התקשרו אלינו

בעיית תוכנות הכופר מתרחבת ומאיימת להשמיד לנו את כל המידע

  • Home
  • בעיית תוכנות הכופר מתרחבת ומאיימת להשמיד לנו את כל המידע
  • אבטחת מידע וסייבר

    בעיית תוכנות הכופר מתרחבת ומאיימת להשמיד לנו את כל המידע

     

    בערך לפני חצי שנה התחלנו להיתקל בתופעת הצפנת הקבצים והדרישה לכופר בעבור שחרורם

    חשוב להבין הצפנה של קבצים היא פעולה לגיטימית וטריוויאלית ודי נפוצה היום בעידן חשיבות אבטחת המידע.

    כל עיקרון העברת נתונים חסויים דרך תווך ציבורי (גישה לבנקים או לכל אתר פיננסי אחר למשל דרך האינטרנט) חייב להיעשות רק לאחר שהקבצים הוצפנו ואף אחד מלבד הגורם הנכון בעל מפתח ההצפנה (שהוא גם מפתח הפתיחה) לא יוכל לגשת לקבצים.

    בחברות רגישות מצפינים אף את הדיסקים של המחשבים הניידים כך שמי שמאבד או חלילה קורבן לגניבה יהיה רגוע שלא ניתן לצפות במידע.

    מכיוון שפעולת ההצפנה לגיטימית תוכנות האנטי וירוס לא איתרו בהתחלה את הפעולה כזדונית ולכן לא יכלו לעצור אותה.

    אנו קוראים לתקיפות האלה "וירוס כופר" למרות שאין לתקיפות האלה סממנים של וירוס, זו לא תוכנה שמתפשטת ברשת ועוברת ממחשב למחשב וגם לא מערכת שנמצאת במחשבים ו"מתעוררת" לחיים בזמן מסוים. אבל זה בהחלט זדוני כמו וירוס ו"מחבל" בכל הרשת.

    כמו כל וירוס יש אבולוציה של התופעה הזו שמתחילה "בקטן" ומתפתחת עם הזמן כדי לזרוע נזק גדול יותר ולהתגבר על ההגנות שהצבנו בפניה.

    שלב ראשון:

    החל בקבצים מצורפים ששלחו לאנשים במייל כקובץ תמונה או חשבונית ובפתיחה של הקובץ הופעלה התוכנה שרצה באופן שקט ולא גלוי והחלה במלאכת ההצפנה של המחשב. מכיוון שהמשתמש הפעיל את התוכנה והיא לגיטימית, אף אנטי וירוס לא הבחין בנעשה והתוכנה רצה ורצה עד שהמשתמש הבחין שהקבצים שלא לא נגישים.

    במקרה זה אתחול של המחשב היה מסיים את הפעולה והפעולה לא הייתה חוזרת שוב כי לא היה מי שיפעיל את התוכנה שוב.

    שלב ביניים

    תוכנת כופר זו הצפינה בהתחלה רק קבצים בתוך המחשב ומהר מאוד הגרסאות הבאות הגדילו לעשות ולהצפין גם את הכוננים המשותפים ברשת.

    אף תוכנת אנטי וירוס ואין כלי אחר שיכול להציל אותנו מהתוצאה הנוראה של ההצפנה כי כדי להשיב את הקבצים למצבם המקורי יש להשתמש במפתח ההצפנה או להחזיר מגיבוי. לכן חשוב מאוד להקפיד על גיבוי תקין כל יום וגם באמצע היום.

    בגרסאות הראשונות הקבצים המוצפנים היו מחליפים שם לקובץ עם תוספת ארוכה וסיומת ייחודית לכל מחשב כגון *.dtxjdyt

    למי שהיה מותקן הפיצ'ר "גרסאות קודמות" במחשב או בשרת היה ניתן לשחזר אפילו ממנו את המידע ובכך הנזק היה מזערי כיוון שאנו מבצעים "צילום מצב" פעמיים ביום בנוסף לגיבוי.

    זיהוי של תצורת הקובץ שלנו נראה לגיטימי והוא בעצם תוכנת הצפנה היה קשה מאוד לתוכנות האנטי וירוס כי הוא השתנה כל הזמן ופעולת ההפעלה שלא לא ביצעה שינויים בקבצי הרישום או כל דבר אחר שיכול להדליק נורה אדומה. אבל לאט לאט החלו מזהים יותר ויותר את המבנה וחוסמים אותו אפילו ברמת סינון הדואר

     

    שלב שני:

    פעולת "החטיפה" נעשית אלימה יותר ובעצם מתחילה בשלב ראשון תהליך פריצה למערכות המחשוב בארגון. הפריצה מתבססת על נקודות חולשה במערכת ודרכה נכנסת למחשבים ולשרת ואז ממש באופן מסודר דואגת להיפטר מההגנות ואז להתחיל בעבודה, התקיפה גם מתבצעת בד"כ בסופי שבוע ולכן עד יום ראשון בבוקר לא נשאר כבר חומר שלא הוצפן.
    התהליך הוא כזה:

    1. סריקת פורטים פתוחים לעולם ב firewall וחיפוש אחר פרוטוקול RDP (גם בפורטים לא סטנדרטיים
    2. כניסה למחשב רגיל ע"י סיסמא חלשה (מנצלים את העובדה שהמשתמש המקומי בד"כ user עם סיסמא ריקה או 1234) וכך משתלטים על המחשב שמחובר לרשת ומתחילים "לעבוד ברשת"
    3. מריצים תוכנות פריצה ומנסים למצוא משתמש עם סיסמא קלה במערכת, לדוגמא משתמש scan שעשו אנשי המדפסות הנחמדים או משתמש backup שיצרו פעם לפני שנים לטובת תוכנת הגיבוי ופשוט שכחו למחוק
    4. נכנסים עם המשתמש הזה לכל המחשבים, מסירים את האנטי וירוס וכל ההגנות השונות כגון פיירוול מקומי או "דיפנדר" של מיקרוסופט ואז מפעילים את תוכנת ההצפנה (שדרך אגב האנטי וירוס היה מגלה אם הייתה מופעלת לפני ההסרה שלו) שמצפינה את כל הכוננים המקומיים ואח"כ ממשיכה גם לכונני הרשת ומגדילה גם לחפש מחשבים ברשת שלא ממופים ע"י \\servename\share בצורה כזו אין מחשב שלא מוצפן בין אם נכנסו אליו או לא.
    5. בשרת הם ממשיכים בעבודה ומחפשים כונני גיבוי שאליו מגובה השרת ופשוט מוחקים את המחיצה (בעצם מפרמטים אותו) כך שאין כל זכר לגיבוי
    6. משאירים בכל מחשב 4 קבצים, אחד שהוא בעצם מנוע ההצפנה/פתיחה שעולה עם פתיחת המחשב ומציג מסך אדום ומפחיד שמבשר לך "שאכלת אותה" עם המחיר שעליך לשלם ב BTC (ביטקוין) ומקום להכניס את המפתח שתקבל לאחר התשלום, ועוד 3 קבצי טקסט שמסכמים את הכתוב באדום ועוד כמה פרמטרים.

    בבירור שלי המערכת העסקית פועלת באופן מאוד פשוט.

    1. יש את החבר'ה שפיתחו את התוכנה שמוכרים אותה תמורת 40% מהרווח על כל פריצה
    2. יש את הפורצים עצמם ש"קונים" את השימוש בתוכנה אבל עדיין צריכים להיות מקצועיים לצורך הסוואתם בזמן הגישה כדי שלא יעלו עליהם ומציאת הפרצה למערכות כדי להפעיל את התוכנה
    3. וגיליתי סוג חדש של שותפים, הם מפרסמים באתר שלהם שמי שרוצה "להפיל" מישהו אחר או מעביד לשעבר או כל דבר אחר מוזמן לעזור ב"הלשנה" של קורבן פוטנציאלי ואפילו עזרה בשם וסיסמא למערכת תמורת 30% מהתשלום.

     

    אז מה עושים ואיך מתמודדים ? 

    1. לגבות! לגבות! ולגבות!
    2. להוציא גיבוי החוצה, עדיף גיבוי אוטומטי לענן או דיסקים שמתחלפים כל יום ויוצאים מהארגון, ללא הנחות (יום כן יום לא יום למה לא)
    3. לסגור את כל כניסות ה RDP מבחוץ
    4. להתקין VPN מאובטח עם סיסמא חזקה (אפשר גם עם אימות כפול) שלאחר החיבור מאפשר רק RDP
    5. להגדיר סיסמא קשה לכל המשתמשים המקומיים של התחנות 
    6. להזהיר את המשתמשים מפני פתיחת קבצים לא מוכרים וכו'… (חינוך חינוך חינוך…)

     

    מאמר זה נכתב על ידי : אוהד סבן – CTO היי נטוורקס מערכות בע"מ

    חזרה לכל המאמרים