הגונב מגנב – פטור

נחשפה PetrWrap, משפחה חדשה של נוזקה המשתמשת במודול המקורי להצפנה של תוכנת הכופר Petya – המופץ באמצעות פלטפורמת כופרה-כשירות, כדי לבצע מתקפות כנגד ארגונים.

על פי חוקרי קספרסקי (Kaspersky Lab), שחשפו את PetrWrap, מפתחי הנוזקה יצרו מודול מיוחד המשנה את הכופרה המקורית של Petya תוך כדי תנועה, כשהוא מותיר את הכותבים המקוריים חסרי אונים ונטולי הכנסה. "הגילוי החדש משקף את התחרותיות הגוברת בשוק העולם התחתון לכופרות", ציינו החוקרים.

במאי 2016, חשפו חוקרי ענקית האבטחה הרוסית את כופרת Petya, שלא רק מצפינה את הנתונים המאוחסנים במחשב, אלא גם מוחקת את רשומת המאסטר לאתחול בדיסק הקשיח – מה שלא מאפשר לקורבנות לאתחל את מערכת ההפעלה.

ללא תשלום של אגורה שחוקה

Petya מהווה דוגמה מובהקת למודל כופרה-כשירות, בו היוצרים של קוד זדוני מציעים מוצר זדוני "על פי דרישה", ומקדמים אותו באמצעות כמה מפיצים, תוך קבלת נתח מסוים מהרווחים. במטרה לקבל את חלקם ברווח, כותבי Petya הכניסו בקוד הזדוני "מנגנוני הגנה" מסוימים, שאינם מאפשרים שימוש בלתי מורשה בגרסאות של Petya.

הכותבים של הטרויאני PetrWrap, שפעילותו הראשונה זוהתה בתחילת 2017, הצליחו להתגבר על מנגנונים אלה ומצאו דרך להשתמש ב-Petya ללא תשלום של אגורה שחוקה לכותבים המקוריים.

לא ברור עדיין כיצד PetrWrap מופץ. לאחר ההדבקה, PetrWrap מפעיל את המודול של Petya – כדי להצפין את נתוני הקורבן ולדרוש כופר. כותבי PetrWrap משתמשים במפתחות הצפנה פרטיים וציבוריים משלהם, במקום אלה שמגיעים "ארוזים" עם גרסאות Petya. כך, הם יכולים לפעול ללא צורך בקבלת מפתח פרטי ממפעילי Petya כדי לשחרר את מכונת הקורבן במקרה והכופר שולם.

על פי חוקרי האבטחה, "נראה כי אין זו מקריות שהמפתחים של PetrWrap בחרו ב-Petya לצורך הפעילות הזדונית שלהם: משפחת הכופרות הזו מחזיקה כיום באלגוריתם קריפטוגרפי כמעט מושלם וקשה לפיצוח – שהוא החלק החשוב ביותר בכל כופרה מצפינה".

קמפיינים פחות יעילים

בכמה מקרים בעבר, טעויות בתהליך ההצפנה אפשרו לחוקרי אבטחה למצוא דרך לשחרר את הקבצים, כשהם הורסים את כל המאמץ שהשקיעו העבריינים בפעילות הזדונית שלהם. הדבר קרה גם בגרסאות שונות של Petya, ומאז הכותבים שלה תיקנו את כל הטעויות כמעט. מסיבה זו, מחשב שהותקף בגרסאות אחרונות של Petya מוצפן בצורה חזקה – וזוהי גם הסיבה לכך שהעבריינים שמאחורי PetrWrap החליטו להשתמש ב-Petya.

בנוסף, מסך הנעילה המוצג לקורבנות PetrWrap אינו מסגיר כל קשר ל-Petya, דבר המקשה על מומחי אבטחה לבצע הערכת מצב ולזהות במהירות באיזו משפחת תוכנות כופר נעשה שימוש.

לדברי נעם פרוימוביץ', מנכ"ל קספרסקי ישראל, "אנו רואים סימנים לתחרות גוברת בין כנופיות כופר. באופן תיאורטי זה טוב, מכיוון שככל שעבריינים משקיעים יותר זמן במלחמה ביניהם, כך הם מאורגנים פחות והקמפיינים שלהם יהיו פחות יעילים".

פרוימוביץ' הוסיף כי "הדבר המדאיג הוא העובדה ש-PetrWrap משמש בהתקפות ממוקדות. זהו אינו המקרה הראשון של מתקפות כופר ממוקדות – ולרוע המזל גם לא האחרון. אנו קוראים לארגונים להעניק תשומת לב רבה ככל הניתן להגנה על רשתות מפני סוג זה של איום – כיוון שהתוצאות יכולות להיות הרסניות".