מעבדות סייברארק: מה שונה בתוכנת הכופר של WannaCry?

כתב: קובי בן נעים, מנהל בכיר למחקר סייבר, סייברארק (CyberArk)

מה שהחל כדיווח על מתקפה על מערכת שירותי הבריאות של בריטניה, תפח וגדל למה שאנו מגדירים כעת כמתקפת תוכנת הכופר הגדולה אי פעם, שפגעה בקורבנות ביותר מ-150 מדינות.

תוכנת כופר מתפתחת כל הזמן ואנו עדים לגרסאות חדשות שאינן מוגבלות להצפנה בלבד, של כל תוכנו של הדיסק הקשיח במחשב. במקום זאת, הן מתמקדות בחשבונות שמספקים גישה חזקה יותר, כמו חשבונות אדמיניסטרטיביים של מנהלי IT.

גישה זו מאפשרת לתוקף לנוע ברשת הארגונית באופן חופשי יותר בחיפוש אחר מערכות נוספות שניתן להצפין. לכן, אין זה משנה למי היה שייך המחשב הראשון שנפגע. הפוטנציאל לנזק חמור עדיין משמעותי.

מעבדות סייברארק חקרו וניתחו את WannaCryptor והשוו אותה למתקפות כופר אחרות שבוצעו לאחרונה. עד היום בדקו מעבדות סייברארק יותר מ-600 אלף דוגמאות של תוכנות כופר, כולל WannaCryptor, על מנת להבין טוב יותר את מאפייני ההדבקה, ההצפנה וההסרה השכיחים.

בניגוד לסוגים קודמים של תוכנות כופר, WannaCryptor מתאפיינת בתולעת המפיצה את תוכנת הכופר במהירות האפשרית דרך כמה שיותר מחשבים.

­כל ארגון וכל משתמש המחזיק במערכת מיקרוסופט (Microsoft) שלא עודכנה, יישאר פגיע לתולעת של WannaCryptor.
­

העדכון של מיקרוסופט ימנע הדבקה דרך תולעת ה-SMB אבל אינו יכול למנוע הדבקה והצפנת קבצים אם תוכנת הכופר הגיעה למחשב באמצעים ישירים, למשל באמצעות פישינג.

איך עוצרים את זה?

למרות שהתולעת המובנית בה מייחדת את יכולתה של WannaCryptor להתפשט לעומת גרסאות קודמות של תוכנת הכופר, טכניקות ההצפנה והסחיטה שלה אינן ייחודיות בשום אופן. בדומה לרוב תוכנות הכופר, פתרונות האנטי-וירוס המסורתיים פספסו גם את WannaCryptor.

כדי לעצור את WannaCryptor – ותוכנות כופר אחרות – צריך להשתמש בשילוב של הרשאות מוגבלות עם מדיניות בקרת יישומים בנקודות הקצה והשרתים ברחבי הארגון.

זוהי גישה פרואקטיבית שאינה תלויה ביכולת לאתר תוכנות זדוניות מתקדמות. במקום זאת, היא מתייחסת לכל היישומים הלא-מוכרים כאל חשודים, ומגנה על המידע בהתאם. בדרך זו אפשר למנוע מנקודת קצה אחת שהודבקה לגרום למגיפה כלל ארגונית.

לאחר בדיקה במעבדות סייברארק, מסתבר שהשילוב של הרשאות מוגבלות עם אמצעי בקרה greylisting על היישומים (application greylisting controls) הוכח כאפקטיבי ב-100% במניעת הצפנת קבצים על-ידי WannaCryptor ועשרות משפחות אחרות של תוכנות כופר.

המתקפה האחרונה צריכה לשמש כתזכורת לכולנו, שגיבוי לבדו אינו מספיק עוד בכדי להתגונן מפני אובדן נתונים, במיוחד כאשר ארגונים חושפים את ההרשאות הפריבילגיות שלהם לתוקפים.

משמעות הדבר שארגונים צריכים לבחור בין אובדן מוחלט של הנתונים לבין תשלום הכופר. נטרול יכולתם של התוקפים להגיע להרשאות אדמין בכדי להפיץ תוכנת כופר מעבר למחשב הראשון שנפרץ, הוא צעד חיוני להגנה מפני מתקפות כופר עתידיות ולהגבלת הנזק שיגרמו.