תוכנות הכופר מכוונות לכסף הגדול; מנהל האבטחה חייב להיות ערוך

השמועות על מותה של תוכנת הכופר היו מוקדמות. ירידה במספר מתקפות ה-Ransomware ב-2018 הביאה רבים לחשוב שגל המתקפות הזה מאחורינו. לצערנו, הן עדיין עמנו, ואפילו בגרסה מעודכנת, מסוכנת ומזיקה יותר. מז'אנר מתקפות שכוון להמונים עברו מתקפות הכופרה לכוון ישירות למקומות שבהם נמצא הכסף הגדול: חברות וארגונים גדולים.

"הכופר לא נעלם, הוא רק הפך לשקט יותר ומריץ מתקפות יותר ממוקדות ואיכותיות", אמר אמיר כרמי, מנהל הטכנולוגיות בחברת אבטחת המידע ESET בישראל. "הסיבה העיקרית שהוא הוספד היא שבתקשורת תמיד מחפשים את הטרנד הבא וב-2018 אלה היו המתקפות על הקריפטו (Cryptojacking). אבל הבעיה של מתקפות הכופרה עדיין קיימת והאתגר גדול יותר, כי התחכום – הן של המתקפות והן של החוזק של ההצפנה – עלה".

אמיר כרמי, מנהל הטכנולוגיות של ESET ישראל. צילום: מושיק ברין

בשנה האחרונה ראינו חברות גדולות בארץ ובחו"ל נופלות קורבן למתקפות כופר. כך, פרקים של התכניות הישרדות והמירוץ למיליון הפכו לבלתי נגישים במחשבי רשת עקב מתקפה כזאת. מתקפה מזיקה עוד יותר חוותה ורינט, כאשר באפריל האחרון השתלטה תוכנת כופר על מערכות פנימיות רבות שלה והתוקפים דרשו מיליוני דולרים כדי לשחררן. תאגידים נוספים, מפעלים ורשויות מוניציפליות בארץ ובחו"ל נפלו גם הם קורבן למתקפות כאלה. ככל שהארגון גדול יותר – כך גדל גם פוטנציאל הנזק, שנאמד לעתים בעשרות מיליוני דולרים. במקרים הלא נדירים שבהם בוחרת החברה להקים מחדש את כל תשתית המחשוב שלה, ההפסד הוא כפול: זמן ההשבתה וזמן הבנייה מחדש. לחברות ציבוריות המשמעות היא גם צניחה תלולה בשווי המנייה.

"במהלך השנה האחרונה עברו מתקפות הכופרה מספר שינויים, כאשר הדגש הוא על סוג המטרות שהתוקפים מחפשים", הסביר כרמי. "בניגוד לשנים קודמות, שבהן היו הרבה מתקפות פשוטות שנעשו בעיקר ב-'שיטת מצליח', כיום הפוקוס הוא על חברות וארגונים בינוניים וגדולים. רמת התחכום הן של המתקפה והן של הנוזקה עלתה משמעותית. המתקפות של העידן הנוכחי הרבה יותר ממוקדות. פעמים רבות מתבצע איסוף של מודיעין לפני המתקפה ונעשית פעולת פישינג ממוקדת, מה שנקרא Spear Phishing – שליחת מייל שמטורגט ספציפית לגורם בחברה במטרה שילחץ על לינק זדוני ויאפשר לתוקפים דריסת רגל ראשונית במערכות. בנוזקה עצמה יש הקפדה גדולה לנסות ולהישאר מתחת לרדאר של מערכות ההגנה והאיתור. בכל אחד משלבי המתקפה יכולים התוקפים לעצור ולהחליט מה יהיה שלב המתקפה היעיל ביותר במהלך הבא".

מה קורה מהרגע שבו הקורבן לוחץ על הלינק הזדוני?
"יכולים לקרות דברים רבים עד שהוא יקבל את הודעת הכופר. ברקע מתחילה ההדבקה של תחנת העבודה או של שרת שחשוף לרשת. משם מתבצע מה שקרוי Lateral Movement – הדבקה של מערכות נוספות ברשת. התוקפים עדיין לא עושים כלום – רק מדביקים, לוקחים הרשאות ניהול ומנטרים את הפעילות ברשת, כשהמטרה היא לזהות את המערכות הקריטיות, את מערכות הגיבוי ולבחור את הזמן המתאים ביותר בו יהיה אפשר להפעיל את ההצפנה ולדרוש כופר. כשכל התנאים בשלים – ההצפנה נעשית והודעת הכופר מוצגת".

ESET

איך מגיבות החברות שנופלות קורבן למתקפה?
"יש כאלה שנכנעות ומשלמות את הכופר. אלה המקרים שבדרך כלל לא שומעים עליהם, כי הם לא מתפרסמים בתקשורת, אבל הם בהחלט קיימים. ברבעון הראשון של 2019 הייתה עלייה של מאות אחוזים במספר מתקפות הכופר, כך שהמסקנה חייבת להיות שזה עובד. יש תאגידים שלוקחים את זה בחשבון וממש מקדישים תקציב לנושא. גם אם החברה שילמה והתוקפים באמת סיפקו את מפתח ההצפנה – הבעיה לא נפתרה, כי המשמעות היא שעדיין קיימת נוכחות זרה ומסוכנת במערכות המחשוב. לכן, יש חברות שבוחרות לא לשלם אלא להקים מחדש את תשתית המחשוב. הרי מלבד הישארות נוכחותו של וירוס במערכת, מי שמשלם גם בעצם מצייר לעצמו מטרה גדולה על הגב עליה כתוב 'שילמתי כבר פעם אחת'. לכן, יש חברות רבות שמעדיפות לספוג נזקים משמעותיים, להשבית את פעילותן ולהחליף מערכות".

כיצד יכולים ארגונים להתמודד עם בעיית הכופר?
"חשוב להשתמש במוצר אבטחה בעל שכבות הגנה מרובות, שיודעות להתמודד עם פעולות התקפיות מתוחכמות, כמו חדירה ראשונית לרשת, סריקה והתפשטות ברשת, והצפנה של המידע בשרתים הקריטיים.

פרט לכך, יש לקחת בחשבון גם את מודעות העובדים והמוכנות הארגונית שכוללת גיבויים, תחזוקה ועדכון מערכות באופן שוטף. בשורה התחתונה, כדאי להבין שיש אמצעי זהירות ולא מדובר בגזרה משמיים".

איך נזהרים? למדריך הכופר המלא לארגונים גדולים לחצו כאן.