שרת ישראלי מעורב בפעילות ההצפנה של תוכנת כופר חדשה

שרת ישראלי המעורב בפעילות ההצפנה של תוכנת כופר חדשה בשם CryPy – אותר על ידי חוקרי קספרסקי (Kaspersky Lab).

על פי החוקרים, מטרת השרת הישראלי היתה להסתיר את שרת התקיפה, וההשתלטות עליו נעשתה באמצעות פרצת אבטחה במערכת ניהול התוכן שלו.

עוד ציינו החוקרים כי תוכנת הכופר מצויה עדיין בשלבי בדיקת האיכות, שכן לא נמצאה שיטת הדבקה ולא נצפתה הדבקה משמעותית באזור גיאוגרפי כלשהו. "עם זאת, ניתן להעריך כי CryPy עוד עלול להופיע שוב בצורתו המקורית, או בצורה אחרת, כאשר התוקפים יהיו  ערוכים יותר לתקיפה", ציינו החוקרים.

מהמחקר עולה כי התוכנה שולחת את שם הקובץ עם המזהה הייחודי של הקורבן לשרת הישראלי ומשם – לשרת התקיפה. שרת התקיפה יוצר מחרוזת זיהוי ייחודית עבור כל קובץ שהוחלט כפוטנציאלי לנעילה, ולאחר מכן עובר הקובץ את תהליך ההצפנה, כשבסיומה מוחקת תוכנת הכופר את הקובץ המקורי. כך, בצורה המסורתית מוצפן כל קובץ.

הקבצים יישארו נעולים

עידו נאור, חוקר בכיר במעבדת קספרסקי, ביצע את המחקר בשיתוף עם נעם אלון, חוקר מאיירון סורס (IronSource). לדברי נאור, בהודעת הכופר נמסר כי אם לא יועבר תשלום מיידי, יימחק קובץ נבחר בצורה אקראית בכל שש שעות, ובתום 96 שעות תימחק התוכנה המכילה את תהליך הפענוח הייחודי עבור אותו קורבן – והקבצים יישארו נעולים.

לאחרונה, ציינו השניים, "כותבי תוכנות הכופר מנסים דרכים חדשות שמטרתן להקל על כתיבת הקוד של התוכנה. אחת הדרכים היא באמצעות שימוש בשפת התכנות Python, שפה נוחה ומהירה מאוד לתכנות, וכן מאוד מודולרית".

בחודשים האחרונים הופצו כמה כופרות בעלות קוד מקור שנכתב ב-Python, כמו HolyCrypt ,Fs0ciety Locker ואחרות, אליהן מצטרפת עכשיו גם הכופרה CryPy. דרכי ההתפשטות של CryPy עדיין אינן ברורות לחלוטין, אולם בין אם זה נעשה באמצעות אימייל, או דרך הורדה אחרת, התוכנה מכילה תהליך הצפנה המערב שרת ישראלי, שבעזרתו מסתירה התוכנה את שרת התקיפה המקורי שלה.

שימוש בשרת מתווך בין שרת התקיפה ללקוח המותקף, מהווה גורם סיכון עבור התוקף – מפני שחוקרי אבטחה ואנשי חוק המקבלים גישה לשרת, יכולים לנטר את התעבורה והמידע שעובר בשרת, בניסיון לעצור את ההתקפה ולזהות להיכן נשלח המידע על הקורבנות.

לא תקיפה ראשונה

מבדיקת השרת הישראלי, עולה כי התוקפים השתלטו על השרת דרך פרצת אבטחה במערכת ניהול התוכן "מג'נטו", המסייעת ביצירת חנות אינטרנטית. מערכת ניהול זו מותקנת על כ-7% מכלל החנויות המקוונות, משמע יותר מ-300 אלף אתרים.

היכולת של התוקפים להשתלט על השרת, מרמזת על פרצת אבטחה. לפי חוקרי קספרסקי, נראה כי גרסת מערכת הניהול לא עודכנה וכי היא מכילה פירצה בשירות העלאת הקבצים. עובדה זו, הסבירו, אפשרה לתוקפים להעלות קבצים זדוניים לשרת – ולהשתלט עליו.

באמצעות תוכנה אוטומטית להעלאת קבצים זדוניים לשרתים המכילים את מערכת ניהול התוכן הפגיעה, הצליחו התוקפים להעלות לשרת קבצים רבים שסייעו לפעולה של הכופרה על שרת זה – ובנוסף, לשימוש בו כשרת מתווך עבור אותה תוכנה. עוד עלה כי זו אינה הפעם הראשונה ששרת זה הותקף.

הודעת הכופר עצמה מכילה שגיאות לוגיות בשפה האנגלית ואף אותיות חסרות, לכן נראה שלא נכתבה על ידי תוקף הדובר אנגלית כשפת אם. בנוסף על כך, ההשתלטות על השרת הישראלי נעשתה באמצעות קוד שהכיל מחרוזות כגון – Pak Haxor – Auto, דבר המצביע על שימוש בשירות Hacking As A Service.