטגיית אבטחת סייבר במעבדות FortiGuard. "ספרי אבטחה מסורתיים אינם מספיקים עוד. ארגונים יצטרכו לעבור במהירות לאסטרטגיית הגנה פרואקטיבית המשלבת בינה מלאכותית, אפס אמון וניהול איומים מתמשך כדי להישאר צעד אחד קדימה מול התוקפים בנוף האיומים המשתנה במהירות של ימינו."

ראוי לציין כי סריקה אוטומטית נמצאת בשיא של כל הזמנים, שכן תוקפים פועלים לזהות מטרות חשופות מוקדם. כדי לנצל פגיעויות חדשות שהתגלו, פושעי סייבר פורסים סריקה אוטומטית בקנה מידה עולמי. מעבדות FortiGuard צפתה ותיעדה מיליארדי סריקות בחודש, המקבילות ל-36,000 סריקות בשנייה. זה מצביע על התמקדות חזקה של תוקפים במיפוי שירותים חשופים כגון SIP ו-RDP ופרוטוקולי OT/IoT כגון Modbus TCP.

עלייתה של הרשת האפלה הקלה על הגישה לערכות תקיפה מוכנות מראש. בשנת 2024, פורומים של פושעי סייבר החלו לשמש יותר ויותר כשווקים לערכות ניצול, עם יותר מ-40,000 פגיעויות חדשות שנוספו למסד הנתונים הלאומי של פגיעויות, עלייה של 39% משנת 2023.

בנוסף לפגיעויות אפס-יום שמסתובבות בדארקנט, ברוקרים מציעים יותר ויותר אישורים ארגוניים (20%), גישה מרחוק ל-RDP (19%), קונסולות ניהול (13%) ו-web shells (12%). ראוי לציין כי FortiGuard Labs ראתה עלייה של 500% בלוגים זמינים ממערכות שנפגעו על ידי תוכנות זדוניות לגניבת אישורים במהלך השנה האחרונה, עם 1.7 מיליארד רשומות אישורים גנובות ששותפו בפורומים מחתרתיים אלה.

פשיעת סייבר המונעת על ידי בינה מלאכותית מתרחבת במהירות. גורמי איום בסייבר ממנפים בינה מלאכותית כדי לשפר את האותנטיות של ההונאות שלהם ולהתחמק מבקרות אבטחה מסורתיות, מה שהופך את מתקפות הסייבר ליעילות יותר וקשות יותר לגילוי. כלים כמו FraudGPT, BlackmailerV3 ו-ElevenLabs הופכים קמפיינים של מתקפות לניתנות להרחבה, אמינות ויעילות יותר, תוך הימנעות ממגבלות כלי הבינה המלאכותית הזמינים.

התקפות ממוקדות על מגזרים קריטיים נמצאות במגמת עלייה. תעשיות כמו ייצור, שירותי בריאות ושירותים פיננסיים ממשיכות לראות עלייה במתקפות סייבר מותאמות אישית, עם פרצות ספציפיות המתוכננות ונפרסות במיוחד עבור כל מגזר.

בשנת 2024, המגזרים המכוונים ביותר יהיו ייצור (17%), שירותים עסקיים (11%), בנייה (9%) וקמעונאות (9%). גורמים מדינתיים וארגוני תוכנות כופרה כשירות (RaaS) ימקדו את מאמציהם בתחומים אנכיים אלה. ארצות הברית נושאת את עיקר הפגיעה במתקפות אלו (61%), אחריה בריטניה (6%) וקנדה (5%).

סיכוני אבטחה בענן וב-IoT נמצאים במגמת עלייה. סביבות מחשוב ענן ממשיכות להיות מטרה מרכזית, כאשר תוקפים מנצלים באופן עקבי חולשות כגון שירותי אחסון פתוחים, זהויות מוקצעות יתר על המידה ושירותים בעלי תצורה שגויה. ב-70% מהאירועים שנצפו, תוקפים קיבלו גישה באמצעות אישורים מאזורים גיאוגרפיים לא מוכרים, דבר המדגיש את החשיבות של ניטור זהויות בהגנה על ענן.

אישורים הם המטבע של פושעי סייבר. בשנת 2024, פושעי סייבר שיתפו יותר מ-100 מיליארד רשומות פרוצות בפורומים מחתרתיים, עלייה של 42% משנה לשנה, המונעת בעיקר על ידי עלייה ב"רשימות מעורבות" המכילות שמות משתמש, סיסמאות וכתובות דוא"ל גנובות. יותר ממחצית הפוסטים ברשת האפלה קשורים למאגרי מידע שדלפו, מה שאפשר לתוקפים להפוך אוטומטיביים התקפות מילוי אישורים בקנה מידה גדול.

קבוצות בעלות פרופיל גבוה כמו BestCombo, BloddyMery ו-ValidMail היו בין קבוצות פושעי הסייבר הפעילות ביותר בתקופה זו, מה שהוריד עוד יותר את מחסום הכניסה על ידי הצעת חבילות מבוססות אישורים, מה שהוביל לעלייה חדה בהשתלטויות על חשבונות, הונאות פיננסיות וריגול תאגידי.

לנוכח המצב הנ"ל, הדו"ח מספק המלצות בנוגע להגנה ביטחונית עבור מנהלי מערכות מידע (CISO), תוך הדגשת מספר תחומים אסטרטגיים שיש להתמקד בהם, כגון:

מעבר מגילוי איומים מסורתי ל"ניהול חשיפה מתמשך לאיומים" – גישה פרואקטיבית זו מתמקדת בניהול מתמשך של משטחי התקפה, סימולציה של התנהגות יריב בעולם האמיתי, מתן עדיפות לתיקון מבוסס סיכונים ואוטומציה של תגובות גילוי והגנה.

סימולציית התקפות בעולם האמיתי – בצעו תרגילי סימולציה של יריבים, שלבו צוותים אדומים וסגולים, ונצלו את MITRE ATT&CK כדי לבחון הגנות מפני איומים כמו תוכנות כופר וקמפיינים של ריגול.

צמצום משטח התקפה – פרוס כלי ניהול משטח התקפה (ASM) כדי לזהות נכסים חשופים, אישורים שדלפו ופגיעויות הניתנות לניצול, תוך ניטור רציף של פורומי רשת אפלה לאיתור איומים מתעוררים.

מתן עדיפות לפגיעויות בסיכון גבוה – התמקדו במאמצי התיקון בפגיעויות הנדונות באופן פעיל על ידי קבוצות פושעי סייבר, ונצלו מידע על תעדוף מבוסס סיכונים כגון EPSS ו-CVSS כדי לנהל תיקונים ביעילות.

מינוף מודיעין של הרשת האפלה – ניטור שווקי הרשת האפלה אחר שירותי כופרה מתפתחים ומעקב אחר מאמצי האקרים מתואמים כדי לצמצם איומים כמו DDoS והתקפות השחתת אתרים.

מקור: https://doanhnghiepvn.vn/chuyen-doi-so/an-ninh-mang/cac-cuoc-tan-cong-mang-tu-dong-tang-manh/20250508031351243