הכירו את חוטפי הקבצים

כמו בכל בוקר רגיל, בבואה לעבודה הדליקה שקד את המחשב ומיהרה להכין לעצמה קפה. אלא שבאותו היום, לא עלה שולחן העבודה הרגיל שלה עם תמונות שלושת ילדיה. הפעם קידם את פניה מסך עם מסר חד משמעי: "קבצי המחשב שלך נלקחו כבני ערובה. אם לא תשלמי 500 דולר, לעולם לא תקבלי בחזרה גישה לקבצים שלך".

שקד, סמנכ"לית משאבי אנוש בארגון גדול, החלה לשחזר את צעדיה. היא פתחה מספר קבצים שהכילו קורות חיים למשרה שאליה החברה מגייסת עובדים. האם יכול להיות שקובץ תמים אחד הוא המקור של כל זה?

לא צריך להיות מומחה אבטחה כדי לדעת מהן תוכנות זדוניות, אבל באחרונה נוספה תופעה חדשה למילות הבאזזז בתחום – תופעה שהופכת לאיום גובר על עסקים ואנשים פרטיים ברחבי העולם: Ransomware (כופרה). מדובר בתוכנה זדונית שמצפינה את קבצי המשתמש ו-"דורשת" כופר מבעלי הקבצים כדי לשחררם. במילים אחרות, Ransomware היא צורה של סחיטה באיומים.

איך זה עובד? מחשב ללא אמצעי אבטחה ראויים הופך למטרה פוטנציאלית. המשתמש מקבל מייל עם קובץ או לינק שנראים תמימים ומיד עם פתיחת הקובץ או הקלקה על הלינק, התוכנה מתקינה את עצמה במחשב ושולחת סימן לשרת השולח על מנת לקבל ממנו מפתח הצפנה. התוכנה הזדונית מתחילה להצפין את כל קבצי המשתמש, כגון מסמכי Office, תמונות וקבצי PDF, כך שהוא לא יכול לגשת אליהם. לאחר סיום ההצפנה, מופיעה על המסך הודעה המציגה למשתמש מגבלת זמן לתשלום סכום מסוים על מנת לקבל גישה לקבצים.

האם לשלם?

מתוקף תפקידה, שקד אחראית על מידע רגיש מאוד לארגון. האם היא יכולה להפקיר אותו לחסדי הפושעים? האם היא יכולה לדעת בוודאות שנתונים חסויים לא יתפרסמו בציבור, כפי שקרה במקרה של המיילים של סוני (Sony)? האם יחליט הארגון לשלם את הכופר? האם על אנשיו לדווח למשטרה? הבעיה בהתמודדות עם הפושעים שמאחורי ה-Ransomware היא שאין לדעת האם הם אכן ישחררו את הקבצים. גם אם הארגון יחליט לשלם את הכופר, הפושעים עלולים לדרוש תשלום נוסף, לא לשחרר את הקבצים או לא להעביר לקורבן את מפתחות ההצפנה. הם גם עשויים להחזיר את הקבצים לכאורה לארגון, רק כדי לתקוף שוב כמה ימים לאחר מכן. אכן, דילמה קשה.

לשלם או לא לשלם? זאת השאלה. אילוסטרציה: BigStock

המקרה המתואר לעיל אינו סימולציה. הוא קרה במציאות, והוא יכול לקרות לכל ארגון, בכל רגע נתון. עובדי לאומי קארד איימו לחשוף פרטי לקוחות אם לא ישלמו להם כופר; חברות פורקס ישראליות חוו מתקפות סחיטה באיומים ודרישות כופר; ונוזקות "חטפו" מחשבים ומפעיליהן דרשו תשלום בביטקוין. אלה רק דוגמאות. המציאות היא שאלפי חברות בארץ מהוות מטרות קלות לפושעי סייבר והיות שקשה מאוד לתפוס אותם, כמו גם עקב העובדה שאפשר להרוויח כך כסף קל, ניתן להניח שהתופעה תלך ותגדל.

מה ניתן לעשות? מניעה מראש היא התשובה הטובה ביותר. שאלו את עצמכם: האם אתם מודעים לאיומים ולשימוש הבטוח ברשת? האם אתם עושים הכול כדי לשמור על העסקים שלכם מוגנים? האם אתם דואגים לגיבוי קבצים ושמירה על גרסאות תוכנה מעודכנות? גם אם אתם נוקטים בכל אמצעי הזהירות הללו, אין אחריות של 100% שמבטיחה שניתן לחסום מתקפה מתוחכמת שהוכנה היטב מבעוד מועד. אני רק יכול להניח שבדומה אליי, כל המנכ"לים ומנהלי האבטחה ירצו לדעת על פרצת אבטחה בזמן אמת.

שיתוף ופתיחות

מה ניתן לעשות ברגע שמשהו כזה מתגלה? אני משיב על השאלה הזאת מהניסיון שלנו, בקספרסקי (Kaspersky), מפני שחווינו בעצמנו הפתעה כזאת: גילינו שהמערכות שלנו נפרצו על ידי מתקפה מתקדמת – APT. מה החלטנו לעשות? בחרנו בשקיפות מלאה. פרסמנו את המידע. השותפים שלנו היו בין הראשונים לקבל אותו. לאחר מכן פרסמנו את המידע לציבור. מדוע? משום ששיתוף ידע ופתיחות יכולים לסייע למנוע הישנות של מתקפות דומות בעתיד – גם לארגון שלכם וגם לאחרים. הדבר נכון גם לגבי מתקפות שנכשלו. מתקפה שנבלמה על ידי חברה אחת עלולה שלא להיקלט בראדר של חברות אחרות. שמירת הסוד מסייעת רק לפושעי הסייבר. ולגבי הסוגיה האם לשלם לסוחטים או לא – ההמלצה שלי היא לא לשלם, כי תשלום כופר עלול להוות תקדים לפעולות הבאות של הפושעים.

אבטחה היא עסק רציני, גם לפושעי הסייבר. אלה משתפים פעולה ביעילות רבה ופועלים בתוך מערכות של מפתחים, לקוחות, ספקי שירותים וקבלני משנה של כלי פריצה, בדיוק כמו כל עסק רגיל. כמובן שגם מומחי האבטחה עובדים יחד באופן הדוק כדי לעקוב, לזהות ולאתר פושעי סייבר. אולם, כדי להגן על עצמנו מפני פשעי סייבר, גם ארגונים צריכים לעבוד בשיתוף פעולה הדוק. אנחנו יכולים לעשות זאת הן באמצעות שיתוף פרטים על תוכנות זדוניות ושיטות התקפה, והן באמצעות שיתוף ידע על התמודדויות שחווינו. קחו אחריות. אם כולנו נעשה את זה, נהיה חזקים משמעותית מול התוקפים וחוטפי הקבצים.

הכותב הוא מנכ"ל קספרסקי ישראל.