הכירו את מתקפת הכופרה הגדולה בהיסטוריה

כ-200 אלף מחשבים מכ-150 מדינות נפגעו מהמתקפה, שבוצעה באמצעות כלי פריצה של ה-NSA, שנגנבו ● מערכת הבריאות בבריטניה סבלה פגיעה קשה ● בנקים רוסיים חוו מתקפות ● לא ידוע על תקיפה משמעותית של ארגונים בישראל

האם HBO תשלם את הכופר? אילוסטרציה: BigStock

כ-150 מדינות, נכון להיום (א') בשעות הערב, נפגעו ממתקפת סייבר, מהגדולות שאירעו, וממתקפת הכופרה הגדולה ביותר אי פעם, שהחלה ביום ו'. מספר המטרות שנפגעו עד כה עומד על כ-200 אלף.

המתקפה בוצעה באמצעות תוכנת פריצה שהודלפה ברשת על ידי קבוצה בשם Shadow Brokers. היא הפיצה בשנה שעברה כלי פריצה שנגנבו מה-NSA, הסוכנות לביטחון לאומי של ארצות הברית. המתקפה רחבת ההיקף בוצעה באמצעות נעילה של הגישה למחשבים בדרישה לכופר תמורת שחרור הנעילה, בתשלום בביטקוין – למניעת האיתור של ההאקרים. כלי התקיפה של ה-NSA תוכננו ופותחו לצורכי ריגול של סוכנות ההאזנה האמריקנית – המקבילה ליחידה 8200 של ישראל – וההאקרים ביצעו להם התאמות לטובת המתקפות שלהם.

הכופרה היא ממשפחת WannaCry. על פי הערכות נראה כי התקיפה החלה עם שליחת דואר אלקטרוני, באמצעות קוד JS או נוזקה אחרת, אשר מפעילה Dropper הניגש אל הכתובת hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com – לצורך הורדת ווריאנט של WannaCry. הכופרה נוצרה על המחשב תחת השם exe.tasksche ואז, מתחיל תהליך הצפנת הקבצים שבמחשב.

מהרשות הלאומית להגנת הסייבר נמסר כי "נראה כי התקיפה מנצלת כמה חולשות אבטחה ידועות, אחת מהן פורסמה בהדלפה של Shadow Broker באפריל. מדובר על פגיעות מוכרת של מיקרוסופט (Microsoft), הנקראת 010-MS17 ,שתוקנה במרץ 2017.

הכופרה מגיעה למחשבי המשתמשים באמצעות הודעת דוא"ל עם קובץ מצורף. פתיחת הקובץ על ידי המשתמש, מפעילה את תהליך ההתקנה וההתפשטות של הכופרה. בעת ההפעלה, מבצעת הכופרה סריקה של כתובות בתוך הרשת הפנימית של הארגון וגם בטווח כתובות רנדומלי באינטרנט, לטובת חיפוש אחר מחשבים פגיעים לחולשת שירות שיתוף הקבצים של מיקרוסופט בגרסה 1( SMBv1). הכופרה סורקת את תיקיות המחשב ומצפינה את רוב סוגי הקבצים השימושיים. לאחר ההצפנה, התוכנה מציגה הודעה הדורשת מהמשתמש לשלם עבור פתיחת ההצפנה סכום של בין 300-600 דולרים".

מערכת הבריאות הבריטית – מהנפגעות העיקריות

מאות מערכות IT בבתי חולים ברחבי העולם נפגעו מהמתקפה. בבריטניה ההאקרים ניטרלו את המחשבים בעשרות בתי החולים – וגרמו לדחיות ולביטולים של ניתוחים. אלפי חולים נפגעו מהמתקפה באנגליה ובסקוטלנד – בעשרות בתי חולים. זאת כי מהרופאים נמנעה גישה לתיקים רפואיים של חולים – ואלה הופנו לבתי חולים חלופיים.

מתקפת הסייבר פגעה בארגונים בכל בריטניה ובהרבה מדינות בעולם גם כן. היורופול (Europol) מסר כי ההיקף של המתקפה "הוא חסר תקדים". ביורופול פתחו בחקירה לאיתור ההאקרים.

בבריטניה הזהירו מקצועני אבטחת מידע כבר בשנה שעברה כי ה-IT של מערכת הבריאות במדינה מצוי בסכנה לפריצה. כך, ארגוני בריאות רבים משתמשים בגרסאות ישנות של Windows שאינן כוללות גרסאות מעודכנות להגנה.

בגרדיאן (Guardian) הבריטי נכתב אמש כי אלמוני בלם את המתקפה. הוא רכש במעט כסף את האתר עליו התבססו ההאקרים על מנת להפיץ ולהשתמש בכלי הפריצה – ובכך ניטרל את יכולתם להמשיך ולפעול.

לצד הפגיעה בבתי חולים בבריטניה, עולה כי יותר מ-1,000 מחשבים ברוסיה, לרבות של משרד הפנים הרוסי, נפגעו מהמתקפה, כמו גם MegaFon הרוסית והמשטרה הרוסית. הניסיון לפגוע בבנקים וברכבת ברוסיה – נכשל. עוד נפגעה גם חברת הרכב הצרפתית, רנו (Renault), כמו גם טלפוניקה (Telefónica), ענקית הטלקום הספרדית, FedEx, חברת השילוח האמריקנית, הבנק הספרדי BBVA, מערכת הרכבות בכמה ערים בגרמניה, אוניברסיטאות וחלק מהסניפים של פירמת רואי החשבון, KPMG.

בסוף השבוע הופצו ברשת תמונות של מתקפות הכופרה, על מחשבי שירות הבריאות העולמי, ובהן דרישה לתשלום כופר בסך 300 דולר בביטקוין, עם ההודעה "אופס, הקבצים שלך הוצפנו!". בהודעה מסרו ההאקרים כי אם התשלום לא יבוצע תוך שלושה ימים – גובה הכופר יוכפל, ולאחר שבוע – הקבצים שעל המחשבים יושמדו.

מלבד בתי החולים בבריטניה, נפגעו גם בתי חולים וחברות תקשורת בעשרות מדינות בהן רוסיה, אוקראינה, הודו, טייוואן, ספרד, יפן, שוודיה, פיליפינים, וייטנאם וטורקיה. בסך הכל, עשרות אלפי מחשבים חוו מתקפה. הבנק המרכזי ברוסיה מסר כי זוהו מתקפות "מאסיביות" על בנקים במדינה אולם הן נמנעו בהצלחה.

ישראל לא נפגעה

ראש הרשות הלאומית להגנת הסייבר, בוקי כרמלי, מסר בשבת כי "בישראל – כרגע לא זוהתה אינדקציה של נוזקה במערכות פועלות. מתחילת המתקפה הגלובלית, הרשות להגנת הסייבר בישראל עומדת בקשר רציף עם רשויות הסייבר ברחבי העולם ועם גורמי ההנחייה הרלוונטיים במשק, על מנת למזער נזק אפשרי כתוצאה מהמתקפה הגלובלית. הערכות מצב מתקיימות כל העת".

עוד נמסר כי "הרשות העבירה בשבוע החולף התרעות לגופי המשק, ומעבירה בשעות אלה הנחיות נוספות לגופים השונים. באתר הרשות ישנן הנחיות הגנה מעודכנות ועל כלל הארגונים במשק ליישמם לאלתר. בשל העובדה כי מרבית הארגונים לא פועלים בשבת, מערכות רבות אינן עובדות, אך אין זה אומר שלא תיתכן נוזקה מחר – ועל כן ההיערכות".

מתעניינים באבטחת מידע ובסייבר? רוצים לדעת מהן ההתפתחויות העדכניות בנושא? הירשמו לכנס Infosec 2017 של אנשים ומחשבים.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים