סייבר עליך העולם: מתקפת כופרה פגעה בחברות רבות
הכופרה זוהתה כ-Petya, המצפינה את הכוננים הקשיחים של מחשבי המשתמשים ומונעת מהם לפעול, ולאחר מכן ההאקרים דורשים כסף תמורת חילוץ הנעילה
חברות רבות באירופה ובארצות הברית נפגעו אתמול (ג') ממתקפת סייבר נרחבת מסוג כופרה.
ההאקרים דרשו מהקורבנות כופר, באופן הדומה למתקפה שאירעה בחודש שעבר, עת נעשה שימוש בכופרה WannaCry.
על פי מקצועני אבטחת מידע, הכופרה זוהתה כ-Petya, המצפינה את הכוננים הקשיחים של מחשבי המשתמשים ומונעת מהם לפעול, ולאחר מכן ההאקרים דורשים כסף תמורת חילוץ הנעילה. דרישת התשלום לכופר עמדה על מטבעות ביטקוין בשווי 300 דולרים.
אחת הסברות שהועלתה היא כי במסגרת המתקפה נעשה שימוש בכלי פריצה של NSA, הסוכנות לביטחון לאומי של ארצות הברית – שהודלפו לוויקיליקס (WikiLeaks) – מה שהביא להתפשטות מהירה של המתקפה. Petya נחשפה בשנת 2016, עת נעשה בה שימוש בראשונה, והיא פועלת באופן הדומה לזה של הכופרה WannaCry.
אתמול אחר הצהריים הגיעו הדיווחים הראשונים על המתקפה מאוקראינה, שם חלה פגיעה בחברות רבות, לרבות רשת החשמל, בנקים ומשרדי ממשלה. כן דווח על תקלות רשת בנמל התעופה של קייב.
הייצור ממשיך לפעול כרגיל
ענקית השינוע הימי הדנית, מארסק (Moller-Maersk), השביעית בגודלה בעולם, הודיעה כי מערכות המחשוב שלה ברחבי העולם נפלו בשל מתקפת הסייבר. בשעות הערב הודיעו חברות נוספות באירופה ובהודו כי הותקפו. גם יצרנית הנפט הגדולה ברוסיה, רוסנפט (Rosneft) הודיעה כי שרתיה נפגעו ממתקפה רחבת היקף – אולם הייצור המשיך לפעול כרגיל.
הבנק המרכזי באוקראינה וכן כמה בנקים מסחריים וחברות אזרחיות וממשלתיות במדינה מסרו כי נפגעו "ממתקפת וירוסים בלתי ידועה". כן נפגעה פעולת המערכות ברכבת התחתית בקייב. גם בנורבגיה נפגעו כמה חברות וגופי ממשל.
סוכנות הפרסום WPP הבריטית, הגדולה בעולם, מסרה כי גם היא נפלה קורבן לכופרה. אחר הצהריים היא הוציאה הנחייה לעובדיה לסגור את מחשביהם. המערכות באתר הגרעין בצ'רנוביל עברו לפעול באופן ידני בשל המתקפה. ענקית התרופות מרק (Merck) הייתה החברה האמריקנית הראשונה להודיע שנפגעה מהמתקפה. ארגונים דיווחו כי נפגעו גם במדינות בריטניה, גרמניה, הולנד, רוסיה, פולין ואיטליה.
חשבון ביטקוין, שככל הנראה קשור לתקיפה, קיבל כמה תשלומים מאז החלו הדיווחים על המתקפה, ויש בו מטבעות ביטקוין בערך של אלפי דולרים. על פי סימנטק (Symantec), התוכנה משתמשת בכלי הפריצה EternalBlue, אשר פותח על ידי ה-NSA והודלף לרשת על ידי קבוצת ShadowBrokers. על פי חוקרי קספרסקי (Kaspersky Labs), הנוזקה יוצרה לפני יותר משבוע, ב-18 ביוני.
כך תתגוננו
מהרשות הלאומית להגנת הסייבר נמסר כי "מתקפת הכופרה הנרחבת החלה את פעילותה במזרח אירופה אך פוגעת במדינות נוספות.
הדיווחים הראשונים על התקיפה הגיעו מאוקראינה ולאחר מכן ממדינות נוספות באירופה. הכלי שתקף באוקראינה זהה לכלים שתקפו בהולנד ובריטניה. על פי הערכה, ההדבקה הראשונית מבוצעת באמצעות דוא"ל על ידי שליחת קובץ Word עם סיסמא הפונה לכתובת ip 182.165.29.78. לאחר מכן ישנה הפצה בתוך הרשת באמצעות כמה פרוטוקולי תקשורת. לאחר הדבקה מופיע צילום מסך כי המחשב מבצע סריקה על הכונן הקשיח, כשבפועל – ברקע מבוצעת פעולת הצפנה".
הרשות ממליצה להתקין את עדכוני האבטחה שמיקרוסופט הפיצה בחודשים האחרונים. "מומלץ לחסום את התעבורה מפורט 445 לרשת האינטרנט לכניסה ויציאה. מי שלא יכול לחסום, מומלץ להשתמש ב-VPN עם הזדהות חזקה. במידת האפשר, יש למנוע תעבורה בין תחנות עבודה ברשת. יש לאפשר תעבורה רק בין תחנות לשרתים השונים – ולהיפך.
יש לעדכן חתימות אנטי וירוס בהקדם האפשרי עם תעדוף למנועי סריקה של דוא"ל. במידת האפשר, יש לשקול מניעה של הרצת תוכנות מספריית %APPDATA%".
לדברי ביל קונר, נשיא SonicWall, "סוג זה של מתקפות הופך לחלוטין להיות נפוץ יותר ויותר. מדובר באיום הגדל דרמטית ואשר יוצר כאוס רב. הכופרה הנוכחית דומה לזו של WannaCry במובן זה שהיא ממציאה עצמה מחדש עם גרסאות חדשות שלה ועם מוטציות שיכולות לקרות בכל רגע, ובזמן אמת. חלק ממי שיוצר אותן כופרות עשוי לעשות זאת לטובת בלגן, ומישהו אחר יניב ממנה רווחים כספיים".
תגובות
(0)