TrendAI ו-CleanDNS מכריזות על שתף אסטרטגי לפירוק תשתיות פשיעת סייבר והסרתן מהאינטרנט

TrendAI, החטיבה העיסקית של מובילת אבטחת הסייבר טרנד מיקרו, וחברת CleanDNS, המתמחה בניהול מערכות DNS, הכריזו על שותפות פורצת דרך שנועדה לשנות את כללי המשחק במאבק בתשתיות הפשיעה הדיגיטלית. השותפות החדשה מעבירה את משקל הכובד מהגנה פסיבית וחסימת דומיינים ברמת הלקוח, לפעולה אקטיבית של הסרת תשתיות התוקפים מהאינטרנט לצמיתות. המהלך נועד לפגוע ישירות בתשתיות שעליהן נשענות מתקפות סייבר מודרניות, עוד לפני שהן מגיעות לקורבנות.

לדברי רוברט מקארדל, מנהל מחקר הסייבר ב-TrendAI וכריס לואיס-אוונס, COO ב-CleanDNS, שיתוף הפעולה מסמן מעבר מגישת הגנה מסורתית, שמתמקדת בחסימת איומים ברמת הלקוח, לגישה התקפית ואקטיבית יותר שמטרתה לנטרל את תשתיות התוקפים עצמן. “חסימת דומיינים זדוניים הייתה במשך שנים שכבת הגנה קריטית, אך היא אינה פותרת את הבעיה מהשורש. תשתית התקיפה עצמה נשארת פעילה וזמינה עבור הקורבן הבא,” נכתב במחקר שעליו חתומים השניים.

במסגרת המשימה המשותפת, השתמשו צוותי המחקר של שתי החברות במודלים של Machine Learning  ובתהליכי Agentic AI כדי לזהות בזמן אמת תשתיות המשמשות קבוצות תקיפה. במקום להמתין למתקפה, המערכת מאתרת את הדומיינים והשרתים שהוקמו לצורך פעילות זדונית ופועלת נגדם בזמן אמת, עוד לפני שההתקפות יוצאות לפועל.

מיקוד שיתוף הפעולה הוא באיומי "צד שמאל של שרשרת ההרג" (Left-of-kill-chain)  המאפשרים כמעט כל מתקפת סייבר גדולה, ביניהם תוכנות גניבת מידע לקצירת אישורים וטוקנים לגישה בקנ"מ תעשייתי (Infostealers), ערכות דיוג הזמינות לכל תוקף פוטנציאלי (Phishing-as-a-Service) ,אספקת מטען זדוני משני למערכות שנפרצו (Loaders) והענקת גישה מתמשכת לסביבת הקורבנות (RATs).

מכפיל כוח: למה המיקוד המוקדם קריטי? האסטרטגיה של TrendAI ו-CleanDNS  נשענת על שני עקרונות מרכזיים. ראשית, "הזנב הארוך" של הפשיעה – מספר קטן יחסית של משפחות נוזקה שולטות ברוב השוק, ולכן פגיעה מדויקת בהן יוצרת אפקט הגנה נרחב. שנית, עצירת האיום בשלבים המוקדמים מונעת נזקים כבדים בהמשך. מתקפת כופרה שבה המטען הזדוני הראשוני נחסם, היא מתקפה שלא תתרחש לעולם.

TrendAI מזהה ומסווגת מדי יום מאות רכיבי תשתית זדוניים, ובמקרים רבים מצליחה לחסום אותם עוד לפני שנעשה בהם שימוש במתקפות חיות. אולם עד כה ההשפעה הסתיימה בשלב ההגנה על לקוחות החברה. כאן נכנסת לתמונה CleanDNS. החברה מתמחה בניהול ונטרול שימוש לרעה במערכות DNS ופועלת בתוך הארגונים המפעילים את תשתיות האינטרנט ומול ספקיות תשתית אינטרנט ברחבי העולם. באמצעות מערכת ייעודית היא חוקרת מקרי ניצול לרעה, מגבשת ראיות ויוזמת פעולות השעיה,(Sinkholing)  או הסרה מלאה של דומיינים זדוניים. כל מקרה מדווח עם חבילת ראיות מובנית ומותאמת למדיניות הגופים המנהלים את הדומיינים, מה שמאפשר טיפול מהיר ויעיל יותר.

תוצאות בשטח. הפעילות המשותפת של שתי החברות עובדת כך – TrendAI מזהה דומיינים המשמשים לשליטה ובקרה (C&C) או להפצת נוזקות ומעבירה אותם ל-CleanDNS לצד ראיות מלאות. CleanDNS מאמתת את המידע ומעבירה אותו לגורם הרלוונטי לצורך הסרה. לפי הנתונים שהוצגו במחקר, תהליך האימות והדיווח אורך בממוצע כ-30 דקות בלבד, ובמקרים מסוימים ניתן להסיר דומיינים בתוך 12 דקות. זמן הטיפול הממוצע להסרה מלאה מהאינטרנט עומד כיום על כיומיים וחצי.

בדו"ח הוצגה דוגמה ממשית: דומיין ששימש את נוזקת Lumma Stealer זוהה אוטומטית על ידי מערכות TrendAI , אומת והועבר ל-CleanDNS  עם חבילת ראיות. התהליך כולו, מרגע האיתור ועד להסרה המוחלטת של הדומיין מהאינטרנט, ארך כ-25 שעות בלבד.

"האינטרנט צריך להיות מקום בטוח לכולם, לא רק ללקוחות של ספק אבטחה בודד", נמסר מהחברות. "השותפות בינינו יוצרת מכפיל כוח ששום ארגון לא יכול להשיג לבדו. המסר לקהילת פושעי הסייבר הוא חד-משמעי: אם תתקפו לקוח של TrendAI , אנחנו נמצא את התשתית שלכם, נחסום אותה מיידית, ועכשיו, באמצעות השותפות שלנו, אנחנו נסיר אותה מהאינטרנט כולו".