הספירה לאחור החלה

כיום, הזמן הנדרש להתאוששות מנזקי הכופרה הולך וגדל, העלויות הנדרשות מהנפגעים לקבל את השליטה בקובציהם הולכות ומצטברות, וכך גם הולך ומתבסס החשש כי הם עלולים לאבד את המידע לתמיד

06/12/2016 14:29
רני קהת, מוביל פיתוח עסקי של קבוצת פתרון הסייבר, Dell-EMC

הכופרה (Ransomware) הפכה בתקופה האחרונה לאיום חמור, כך טוען ה-FBI.

בהודעה שפרסם לאחרונה, מזהיר הארגון כי גרסאות כופרה שהתגלו לאחרונה חדרו לשרתי עסקים שלא היו מוגנים בהתאם, במטרה לזהות ולטווח את הגופים שמאחורי השרתים הללו, ובכך הגדילו משמעותית את כמות השרתים והמכשירים המחוברים לרשת אשר חשופים למתקפות שכאלה.

על פי ה-FBI, החידוש המטריד ביותר הוא השימוש הגובר והולך ב"כופרות פרופורציונליות" – דרישות כופר המסתמכות על הערכת התוקף את הערך של המידע שהוא מחזיק כבן ערובה, ו/או יכולתו של המותקף לשלם בהתאם לשוויו של המידע עבורו.

בוודאי ניחשתם שלא כל קורבן של כופרה המשלם את הסכום הנדרש על מנת לשחרר את הגישה למידע, אכן מקבל בחזרה את הגישה. למעשה, חלק מהמותקפים אף נסחטו שוב ושוב לטובת תשלומים נוספים לאחר התשלום הראשון.

לאבד את המידע לתמיד

באמצעות טיווח של שרתים ולא משתמשים בודדים, הזמן הנדרש להתאוששות מנזקי הכופרה הולך וגדל, העלויות הנדרשות מנפגעי הכופרה לקבל את השליטה בקובציהם הולכות ומצטברות, וכך גם הולך ומתבסס החשש כי הנפגעים עלולים לאבד את המידע לתמיד.

נראה כי משגרי הכופרה אכן מסתמכים יותר ויותר על הפרופיל הכספי של בעל המידע המותקף ועל ערכו של המידע שאת הגישה אליו הם משביתים, בעת שהם מציגים את דרישת הכופר שלהם. על פי ניתוח של מספר אירועים, נראה כי הדרישות משתנות גם על פי המיקום הגיאוגרפי של הקורבנות.

כך, לדוגמא, קורבנות בארצות הברית משלמים בדרך כלל סכומים גבוהים יותר מאלו המותקפים במערב אירופה; קורבן אמריקני התבקש לשלם 200 דולר בביטקוין, בעוד קורבן איטלקי נדרש לשלם רק עשירית מהסכום, 20 דולר.

וירוס הכופרה Jigsaw אשר החל לפעול כפי הנראה באפריל 2016 ידוע לשמצה בעיקר בגלל השיטה "האלימה" של מחיקת קבצים, בה הוא נוקט על מנת לשכנע משתמשים לשלם דמי כופר. לכופרה זו היכולת למחוק באופן שרירותי קובץ מוצפן ממחשבו של הקורבן במועד החוזר על עצמו, ולהמשיך לעשות כן עד אשר משולם סכום הכופר שנדרש, או עד שלא נותרים קבצים למחוק.

תגובת נגד קשה

במילים אחרות, אם על המסך שלך מוצג שעון הסופר לאחור, כאשר השעון הזה מגיע לאפס, יימחק קובץ מהמחשב שלך. ארבע שעות לאחר מכן ימחקו שני קבצים, שמונה שעות לאחר מכן ימחקו ארבעה, וכך יוכפל מספר הקבצים שימחקו מדי ארבע שעות עד שתשלם. קורבנות המנסים לאתחל את מחשביהם במחשבה כי כך ינטרלו את הכופרה, זוכים לתגובת נגד קשה – Jigsaw מוחק 1,000 קבצים מוצפנים בכל פעם שמתבצע אתחול שכזה.

רוב הגרסאות של הכופרות מגיעות עם מנגנון ספירה לאחור שכזה, אך לרוב יסרבו התוקפים להעניק לקורבנות זמן נוסף מעבר לזמן שהוגדר בשעון. בשלב הזה ככל הנראה יידרש הקורבן לשלם סכום נוסף.

ה-FBI מעודד את הקורבנות של מקרי הכופרה לדווח לרשויות, במטרה לאפשר להן לקבל מידע נוסף אודות האיום והשפעותיו, במיוחד אם מדובר על אזרחי ארצות הברית. אך מה ניתן לעשות על מנת להבטיח כי אתם לא תהיו הקורבנות הבאים?

הנה מספר עצות בהמלצת ה-FBI:
בצעו גיבויים של המידע באופן סדיר ותדיר, ודאו את תקינות המידע – גיבויים הינם קריטיים במקרים של כופרה, ואם נדבקתם בכופרה, הם עשויים להיות הדרך היחידה לאחזר את המידע הקריטי שלכם.
אבטחו את הגיבויים שלכם – הבטיחו כי הגיבויים אינם מחוברים למחשבים והרשתות אותם הם גיבו. ניתן להשתמש בגיבוי מבוסס ענן, או אחסון הגיבויים הפיזיים במיקום שאינו מחובר לרשת. עם זאת, יש לזכור כי לחלק מהכופרות יש יכולת למנוע גישה אל הגיבויים המצויים בענן, כאשר הגיבוי מתבצע באופן מתמשך ובזמן אמיתי (Persistent Synchronization).
התייחסו בחשדנות לקישורים המגיעים בדואר אלקטרוני, ואל תפתחו צרופות בהודעות דואר אלקטרוני המגיעות משולחים שאינכם מכירים או שלא ציפיתם להגעת דואר מהם בעיתוי הנוכחי.
● הורידו תוכנות – במיוחד תוכנות חינם – רק מאתרים שאותם אתם מכירים ובוטחים בהם.
● ודאו כי עדכונים למערכת ההפעלה, התוכנות ורכיבי החומרה שלכם (firmware) הינם מעודכנים – במקרים רבים מנצלים כותבי הכופרות חורי אבטחה בגרסאות ישנות של תוכנות פופולריות על מנת לחדור למחשבכם.
 ודאו כי שירותי האנטי-וירוס והאנטי נוזקות שלכם מתעדכנים באופן אוטומטי, וסרקו את המערכת באופן תדיר.
● נטרלו פקודות מסוג macro scripts מקבצים שהגיעו בדואר אלקטרוני.
ישמו הגבלות תוכנה על מנת למנוע את הפעלתם במקומות בהם כופרות עשויות להימצא, כדוגמת ספריות זמניות של דפדפנים או תוכנות כיווץ ופתיחה.

כיום, כופרה היא התחום הרווחי ביותר בעולם פשעי הסייבר, כאשר כל קורבן משלם בממוצע בין 300 ל-500 דולר לתוקפים. זאת, למרות שאירועי כופרה מהווים עדיין כחמישית מאירועי הסייבר – כך על פי ה-Fraud Intelligence Report של RSA, חטיבת אבטחת המידע של EMC, לרבעון השני של השנה.

ביצוע הצעדים שפורטו לעיל אינו מבטיח שלא תהיו קורבנות של כופרה, אך הוא מקטין את הסיכוי שיום אחד יופיע על המסך שלכם שעון הסופר לאחור עד להשמדת המידע שלכם.

הכותב הינו מוביל פיתוח עסקי של קבוצת פתרון הסייבר ב-Dell-EMC.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים