Cybereason首席执行官向世界介绍了以色列防空洞中DarkSide的黑客技术
5月初,Cybereason首席执行官Lior Div自大流行以来首次回以色列,探视了他在以色列的300名员工。这是他过去每几个月从他的公司总部所在的波士顿进行一次旅行的旅程。
这次访问比他预期的多得多。Div离开几天后,有消息传出,美国最大管道的运营商因网络攻击瘫痪了,这次网络攻击摧毁了5500英里长的燃料网络。
任何大型公司黑客都会吸引Div的兴趣,因为Div的初创企业是为了防止坏人。殖民地管道袭击特别令人担忧,因为负责组的一个名为DarkSide的组织曾试图在9个月前渗透到Cybereason的一位客户。
Div在采访中说:“他们相当老练,活跃,看起来非常专业。”Cybereason在今年的CNBC的Disruptor 50排行榜中排名第23位。
在追踪DarkSide的根源时,Cybereason的研究人员对得知的消息感到非常震惊,以至于该公司在4月初发布了一篇博客文章,其中列出了一些发现。它描述了DarkSide是一个勒索者团队,他们窃取私人数据并扬言将其公开,除非受害者支付大笔费用(通常为20万至200万美元)。
他们被称为勒索软件攻击,Cybereason得知DarkSide不仅是此类网络犯罪的主要肇事者,而且还出售被称为Ransomware即服务的产品,该产品允许其他组织使用其自己的工具并同样造成严重的金钱破坏。 。
当联邦调查局确定DarkSide是殖民地管道违规事件的幕后黑手时,Div主动提出了关于该组织,该组织的运作方式以及公司为保护自己而应采取的行动的信息。他去了媒体,包括CNBC,CNN,路透社和彭博社。
在其中一次采访中,特拉维夫的紧急警报器开始鸣叫,向附近的每个人发出了寻找最近的防空洞的信号。Cybereason的办公室每层有四个。
警报之所以响起,是因为以色列和哈马斯支持的巴勒斯坦激进分子正处于血腥的11天战斗的开始。特拉维夫及其周边地区的居民正面临着进来的火箭弹,而以色列部队正在加沙地带发动空袭。
迪夫说:“我继续接受采访,但去了防空洞。”迪夫曾担任以色列国防军8200部队负责军事网络安全的指挥官。“对于在以色列长大的人来说,这是一种自动响应的转变。”
以色列和哈马斯上周同意停火。加沙空袭造成的死亡人数超过240,而在以色列至少有12人丧生。
网络犯罪的大规模增长
Div于2012年在以色列成立Cybereason,然后在两年后将公司迁至波士顿。现在,它是新兴的端点保护市场中增长最快的参与者之一,涉及保护大型企业和政府网络及其众多设备免受全球范围内不断扩散的高级黑客工具和技术的侵害。
Divea说,截至去年年底,Cybereason的年度经常性收入达到约1.2亿美元,规模比上年增长约一倍。Div和他的管理团队在波士顿时,Cybereason的800名员工遍布以色列,日本,欧洲和美国.2019年,该公司从软银筹集了2亿美元,估值约为10亿美元。
Cybereason面临着众多竞争对手,从科技企业集团Microsoft,Cisco和VMware到网络安全厂商CrowdStrike和SentinelOne(在今年Disruptor 50排行榜中排名第四)。
Div说,Cybereason的特殊之处在于,它可以自动识别出可疑或不熟悉的任何东西,并能在成功攻击之前识别并阻止DarkSide。如果一行无法识别的代码降落在受Cybereason保护的服务器上,则会标记该事件,并且公司的技术和分析人员可以正常工作。
“我们正在积极狩猎,” Div说。“我们不只是在等待我们的软件阻止事情。我们正在筛选我们随时收集的信息,以寻找新的线索。”
8月,当其软件检测到DarkSide时,该公司对代码进行了反向工程,并遵循了该小组的虚拟脚步。该公司在四月份的博客中写道,它发现这个相对年轻的组织显然是在寻找“英语国家的目标,并且似乎避免在与前苏联集团国家有关的国家中瞄准”。
Div说,Cybereason发现DarkSide有10次企图攻击其客户群-美国有八次,欧洲有两次。
骇客成本上升
在缺乏防御黑暗边的技术的情况下,Colonial Pipeline被迫支付了440万美元的赎金。根据研究公司Cybersecurity Ventures的数据,勒索软件损害今年将达到200亿美元,比2018年增长100%以上,是2015年的57倍。
比金钱更重要的是,管道黑客暴露了该国关键基础设施中的严重漏洞,该基础设施越来越多地连接到互联网,并受到各种技术的零散拼凑的保护。
停产也造成了该国东海岸近一半的燃料供应中断。天然气价格飙升至七年高位,原因是消费者在停电期间感到恐慌,并排队等候数小时。
这次攻击代价高昂且令人震惊,但Div说,与美国去年对SolarWinds入侵所看到的规模相比,规模和规模实在无足轻重。据估计,SolarWinds入侵打击了9个政府机构和100家私营公司。
多达18,000个SolarWinds Orion客户下载了包含后门的软件更新,黑客利用这些后门获得了对网络的访问权。网络安全软件供应商FireEye透露,它相信一个政府资助的参与者渗透到其网络中主要是为了获取有关政府客户的信息。
美国当局将这次黑客袭击锁定在俄罗斯。
迪夫说:“ DarkSide的复杂程度远不及SolarWinds所做的那样。”“这是民族国家与非民族国家之间的区别。”
Div说,SolarWinds攻击者对网络进行了扫描,以确定是否安装了Cybereason的软件。如果他们看到它存在,则绕过它并移至另一个网络。
Div说:“这就是恶意代码的工作方式。”“如果要检测到它,那就是自我终结。”
SentinelOne表示,基于SolarWinds黑客攻击中的“妥协指标”,其客户也得以幸免。
该公司在12月13日的帖子中写道:“在被称为‘SUNBURST’的SolarWinds攻击中,SentinelLabs研究证实,部署了SentinelOne代理的设备明确不受所报告的IOC中使用的恶意负载的影响。”
Div表示,无论是勒索软件,网络钓鱼和恶意软件之类的常见黑客攻击,还是SolarSods之类的复杂间谍活动,当今的攻击频率都在迫使企业使用最先进的威胁检测技术来保护其网络。
对于Cybereason来说,大客户通常每年要支付数十万美元,Div说,鉴于Colonial Pipeline刚刚发生的事情,这是便宜的。
他说:“看到有人以我们可以帮助他们的相对较小的价格支付了500万美元,从我的角度来看,这太疯狂了。”