כופרה זוכה להצלחה מאז שעברה להפצה במודל 'נוזקה כשירות'

קבוצת הכופרה, המוכרת בשם NetWalker, נקשרה באחרונה עם שלל מתקפות על עסקים, לאחר שהפכה זמינה לרכישה במרחבי הרשת האפלה (Dark web) במודל של 'נוזקה כשירות', Ransomware-as-a-Service.

למרות שהנוזקה ידועה בצורותיה השונות כבר מחודש אוגוסט 2019, הרי שבחודשים האחרונים היא הפכה למסוכנת ופעילה הרבה יותר. זאת, בעקבות הזמינות שלה במודל הפצה של RaaS.

הזינוק בשימוש בכופרה הניב להאקרים שמאחוריה הכנסות של מיליוני דולרים תוך קצת יותר מחמישה חודשים, כך לפי נתונים שפרסמה החטיבה למחקרי סייבר מתקדמים של מק'אפי (McAfee).

הכופרה NetWalker חדשה יחסית בנוף איומי הסייבר. היא זוהתה בראשונה רק לפני כשנה ופעלה בעצימות נמוכה עד לתחילת 2020. על פי חוקרי מק'אפי, ההאקרים שמאחוריה פועלים במתכונת דומה לקבוצות שמאחורי נוזקות ידועות אחרות כמו Maze ו-REvil. היא אף מאיימת בפרסום מידע חסוי של החברה המותקפת – באם תסרב לשלם את הכופר.

מאז תחילת השנה, ההאקרים שמאחורי NetWalker מציעים את הכלים והתשתית שלה ברשת האפלה ומאפשרים לפושעי סייבר אחרים להוציא לפועל מתקפות כופר באמצעותה – בתמורה לחלקים מתשלום הכופר. ההצעה פורסמה בפורומים ברשת האפלה, והזמינה פושעי סייבר להפוך לשותפים ולסייע בהפצת הכופרה. על פי הדיווחים, להאקרים שמאחורי NetWalker יש העדפה ברורה לשותפים בעלי ניסיון מוכח בפשעי סייבר וגישה לרשתות מידע של תאגידים וחברות עסקיות.

"האנשים שמפיצים את NetWalker במודל 'כופרה כשירות' מעדיפים איכות על פני כמות. הם מחפשים בעיקר שותפים דוברי רוסית שיש להם ניסיון עם רשתות גדולות", נכתב בדו"ח של מק'אפי. "השותפים המבוקשים ביותר הם כאלה שיש להם דריסת רגל ברשתות של קורבנות פוטנציאליים למתקפת כופר, ומסוגלים לגנוב מידע בקלות. זה לא מפתיע, בהתחשב בעובדה שפרסום מידע חסוי של קורבנות התקיפה הינו חלק ממודל הפעולה של NetWalker".

NetWalker – שימשה לתקיפת יעדים רבים במערב אירופה ובארה"ב

מתחילת השנה, שימשה הכופרה NetWalker למספר רב של תקיפות נגד יעדים במערב אירופה וגם בארה"ב, כאשר לפי הדיווחים הקבוצה מעדיפה לתקוף ארגונים גדולים. בחודש יוני האחרון, אוניברסיטת קליפורניה הותקפה באמצעות NetWalker ונדרשה לנהל עם התוקפים משא ומתן ברשת האפלה אודות תשלום כופר בסך 1.14 מיליון דולר. מתקפה דומה בוצעה גם באוניברסיטת מישיגן.

ניהלה או לא ניהלה משא ומתן על דמי הכופר? Cygilant

הקורבן האחרון של כנופיית NetWalker הוא סטארט-אפ לזיהוי איומים בשם Cygilant – כך דיווח TechCrunch. לפי הדיווחים, צילומי מסך של הספריות וקבצי הרשת הפנימית של הסטארט-אפ פורסמו ברשת האפלה, באתר המשויך עם כנופיית NetWalker.

"צוות המרכז שלנו להגנה ותגובה מפני איומי סייבר נקט בפעולה מיידית ונחרצת כדי לעצור את ההתקדמות של המתקפה נגדנו", אמרה כריסטינה לטוקה, סמנכ"לית הכספים של Cygilant. "אנו עובדים בשיתוף פעולה הדוק עם חוקרי פורנזיקה של חברת צד-שלישי ועם גורמי אכיפת החוק, על מנת להבין את טיב המתקפה ואת מידת ההשפעה שלה. אנו מחויבים לרמת אבטחה גבוהה ומתמשכת של הרשת שלנו, ולהמשיך לחזק את כל ההיבטים בתכנית האבטחה שלנו".

לטוקה הוסיפה כי החברה לא שילמה כופר לתוקפים, עם זאת TechCrunch ציין כי המידע וצילומי המסך שפורסמו ברשת האפלה נעלמו משם – מה שבדרך כלל מעיד על תהליך משא ומתן בין התוקפים לקורבן.