מה זה בכלל וירוס כופר?
אם יש מושג שצבר פופלריות בשנים האחרונות בעולם העסקי, זה As a Service, או aaS בקיצור. הקונספט הפשוט של שימוש בשירות מסוים ללא הצורך בבעלות עליו, נתן מעוף לשירותים רבים, וביניהם שירותי אבטחת מידע, לעבור למודל זה.
אולם האנושות תמיד מוצאת דרכים להפתיע אותנו, וכעת מעבר למערכות הגנה שנמכרות כשירות, גם מערכות תקיפה נמכרות ככאלה, ספציפית תוכנות כופר כשירות.
פופלרי בקרב האקרים ומעורבת ב-22% מכלל מתקפות הסייבר, מתקפת כופר מתחילה מתוכנה המוחדרת למחשב ולוקחת את המידע שלנו כשבי עד למילוי דרישות התוקף. הוירוס יכול להצפין את המידע או לנעול את המכשיר שלנו, וכך לנעול אותנו ללא גישה. מובטח שהמידע יחזור להיות זמין עבורנו לאחר תשלום כופר להאקר, לרוב בצורת ביטקוין כדי שלא יהיה ניתן לאתר את מקבל התשלום, אולם הצינים מבינינו יחשדו בכך שאין ערובה לשחרור המידע.
דרכי פעולה של וירוס כופר
- הצפנה– תוכנה המאתרת קבצים הנראים חשובים למשתמש- טקסטים, מסמכים, תמונות, PDF ועוד. את המידע היא מצפינה, ובכך מונעת גישה אליו, אולם עדיין תוכלו להשתמש במכשיר שלכם. כאשר הקורבן הוא אדם פרטי, לרוב הכופר מסתכם בכמה מאות דולרים, והדרישה כוללת העברה של התשלום עד 72 שעות, אחרת המידע נמחק לצמיתות.
- נעילה– במקרה זה המתקפה היא יחסית פשוטה, והתוכנה נועלת את כל המכשיר, והודעת הכופר מופיעה על המסך.
- Scareware– אולי הצינית מכולן, מתקפה זו מתחזה לתוכנה הסורקת אחר בעיות במחשב, ומודיעה לנו על תקלות חמורות שיש לטפל בהן מיד. התוכנה אינה מאפשרת לך להשתמש במחשב עד שניתן אישור לפתירת הבעיות, בתשלום כמובן. ההודעות המופיעות אשר מתריעות על איתור התקלות מחקות תוכנות אנטי וירוס חוקיות, ונותנת תחושה של מקור אמין בכך שהן מספקות מידע על כתובות IP ומיקום גיאוגרפי, או משתמשות בשמות של חברות מוכרות ואמינות.
- DoxWare– תוכנת הדלפה, כשמה כן היא, מאיימת על הדלפת המידע הגנוז לאתרים ב-Dark Web, או לאתרי הדלפות המיועדים להדלפת מידע אישי.
סוגי וירוס כופר
נראה שעולם האופנה אינו היחיד שמשתמש במותגים, וגם כאן יש סוגים שונים של וירוס כופר בעלי שם עולמי. אז פראדה וגוצ'י, זמנכם תם. הגיע העת להכיר את הסוגים האופנתיים של וירוס הכופר.
CryptoLocker- סוס טרואיני שחודר למכשיר ומחפש קבצים שיוכל להצפין, החל מכל המידע שנמצא על הכונן הקשיח, קבצים שנשמרו במכשירים מחוברים כמו USB, ואפילו מידע שמאוחסן בענן. כשהמכשיר הודבק בתוכנה, הוירוס מצפין את המידע על ידי מפתח ציבורי ומפתח פרטי. מסך של מכשיר מודבק יציג הודעת אזהרה שהמפתח הפרטי יינתן במידה ויעענו דרישות התשלום כופר. נרגיע את חובבי האפל, ה-CryptoLocker אינו פוגע במכשירים הפועלים על מערכות הפעלה של Mac, אלא רק בווינדוס.
WannaCry- התוכנה שהשליטה טרור גלובלי במאי 2017,וירוס ה-WannaCry הדביק כרבע מיליון מחשבים הפועלים על מערכת ההפעלה של ווינדוס. בדומה ל-CryptoLocker, גם וירוס זה מצפין קבצים ודורש תשלום עליהם בביטקוין. התוכנה מנצלת חולשה במערכת הווינדוס שפותחה לכאורה על ידי ה-NSA, שמה EternalBlue. למעשה, מיקרוסופט הוציאו פא'ץ שהגן על משתמשים מפני הוירוס חודשיים לפני ההדבקה, אולם לא כל משתמשי המערכת מעדכנים את התוכנה בתדירות גבוהה. במקרה של ההתקפה בשנת 2017, אלה שסירבו לשלם את תשלום הכופר בסך 300$, קיבלו דרישה נוספת לשלם פי 2 מהסכום המקורי תוך 3 ימים, אחרת המידע יימחק. אך גם אלה ששילמו לא היו מוגנים מההשלכות, כשהתגלה שהקוד אינו יודע לשייך את התשלום למכשיר המודבק.
Source: Kaspersky
BadRabbit- מוסווה כתוכנת ADOBE להתקנה, וירוס הארנב התפשט בין מכשירים על ידי קבצים להורדה מאתרי אינטרנט נגועים. ב-2017 הייתה התפשטות נרחבת של הוירוס ובו נדרש מהקורבנות תשלום של 280$ בביטקוין תוך 40 שעות.
Source: ProofPoint
Jigsaw- אחד מהוירוסים הכי הרסניים שקיימים, ה-Jigsaw הוא אכזרי במיוחד. אם דרישת תשלום הכופר של 150$ לא משולם בשעה הראשונה, התוכנה מוחקת קובץ. ככל שעובר הזמן, כך יותר ויותר קבצים נמחקים פר שעה, כך שבכל 60 דקות כ-1000 קבצים נעלמים מהמחשב המודבק.
NotPetya- התפרסם בשנת 2017 במהלך הסיפוח של האי קרים על ידי רוסיה, הוירוס התפשט לאתרי האינטרנט של רגונים אוקראינים, ביניהם בנקים, משרדי ממשלה, עיתונות וחברות חשמל. הוירוס פגע גם בחברת הלוגיסטיקה הענקית הדנית, Maersk, והביאה להפסקת הפעילות הגלובלית של החברה לימים ארוכים, שנגמרה בהפסדים משמעותיים הנאמדים ב-300 מיליון דולר. וירוס ה-NOTPETYA הוא וריאנט של וירוס כופר הנקרא PETYA, שמדביק מרכיבים המבוססים על ווינדוס של מיקרוסופט. כאשר הוירוס מדביק את ה-MBR, ה- Master boot record שמכיל את קוד האתחול למערכת ההפעלה, הוא מריץ קוד שמצפין את המידע הנחוץ למערכת ההפעלה שנמצא בדיסק הקשיח. הוירוס יכול לנעול את הדיסק הקשיח במלואו, מה שמונע למכשיר לטעון את מערכת ההפעלה.
Source:KnowBe4
איך וירוס הכופר מגיע אלינו?
קורבנות תוכנות הכופר יכולים להיות אנשים פרטיים או חברות ותאגידים בעלי פגיעות במערכות ההגנה, כמו בתי חולים או משרדי ממשלה. תוכנות אלה מגיעות למכשירים שלנו לרוב באחת משלושת הדרכים הבאות:
פישינג– מה לא נאמר על הדיוג, ועדיין זוהי שיטה המוכיחה את עצמה שוב ושוב. השימוש באימיילים וס.מ.סים שנראו שנשלחו ממקור לגיטימי, ומטרתם לגרום למשתמשים לפתוח לינקים ולהוריד קבצים נגועים. להמשך קריאה על זיהוי מתקפת פישינג ודרכי התגוננות, המשיכו למאמר הפישינג.
Source ProvenData HotSpot Shield
קונפיגורציה לא נכונה של ה-RDP- אלה מאיתנו המוגבלים טכנולוגית שמחים כאשר צוות ה-IT תופס פיקוד מרחוק על המחשב, ואנחנו "נאלצים" להתרווח על כיסא ולחכות לסיום העבודה. אולם פרוטוקל השליטה מרחוק יכול להוות פתח להאקרים להחדרת תוכנת כופר, במידה וההגדרות אינן מוכננות כראוי, מצב הקורה לרוב כאשר:
- חברה מקימה את הרשת שלה בפעם הראשונה
- צות ה-IT חסר ניסיון ולא סוגר כראוי את הפורט
- הארגון עושה מיקור חוץ לשירותי ה-IT, ואלה משאירים את הפורטים פתוחים על מנת לבצע ניטור מרחוק
- אין זיהוי דו שלבי
- שימוש בסיסמאות חלשות/ ישנות
Exploit Kits– איזה פושע לא צריך את ערכת הכלים שלו, והאקרים אינם שונים במקרה זה. ערכות אלה כוללות אוסף של תוכנות וקודים זדוניים, הסורקים אחר חולשות ידועות במערכות ההגנה של מכשיר הקורבן. ערכות אלה יוצרות מגע ראשוני עם מכשיר הקורבן על ידי מה שנקרא Malvertising, שהם אתרים או פרסומות עם קוד זדוני שאוספים מידע על המשתמש הנכנס לאתר. לאחר מכן, ה-Kit סורק אחר פגיעויות ידועות בפרוטוקול ההגנה של האתר, הרשת והדפדפן. לאחר החדרת תוכנת הכופר למכשיר, היא יכולה להתפשט גם לרשת הארגונית ולנעול גישה למסמכים של סביבת העבודה.
Source Anchor
תוכנת כופר כשירות
כמו ה-SaaS, IaaS, Paas, כעת הגיעה תורו של ה-Ransomware as a Service להופיע בכותרות. מודל זה בעצם מאפשר למשתמשים אשר רכשו מנוי לנצל כלים של תוכנות כופר לשימוש עצמי, והמשקיעים בפיתוח התוכנה מקבלים אחוזים על כל כופר ששולם. כמו משתמשי ה-SaaS, גם משתמשי ה-RaaS לא צריכים להיות בעלי ידע או ניסיון כדי לנצל את יכולות הכלי הזה.
כמו כל מודל עסקי מוצלח, כך גם ה-RaaS מתחיל באנשים מוכשרים שמנסים לגייס כספים. מפתחי תוכנות הכופר צריכים להיות בעלי שם מקצועי בעולם ההאקינג על מנת למשוך משקיעים המועניינים בתוכנות עם סיכוי הצלחה גבוהים לחדור למכשירים ורשתות. לאחר פיתוח התוכנה, היא עוברת אדפטציה כך שתתאים למודל השירות, ונמכרת כמנוי חודשי או בשימוש חד פעמי.
והמודל העסקי הזה אכן עובד, עם התייקרות של כ-33% בתשלום הכופר הממוצע מאז הרבעון הראשון של 2020, מה שמביא את המספרים ליותר מ-100,000 דולר בממוצע לתשלום אחד בלבד, על פי הנתונים של Coveware.
עלייה ברווח קשורה גם ליעדי תוכנת הכופר. אם פעם ההאקרים היו תוקפים אנשים פרטיים וחברות קטנות בעיקר, כעת היעדים העיקריים הם חברות בינוניות בצמיחה המוכנות לשלם כסף רב עבור המידע הנעול שלהם.
איך מתגוננים מפני וירוס כופר?
כדי לא ליפול קורבן למתקפת וירוס, עלינו לסגל נהלי בטיחות המונעים הורדה של וירוס כופר למכשיר האישי שלנו, ולשלב מערכות הגנה מתקדמות המזהות וירוסים ומתקפות אלה. במידה ומדובר בארגון או עסק, בעלי התפקידים האחראיים על אבטחת המידע של הארגון, כמו ה-CISO, חייבים לוודא יישום נהלים אלה ואינטגרציה של מערכות אבטחה כגון:
- רכישת אנטי וירוס אמין
- בחירת סיסמאות- בחרו סיסמאות חזקות בעלות אותיות גדולות וקטנות, מספרים ותווים. ואולי החשוב מכל, אל תמחזרו את אותה הסיסמא לכל החשבונות שלכם.
- הגבלת גישה של משתמשים ומניעת כניסה לאתרים חשודים
- רענון נהלי בטיחות כגון איסור לחיצה על לינקים המגיעים ממיילים
- עדכון מערכות ההגנה של הארגון, והטמעת פתרונות אבטחת מידע מתקדמים כמו EDR מנוהל, העוקב אחר התנהגויות משתמש ומגיב בזמן אמת
- גיבוי של המידע הרגיש של הארגון
