האם תעשיית אבטחת המידע יכולה להתמודד עם מתקפות כופר?

כתב: נעם פרוימוביץ, מנכ"ל קספרסקי (Kaspersky Lab) ישראל

לא צריך להיות מומחה אבטחה כדי לדעת מהן תוכנות זדוניות, אבל בשנתיים האחרונות נוספה תופעה חדשה למילות הבאזז בתחום האבטחה, שהופכת לאיום גובר על עסקים ואנשים פרטיים בכל רחבי העולם – Ransomware (כופרה).

Ransomware היא תוכנה זדונית שמצפינה את קבצי המשתמש ודורשת כופר מבעלי הקבצים כדי לקבל את המפתח לשחרורם. במילים אחרות, כופרה היא צורה של סחיטה באיומים.

למעשה כל מחשב נטול אמצעי אבטחה ראוי הופך למטרה פוטנציאלית. המשתמש מקבל דואר אלקטרוני עם קובץ או לינק שנראים תמימים, ומיד עם פתיחת הקובץ או הקלקה על הלינק, התוכנה מתקינה את עצמה במחשב ושולחת סימן לשרת השולח על מנת לקבל ממנו מפתח הצפנה. התוכנה הזדונית מתחילה להצפין את כל קבצי המשתמש, כך שהוא אינו יכול לגשת אליהם. לאחר סיום ההצפנה, מופיעה על המסך הודעה המציגה למשתמש מגבלת זמן לתשלום סכום מסוים על מנת לקבל גישה לקבצים.

עסק מכניס לעבריינים

אירועי הכופר שהתפרסמו השנה מוכיחים שזהו עסק מכניס לעבריינים: בעוד שברוב ההתקפות המסורתיות הם יקבלו נתונים ואז יצטרכו למצוא דרכים להפוך את המידע לכסף, עם מתקפות כופר הם יכולים להרוויח כסף באופן מיידי.

זו הסיבה שראינו עליה מאסיבית גם בהתקפות וגם במודעות הציבורית. אנליסטים שלנו צפו כבר באמצע 2015 כי זו תהיה קטגוריית האיומים הצומחת ביותר ב-2016. ונראה שהם צדקו. זינוק עצום נרשם בשימוש במתקפות כופר ברבעון הראשון של 2016 – והוא הפך להיות אופנתי מאוד בקרב כותבי קוד זדוני.

בעקבות המודעות  הציבורית הנרחבת שזכו לה מתקפות הכופר, אנו רואים כעת את צמיחתה של תפיסה שבסיסה ההערכה כי תעשיית אבטחת המידע אינה יכולה להתמודד עם מתקפות כופר. אבל מדובר בתפיסה מוטעית. פתרונות אבטחה מודרניים יכולים לזהות התקפות בלתי מוכרות באמצעות ניתוח התנהגות של קובץ הפעלה.

החדשות החיוביות הן אלה: רוב מתקפות הכופר מתבססות על טכנולוגיית קוד זדוני מסורתית ולכן קל לחסום אותן. ראינו מספר קטן מאוד של דוגמאות מתקפות כופר עם טכניקות מתוחכמות יותר, המנסות להימנע מזיהוי של תוכנות אבטחה. כך שמנקודת מבט הגנתית אנו יכולים לומר: זה לא שונה מכל תוכנת קוד זדוני אחרת.

משוחררים מהצפנה

יותר מ-50 משפחות של מתקפות כופר פועלות כיום בשטח, ואין בשלב זה אלגוריתם אוניברסלי אחד שמאפשר לטפל באיום או בהתקפה. אפיקי התקיפה של עברייני ה-Ransomware הם קלאסיים: פרסום זדוני, אתרים נגועים, דואר אלקטרוני ורשתות חברתיות.

עם זאת, טכנולוגיות ההגנה העדכניות שלנו יכולות להגן מפניהם. בשנה שעברה השיקה מעבדת קספרסקי decryptor service עבור קורבנות כלי כופר שחיפשו דרך לאחזר את הקבצים המוצפנים שלהם, והשירות כולל היום מפתחות הצפנה חינמיים ל-CryptoLocker  ול-CryptXXX.

בחודש שעבר עברה מעבדת קספרסקי לשלב הבא, כשהשיקה טכנולוגיית-מנע שתסייע להגן מפני התקפות כופר. טכנולוגיית Anti-Cryptor החדשה מבוססת על אלגוריתם מוגן בפטנט, המשתמש בניתוח התנהגות כדי לזהות ולהגן על תיקיות משותפות מפני הצפנה ולמנוע נעילה של קבצים.

הטכנולוגיה משולבת כרכיב במספר פתרונות כמו Kaspersky Endpoint Security for Business ו-Kaspersky Security for File Server, וביחד עם טכנולוגית System Watcher, המונעת התפשטות איומים ממכשיר נגוע אחד לאחר – מבטיחים פתרונות אלו להגן על הנכסים האלקטרוניים של ארגונים מפני איום מתקפות כופר.

עכשיו, תוסיפו לזה גיבויים קבועים ועדכון תוכנה והרבה זהירות, והרי לכם אסטרטגיה כוללת למזעור נזקים. אם לא למניעתם בכלל.

למידע נוסף לחצו כאן.