יועץ אבטחת מידע   |   אוגוסט 20, 2025

כופרת Crypto24 עוקפת את מערכת ה־EDR שלכם. מה לעשות?

האיום המתוחכם שמשתמש בכלים לגיטימיים כדי להכות במקומות הכי מוגנים – האם הארגון שלכם מוכן?

הופעת איום חדש

כופרת Crypto24 מציגה רמה חדשה של תחכום וסכנה

קבוצת תקיפה חדשה בשם Crypto24 מושכת כעת את תשומת לבם של חוקרי אבטחת מידע ברחבי העולם, לאחר שהחלה להציג יכולות מתקדמות ביותר לעקיפת מערכות הגנה. אף שנצפתה לראשונה ב-2024, רק בחודשים האחרונים הפכה לפעילה ומשפיעה במיוחד, כאשר הצליחה לעקוף מערכות EDR של חברות מובילות ובכלל זה של Trend Micro. התוקפים משתמשים בכלים לגיטימיים כמו PSExec ו-AnyDesk לגישה מרחוק ולהתפשטות ברשת הארגונית, וכן בשירותים כמו Google Drive להוצאת מידע.
המתקפות כוונו בעיקר לארגונים גדולים באסיה, אירופה וארצות הברית, בעיקר בענפי הפיננסים, התעשייה, הטכנולוגיה והבידור. הסימנים מצביעים על כך שמדובר בקבוצת תוקפים מאורגנת, סבלנית ובעלת ראייה אסטרטגית, ולא בפעולה מזדמנת או חובבנית.

שימוש מתוחכם בכלים לגיטימיים

התקפות באמצעות תשתיות קיימות בארגון

אחת מהשיטות המרכזיות שבהן משתמשת קבוצת Crypto24 היא טכניקת "Living off the Land" – שימוש בכלים לגיטימיים שכבר קיימים במערכת כדי לקדם את ההתקפה. כך למשל, הקבוצה השתמשה בכלי XBCUninstaller.exe של Trend Micro המיועד להסרת רכיבי תוכנה של החברה, כדי לנטרל את מערכת ההגנה Trend Vision One. השימוש המכוון והמתוחכם בכלים ארגוניים מעיד על שליטה מעמיקה במבנה הארגוני של הקורבן ויכולת תכנון מראש של מהלכים. התוקפים אינם פועלים בפזיזות, אלא מבצעים כל שלב רק לאחר הכנה מדוקדקת והבנה של סביבת המערכת.
שלב זה מאפשר להם להסיר הגנות, לנוע בין מכשירים, ולהכין את הקרקע להצפנת הקבצים. המתקפות הללו ממחישות שינוי בגישה: פחות הסתמכות על תוכנות זדוניות אגרסיביות ויותר ניצול של תשתיות פנימיות ואמון מערכתי.

ערכות EDR תחת מתקפה ישירה

RealBlindingEDR ככלי משבש רב עוצמה

הדבר המטריד ביותר במתקפות של Crypto24 הוא השימוש בגרסה מותאמת של RealBlindingEDR, שמצליחה לשבש מנגנוני הגנה של כמעט 30 יצרני אבטחה לרבות Cisco, Kaspersky, MalwareBytes, Sophos ועוד. לפי Trend Micro, הכלי מצליח להסיר קריאות של תוכנות אבטחה ולנטרל אותן בלי לעורר חשד מיידי. המשמעות היא שגם מערכות מתקדמות עלולות ליפול קורבן אם לא מקפידים על ניהול וחסימת רכיבים מסוכנים מראש. העובדה שהכלי פועל על מגוון רחב כל כך של תוכנות אבטחה מצביעה על רמת מחקר ויכולת טכנית יוצאת דופן מצד התוקפים.

המלצות מאת מומחי אבטחת מידע של IPV Security

  1. הפעילו מנגנוני הגנה מפני הסרה (anti-tampering) – ודאו שמשתמשים מקומיים אינם יכולים להסיר או לשנות את תוכנות האבטחה בתחנות הקצה.
  2. הגבילו את השימוש בכלים לגישה מרחוק כמו RDP או-AnyDesk – אפשרו שימוש למערכות ולמשתמשים מורשים בלבד, עם בקרת גישה מוקפדת.
  3. בדקו בקביעות את רמות ההרשאה של חשבונות משתמשים – הסירו הרשאות מיותרות ויישמו את עקרון "ההרשאה המינימלית" (Least Privilege)  לפיו יש להעניק למשתמשים או לתהליכים רק את ההרשאות המינימליות הנדרשות לביצוע משימה ספציפית.
  4. הפעילו את מנגנון ההגנה העצמית של סוכני האבטחה (self-protection) – כך אפשר למנוע מנוזקות ומכלים עוינים להסיר את תוכנת ההגנה מהמערכת.
  5. הגבירו מודעות בקרב צוותי IT וההנהלה הבכירה – חשוב שיבינו את הסיכון שבשימוש בכלים לגיטימיים ככלי תקיפה, ויפעלו בהתאם.

לסיכום,

קבוצת התקיפה Crypto24 מציגה רמה חדשה של תחכום באיומי הסייבר, תוך שימוש בכלים לגיטימיים וטכניקות עקיפה מתקדמות. היא מצליחה לשבש מערכות אבטחה של עשרות ספקים ולהסיר הגנות מבלי להפעיל תוכנות מזיקות קלאסיות. כדי להתמודד עם האיום, ארגונים חייבים להקשיח את תשתיות ההגנה, להגביל הרשאות ולבצע ניטור רציף וחכם של מערכותיהם.

למידע נוסף: New Crypto24 Ransomware Attacks Bypass EDR

 

מעוניינים לבדוק את מערך הגיבויים שלכם והמוכנות לאירוע כופרה? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה