"כמות המחשבים שנדבקו בבת אחת תוך מספר שעות – ללא תקדים"
לדברי חוקרי ClearSky הישראלית, "ידוע לנו על 50 מחשבים ישראליים שהודבקו בתולעת ופנו לדומיין kill Switch, שמנע את הדבקתם"
"ביממה האחרונה מתבצע מאמץ מרוכז, כלל עולמי למציאת מקור ההדבקה, דרך פעולת הנוזקה והאמצעים להתגונן ממנה. למרות המאמץ יוצא הדופן, עדיין קיימים פערים בידע וביכולת ההתגוננות שטרם נסגרו. מוסדות וארגונים רבים בעולם נפגעו מהתולעת, WannaCry. אחד המאפיינים החריגים של התולעת הינו קצב ההתפשטות שלה: כמות המחשבים שנדבקו בבת אחת, בתוך כמה שעות – היא ללא תקדים", כך על פי חוקרי ClearSky, חברת הגנת הסייבר הישראלית, בעקבות מתקפת הסייבר הגדולה שאירעה בסוף השבוע.
עובדה זו, ציינו אנשי החברה, "מעידה על וקטור התפשטות וחדירה השונה מהותית מהדבקה רגילה במייל. בשלב זה ידוע לנו על 50 מחשבים ישראליים שהודבקו בתולעת ופנו לדומיין kill Switch, שמנע את הדבקתם".
לדברי חוקרי ClearSky, גם מחשבים ישראליים נדבקו מהכופרה. "התובנה המרכזית שלנו", ציינו החוקרים, "היא שלמרות שכל קהיליית האבטחה העולמית התגייסה לסיכול הנוזקה, ההצלחה של הקהיליה היא חלקית. היא מדגישה את הפגיעות הרבה של מערכות המחשב לתקיפות סייבר, במיוחד של ארגונים גדולים. בנוסף – אנחנו לא פוסלים את האפשרות שמדובר בתוקף מדינתי שביצע זאת".
צוות ClearSky, כמו גם חוקרים נוספים, נוטה להעריך שווקטור ההדבקה היחיד של התולעת הוא ניצול חולשת SMB של מחשבים ושרתים אשר חשפו פרוטוקול זה לאינטרנט. "כמובן שהערכה זו אינה ודאית עדיין וייתכנו וקטורים נוספים. הערכה זו מקבילה להערכת ההתרעה של ה-FBI. כמה ארגונים ייחסו בטעות את וקטור התקיפה למיילים אשר ככל הנראה שייכים לגל תקיפות נפרד, אשר התבצע בימים האחרונים על ידי נוזקה אחרת ובלתי קשורה, המכונה Jaff".
האם תשלום יביא לפענוח, או לאו?
"רוב הארגונים המדווחים על התקרית, וכן חוקרים רבים עמם עמדנו בקשר", ציינו אנשי החברה, "מסכימים כי בשלב זה אין הוכחה חד משמעית להפצה ראשונית של הנוזקה במייל. לכל היותר, ישנן הערכות שייתכן שזהו וקטור ההדבקה הראשוני".
הנוזקה, ציינו החוקרים, "כוללת Dropper בעל שני רכיבים נפרדים: תולעת – רכיב האחראי על התפשטות אוטומטית ללא התערבות של המותקף. רכיב זה עושה שימוש ב-EternalBlue – חולשה, ו-exploit של ה-NSA אשר הודלף באפריל על ידי Shadowbrokers (ככל הנראה הדלפה של שירות הביון הרוסי), על ידי ניצול פגיעות בפרוטוקול SMB במחשבים אשר לא יושם בהם עדכון האבטחה שפרסמה מיקרוסופט (Microsoft) במרץ 2017".
עם ניצול הפגיעות, הסבירו, "מותקן doublepulsar – רכיב backdoor ברמת ה-Kernel אשר הופיע באותה הדלפה. התולעת סורקת ומנסה להדביק מחשבים בהם יש פרוטוקול SMB פתוח הן ברשת הפנימית באותו Subnet כמו המחשב המודבק, והן ברשת האינטרנט בכתובת IP חיצוניות. כמו כן דווח כי היא מדביק מחשבים מרוחקים אם קיים קשר RDP מולם.
קודם לביצוע כלל פעילויות ההדבקה, מנסה ה-Dropper ליצור תקשורת HTTP עם הכתובת הבאה: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. אם התקשורת מצליחה – פעולתה נפסקת ולא מתבצע המשך הדבקה. אפקט זה מכונה Kill switch ובשלב זה לא ברור מדוע יושם מנגנון נטרול זה בנוזקה".
מעבר לכך, ציינו, "חוקר אבטחה רשם את הדומיין והקים בו אתר – וכתוצאה מכך, כל מחשב נגוע אשר יכול היה לתקשר לאינטרנט, ניגש לאתר ולאחר מכן נמנע המשך ההדבקה".
עד כה, סיכמו חוקרי ClearSky, "לא ידוע דיווח על ביצוע תשלום והצלחה בפיענוח הקבצים. ידוע כי ארנקי הביטקוין קיבלו סך כולל של כ-25 אלף דולר, אולם לא ידוע לנו על הצלחה (או כישלון) בפענוח הקבצים. כלומר, בשלב זה ייתכן שתשלום יביא לפענוח, אך ייתכן שלא".
כך נערכו למתקפה בשירותי בריאות כללית
אחד המגזרים הבולטים שנפגעו כתוצאה מהמתקפה בעולם – לא בישראל – הוא מגזר הבריאות. איציק כוכב, הממונה על הגנת המידע, הפרטיות והסייבר בשירותי בריאות כללית, סיפר לאנשים ומחשבים על היערכות הסייבר של הקופה. "במסגרת שגרת הפעילות לאבטחת מידע, הכללית התקינה את טלאי העדכון של מיקרוסופט (Microsoft) מבעוד מועד. שלשום (ו'), עם היוודע דבר המתקפה, בוצע עדכון של כל מנגנוני האנטי וירוס בקופה".
הוא ציין ש-"כחלק מפעולות ההגנה, הוקם מטה פעולה באגף המחשוב לטובת ביצוע בדיקות, כדי לוודא שאכן, כל העדכונים הרלוונטיים מעודכנים בכל התחנות ובכל שרתי הארגון. המטה מתבונן כל העת על מערכות בקרת אבטחת המידע, ונמצא בקשר 'חם' עם מטה הסייבר הלאומי ומנחה הסייבר המגזרי במשרד הבריאות. את כל הציוד והמכשור הרפואי, ובעיקר ציוד רפואי מציל חיים, בודדנו ברשת תקשורת מוגנת יותר".
"כל עובדי הכללית", סיכם כוכב, "הונחו כיצד לנהוג עם מיילים, בדגש על מניעת פתיחת הודעות שמצורפים אליהן קבצים ואיסור הפעלה של קישורים מתוך הודעה. בשלב זה, אין עדות לפגיעה כלשהי בשירותי בריאות כללית".
בשלב זה, אין עדות לפגיעה כלשהי בשירותי בריאות כללית... מעניין אז כנראה זה סתם צירוף מקרים שהאתר שלכם לא מתפקד היום וטוען סיסמאות מלפני שנתיים...