"הכופרה החדשה – מתקפה שלא ראינו עד כה"

"גל חדש של מתקפת כופרה מתפשט במהירות ברחבי העולם. מממצאים ראשוניים עולה כי לא מדובר בואריאנט של הכופרה Petya, כפי שדווח עד כה, אלא בכופרה חדשה, שטרם ראינו עד כה", כך אמר עידו נאור, חוקר בכיר במעבדת קספרסקי (Kaspersky Lab).

נאור התייחס בדבריו למתקפת הכופרה שנפוצה במהירות אתמול (ג'), ופגעה בארגונים רבים ברחבי העולם, חלקם הגדול באירופה.

"קראנו לה NotPetya", אמר נאור. "עד כה הותקפו כ-2,000 עסקים, מוסדות וארגונים, בעיקר באוקראינה ורוסיה, אבל גם בגרמניה, איטליה, בריטניה, פולין, צרפת, ארצות הברית ומדינות נוספות, לרבות ישראל. עד כה, בישראל ידוע רק על מספר נמוך של חברות שהותקפו".

גל חדש של כופרה

לדבריו, "נכון לעכשיו, הכופרה מתפשטת במספר וקטורי הדבקה, בדומה לתוכנת הכופר WannaCry. שיטת ההתפשטות הראשונה שזוהתה היא EternalBlue, אותה חולשה אשר נראתה במתקפת הכופרה האחרונה ומנצלת את פרוקטוקול SMB".

"על מנת להתפשט ברשת הארגון, נראה כי חלק מהדוגמיות משתמשות בכלי PsExec, המוכר לשימושי הפצה בין תחנות עבודה של חלונות. דרך נוספת שנמצאה היא WMIC, חבילת ניהול של מיקרוסופט (Microsoft). אנו ממליצים לחברות ומשתמשים פרטיים לבצע עדכונים אחרונים של תוכנת חלונות, ולוודא גיבוי לקבצים".

ג'סטין הרווי, מנהל אירועים תגובות גלובלי, Accenture Security, אמר כי "זהו גל חדש של כופרה, שבדומה ל-WannaCry משתמש ברכיב תוקף שנקרא Double Pulsar. התוקפים דורשים 300 דולר וקיבלו עד כה 4,000 דולר. אנו עובדים על המלצות כיצד להתמודד עם הכופרה, כולל באיזה טלאי להשתמש וכיצד לבודד את כל הקבצים המצורפים".

דניאל סמית, חוקר אבטחת מידע בצוות התגובות של רדוור (Radware), אמר כי "נכון לעכשיו, מדובר בקמפיין כופרה ההולך וגדל, אשר תוקף יעדים ברחבי העולם. הוא ממנף את הנזק על ידי שימוש בווריאנטים של PetrWrap/Petya, ודורש תשלום בסך 300 דולרים במטבעות ביטקוין".

ניר שפריר, דירקטור בכיר בניוטרון. צילום: יח"צ

ניר שפריר, דירקטור בכיר בחברת אבטחת הסייבר ניוטרון, אמר כי "נראה שאנו עדים להתפרצות נוספת של מתקפה המצפינה מערכות קצה ואף משתלטת על ה-Master Boot Record שלהן, כך שלא ניתן להפעילן ללא תשלום".

לדבריו, "ישנם סממנים בתקיפה זו המאפיינים תקיפה דומה בשם Petya. הנעלם הנוסף הינו ההתפשטות: כיצד כל כך הרבה מערכות נדבקו בזמן קצר? מתחקור האירוע נראה כרגע כי מדובר בניצול נוסף של חולשת ה-EternalBlue שהודלפה על ידי ה-NSA  ושנעשה בה שימוש ב-WannaCry בחודש שעבר".

"מרבית מערכות האנטי-וירוס אינן מגלות את המתקפה. מערכות אלו אינן מסוגלות להגן על ארגונים מפני מתקפות חדשות, או שאינן ידועות – חרף טענות ומאמצי שיווק של אותם גורמים".

עדי נאה גמליאל, CTO של 2BSecure. צילום: עידן גרוס

עדי נאה גמליאל, CTO של 2BSecure מקבוצת מטריקס, אמר כי "Petya, בדומה ל-WannaCry, מנצלת חולשות במערכת ההפעלה של מיקרוסופט לצורך התפשטות והצפנת המידע. היא מגיעה באמצעות קובץ ממשפחת ה-Office המצורף להודעת דואר, וכשהקובץ נפתח הוא מוריד את הנוזקה, שמתפשטת ברשת ומדביקה מחשבים שלא מעודכנים בטלאי אבטחת המידע של מיקרוסופט".

בניגוד ל-WannaCry, אמר, "הוירוס החדש לא רק מצפין את הקבצים ודורש עבורם כופר אלא גם מונע ממערכת ההפעלה לעלות באמצעות כתיבה מחדש של ה-Master Boot Recorded ובכך לא מאפשר את ניסיונות התיקון. המתקפה חולשת גם על ישראל וכרגע קשה לאמוד את מידת הנזק שהיא מחוללת".

דורון סיון, מנכ"ל קרונוס (Cronus Cyber Technologies), אמר כי "מתקפת הסייבר מצליחה לשבש את הפעילות העסקית גם בחברות שלא נפגעו, מאחר וחברות חוששות מהנזק, הן סוגרות את השאלטר עד לקבלת החלטות חדשות".

לדבריו, "האקרים הצליחו לנצל Zero-Day Attack ולאחריה הם קיבלו גישה ולארגון ופנו, כמו במתקפת הסייבר הקודמת, למחשבים אחרים בארגון שלא בוצע בהם עדכון תוכנה".

"עד כה אין דיווחים על פגיעת המתקפה בישראל, אך חברות ישראליות שיש להן פעילות עסקית עם חברות מאוקראינה, עלולות להתמודד עם בעיות תקשורת, וקשיים לביצוע פעולות כמו העברות בנקאיות. הפעם, בתחילת המתקפה הם הצליחו להשבית מספר שירותים חיוניים, לא בהכרח בגלל המתקפה אלא מתוך החלטה להגנה עצמית מפניה".

שי נוני, מנכ"ל קומוולט ישראל

שי נוני, מנכ"ל קומוולט (CommVault) ישראל, אמר כי "האבטחה האמינה ביותר כנגד התקפת הכופר נוכחית הינה גיבוי איכותי. אמצעי ההגנה הטוב ביותר הינו היכולת לשחזר את המידע מהגיבוי האחרון לפני ההתקפה".

"הפתרון הטוב ביותר הוא פתרון גיבוי In House. למרות שהחזרת הארגון לגיבוי האחרון משמעותו איבוד כמות מידע מוגבלת, זאת אבידה קטנה בהשוואה לאיבוד כל המידע הארגוני בעקבות המתקפה".