מהי התקפת כופר, וכיצד להתגונן ולהתאושש מפניה?

שיגעון תוכנות הכופר המודרני החל עם התפרצות WannaCry של 2017. המתקפה בקנה מידה גדול ומתוקשרת מאוד הוכיחה שהתקפות של תוכנות כופר היו אפשריות ובעלות פוטנציאל רווחיות. מאז, עשרות גרסאות של תוכנות כופר פותחו והשתמשו בהן במגוון התקפות.

גם מגיפת COVID-19 תרמה לעלייה האחרונה בתוכנות הכופר. כאשר ארגונים פנו במהירות לעבודה מרחוק, נוצרו פערים בהגנות הסייבר שלהם. פושעי סייבר ניצלו את הפגיעויות הללו כדי לספק תוכנות כופר, מה שהביא לעלייה של התקפות כופר. ברבעון השלישי של 2020, התקפות כופר עלו ב-50% בהשוואה למחצית הראשונה של אותה שנה.

גרסאות כופר פופולריות

קיימות עשרות גרסאות של תוכנות כופר, כל אחת עם מאפיינים ייחודיים משלה. עם זאת, כמה קבוצות של תוכנות כופר היו פוריות ומוצלחות יותר מאחרות, מה שגרם להן לבלוט מהקהל.

1. Ryuk

Ryuk הוא דוגמה לגרסה ממוקדת מאוד של תוכנת כופר. הוא מועבר בדרך כלל באמצעות דוא"ל דיוג בחנית או באמצעות אישורי משתמש שנפגעו כדי להיכנס למערכות ארגוניות באמצעות פרוטוקול שולחן העבודה המרוחק (RDP). ברגע שמערכת נגועה, Ryuk מצפין סוגים מסוימים של קבצים (נמנע מאלה החיוניים לפעולת המחשב), ואז מציג דרישת כופר.

Ryuk ידוע כאחד מסוגי תוכנות הכופר היקרים ביותר שקיימים. ריוק דורש כופר בממוצע מעל מיליון דולר . כתוצאה מכך, פושעי הסייבר מאחורי Ryuk מתמקדים בעיקר בארגונים שיש להם את המשאבים הדרושים כדי לעמוד בדרישותיהם.

2. Maze

תוכנת הכופר של Maze מפורסמת בהיותה גרסת תוכנת הכופר הראשונה המשלבת הצפנת קבצים וגניבת נתונים . כאשר מטרות החלו לסרב לשלם כופר, מאזי החלה לאסוף נתונים רגישים ממחשבי הקורבנות לפני שהצפנתה. אם דרישות הכופר לא ייענו, הנתונים הללו ייחשפו בפומבי או יימכרו להצעה הגבוהה ביותר. הפוטנציאל לפריצת מידע יקרה שימש כתמריץ נוסף לשלם.

הקבוצה מאחורי תוכנת הכופר של Maze סיימה רשמית את פעילותה . עם זאת, זה לא אומר שהאיום של תוכנות כופר הצטמצם. חלק מחברות ה-Maze עברו להשתמש בתוכנת הכופר של Egregor, ולגרסאות Egregor, Maze ו-Sekhmet יש כנראה מקור משותף.

3. REvil (Sodinokibi)

קבוצת REvil (הידועה גם בשם Sodinokibi) היא גרסה נוספת של תוכנת כופר שמכוונת לארגונים גדולים.

REvil היא אחת ממשפחות תוכנות הכופר המוכרות ביותר ברשת. קבוצת תוכנות הכופר, המופעלת על ידי קבוצת REvil דוברת הרוסית מאז 2019, הייתה אחראית להפרות גדולות רבות כמו ' Kaseya ' ו-'JBS'

הוא התחרה עם Ryuk במהלך השנים האחרונות על התואר של גרסת תוכנת הכופר היקרה ביותר. ידוע ש-REvil דרש תשלומי כופר בסך 800,000 דולר .

בעוד REvil החלה כגרסה מסורתית של תוכנת כופר, היא התפתחה עם הזמן-
הם משתמשים בטכניקת הסחיטה הכפולה- כדי לגנוב נתונים מעסקים תוך הצפנת הקבצים. המשמעות היא שבנוסף לדרישת כופר כדי לפענח נתונים, התוקפים עלולים לאיים לשחרר את הנתונים הגנובים אם לא יבוצע תשלום שני.

4. Lockbit

LockBit הוא תוכנה זדונית להצפנת נתונים הפועלת מאז ספטמבר 2019 ו- Ransomware-as-a-Service (RaaS) לאחרונה . תוכנת כופר זו פותחה כדי להצפין ארגונים גדולים במהירות כדרך למנוע את זיהויה במהירות על ידי מכשירי אבטחה וצוותי IT/SOC.

5. DearCry

במרץ 2021, מיקרוסופט פרסמה תיקונים לארבע נקודות תורפה בתוך שרתי Microsoft Exchange. DearCry היא גרסה חדשה של תוכנת כופר שנועדה לנצל ארבע נקודות תורפה שנחשפו לאחרונה ב-Microsoft Exchange

תוכנת הכופר של DearCry מצפינה סוגים מסוימים של קבצים. לאחר סיום ההצפנה, DearCry תציג הודעת כופר המורה למשתמשים לשלוח מייל למפעילי תוכנת הכופר על מנת ללמוד כיצד לפענח את הקבצים שלהם.

5. Lapsus$

Lapsus$ היא כנופיית תוכנת כופר דרום אמריקאית שנקשרה למתקפות סייבר על כמה מטרות בעלות פרופיל גבוה. כנופיית הסייבר ידועה בסחיטה באיומים בשחרור מידע רגיש, אם לא יוגשו דרישות של קורבנותיה. הקבוצה התגאתה בפריצה ל-Nvidia, סמסונג, Ubisoft ואחרות. הקבוצה משתמשת בקוד מקור גנוב כדי להסוות קבצי תוכנה זדונית כאמינים.

כיצד פועלת תוכנת כופר

על מנת להצליח, תוכנות הכופר צריכות לקבל גישה למערכת יעד, להצפין שם את הקבצים ולדרוש כופר מהקורבן.
בעוד שפרטי ההטמעה משתנים מגרסה אחת לאחרת של תוכנת כופר, כולם חולקים את אותם שלבי ליבה

שלב 1. וקטורי זיהום והפצה

תוכנות כופר, כמו כל תוכנות זדוניות, יכולות לקבל גישה למערכות הארגון במספר דרכים שונות. עם זאת, מפעילי תוכנות כופר נוטים להעדיף כמה וקטורי זיהום ספציפיים.

אחד מהם הוא הודעות דיוג. הודעת דוא"ל זדונית עשויה להכיל קישור לאתר שמארח הורדה זדונית או קובץ מצורף שיש בו פונקציונליות הורדה מובנית. אם נמען הדוא"ל נופל על הפיש, תוכנת הכופר יורדת ומבוצעת במחשב שלו.

וקטור פופולרי נוסף של זיהום בתוכנת כופר מנצל שירותים כגון Remote Desktop Protocol (RDP). עם RDP, תוקף שגנב או ניחש את אישורי הכניסה של עובד יכול להשתמש בהם כדי לאמת ולגשת מרחוק למחשב בתוך הרשת הארגונית. עם גישה זו, התוקף יכול להוריד ישירות את התוכנה הזדונית ולהפעיל אותה במחשב שבשליטתו.

אחרים עשויים לנסות להדביק מערכות ישירות, כמו איך WannaCry ניצלה את הפגיעות EternalBlue. לרוב גרסאות הכופר יש מספר וקטורי זיהום.

שלב 2. הצפנת נתונים

לאחר שתוכנת כופר קיבלה גישה למערכת, היא יכולה להתחיל להצפין את הקבצים שלה. מכיוון שפונקציונליות ההצפנה מובנית במערכת הפעלה, הדבר פשוט כרוך בגישה לקבצים, הצפנתם באמצעות מפתח נשלט על ידי תוקף, והחלפת המקורות בגירסאות המוצפנות. רוב גרסאות תוכנות הכופר נזהרות בבחירת הקבצים להצפנה כדי להבטיח יציבות המערכת. גרסאות מסוימות גם ינקטו צעדים למחיקת עותקי גיבוי וצל של קבצים כדי להקשות על השחזור ללא מפתח הפענוח.

שלב 3. דרישת כופר

לאחר השלמת הצפנת הקבצים, תוכנת הכופר מוכנה לדרוש כופר. גרסאות שונות של תוכנות כופר מיישמות זאת בדרכים רבות, אך אין זה נדיר לשנות רקע תצוגה לפתק כופר או לקבצי טקסט הממוקמים בכל ספרייה מוצפנת המכילה את שטר הכופר. בדרך כלל, פתקים אלה דורשים כמות מוגדרת של מטבע קריפטוגרפי בתמורה לגישה לקבצים של הקורבן. אם הכופר ישולם, מפעיל תוכנת הכופר יספק עותק של המפתח הפרטי המשמש להגנה על מפתח ההצפנה הסימטרי או עותק של מפתח ההצפנה הסימטרי עצמו. ניתן להזין מידע זה לתוכנת פענוח (שניתנת גם על ידי פושע הסייבר) שתוכל להשתמש בו כדי להפוך את ההצפנה ולשחזר את הגישה לקבצי המשתמש.

בעוד ששלושת שלבי הליבה הללו קיימים בכל גרסאות תוכנת הכופר, תוכנות כופר שונות יכולות לכלול יישומים שונים או שלבים נוספים. לדוגמה, גרסאות של תוכנות כופר כמו Maze מבצעות סריקת קבצים, מידע רישום וגניבת נתונים לפני הצפנת נתונים, ותוכנת הכופר של WannaCry סורקת מכשירים פגיעים אחרים כדי להדביק ולהצפין.

תרחישי תקיפת תוכנות כופר

אחת הסיבות לכך שההשפעה של תוכנות כופר כל כך גדולה היא שישנן דרכים רבות שבהן מתקפות כופר יכולות להתרחש. כ-MSP, הגנה על העסקים של הלקוחות שלך מפני תוכנות כופר דורשת היכרות עם כל תרחישי התקפות הכופרה ונקיטת צעדים כדי להגן מפני כל אחד מהם.

עם הצורך הזה בחשבון, מאמר זה מתאר תרחישים נפוצים של התקפות כופר ומה לעשות אם אחת מההתקפות הללו משפיעה על הלקוחות שלך.

סוגי מתקפות כופר

1.דיוג

דיוג הוא סוג של ניצול שבו תוקף משכנע מישהו בתוך ארגון לבצע פעולה (כגון לחיצה על קישור בתוך הודעת דואר אלקטרוני או חשיפת אישורי כניסה) המאפשרת לסכנה למערכות הארגון. אם התוקפים יכולים לקבל גישה זו, הם יכולים להצפין את נתוני הארגון ולהחזיק אותם כופר.

דואר אלקטרוני הוא הווקטור הנפוץ ביותר לביצוע התקפות דיוג, אך הוא אינו היחיד. שיחות טלפון, הודעות SMS ואפילו מסמכים פיזיים יכולים להיות מופצים לעובדים בתוך הארגון בניסיון לגרום להם לחשוף מידע רגיש.

2. פרוטוקול שולחן עבודה מרוחק

פרוטוקול שולחן עבודה מרוחק, או RDP, הוא פרוטוקול בשימוש נרחב לגישה למחשבים ממיקומים מרוחקים. מכיוון ש-RDP מעניק למשתמשים מרוחקים את אותה רמת גישה למערכת שהייתה להם אם הם היו יושבים מולה ומתחברים, פגיעה ב-RDP היא תרחיש חלומי של תוקף כופר.

למרות ש- RDP מאובטח כאשר הוא מוגדר כראוי, ישנן מספר דרכים שבהן ניתן להשתמש בחיבורי RDP מאובטחים בצורה גרועה כדי להתקין תוכנות כופר בתוך ארגון:

• אישורי משתמש חלשים: התוקפים יכולים לקבל גישה על ידי ניצול סיסמאות RDP חלשות שהם יכולים לנחש או להפעיל בכוח הזרוע. היעדר אימות רב-גורמי, והשימוש באותו חשבון עבור סוגים מרובים של יישומים, הופכים את אישורי המשתמש החלשים לקלים יותר לניצול.
• RDP פתוח לאינטרנט: אם יציאות RDP נגישות מהאינטרנט הציבורי, קל מאוד לתוקפים למצוא ולסרוק אחר פגיעויות. עדיף לשמור על חיבורי RDP מאחורי חומת אש כך שהם יהיו זמינים רק למשתמשים שנמצאים במיקום פיזי (כגון המשרד שלהם) או (אם הם עובדים מרחוק) מחוברים ל-VPN של החברה.
• כלים או פרוטוקולים מיושנים של RDP: אם יישומי RDP, או RDP עצמו, אינם מעודכנים, הם עשויים להכיל פגמי אבטחה ידועים שהתוקפים יכולים לנצל כדי לפרוץ פנימה ולהתקין תוכנות כופר.
• חשבון RDP מורשה: חיבור RDP שנפרץ לסכנה הוא רע. זה אפילו גרוע יותר אם לחשבון שנפרץ יש הרשאות מנהל. לכן מומלץ לעקוב אחר העיקרון של הכי פחות הרשאות, מה שאומר שיש להקצות את ההרשאות המינימליות הדרושות לכל חשבון. אלא אם כן יש סיבה ספציפית לחשבון מנהל מערכת לדרוש גישה ל- RDP, יש להימנע מתצורה זו.

בעת דיוג, לעתים קרובות תוקפים גורמים להודעה להיראות כאילו היא מגיעה ממישהו לגיטימי על-ידי יצירת חשבון דואר אלקטרוני מזויף המעמיד פנים שהוא שייך לאדם מאותו ארגון או לספק שאיתו אתה שותף. אסטרטגיות אלה יכולות להקל על שכנוע מישהו בתוך הארגון ליפול למתקפת הפישינג, גם אם מערכות אנטי-פישינג מסמנות את המסר כמגיע מחוץ לארגון שלהן.

ניצול לרעה של יישומים

כל יישום — אפילו אחד פשוט כמו מחשבון Windows — יכול להיות מנוצל על ידי תוקף פוטנציאלי כדי לקבל גישה לא מורשית למערכת ולהתקין תוכנות כופר.

זה נכון לא משנה עד כמה היישומים מעודכנים, או איזו גירסה של מערכת הפעלה משתמש פועל. עם זאת, יש כמה פרקטיקות במיוחד שיכולות להוביל לניצול לרעה של יישומים:

• הגדרות ששונו: יישומים שתצורתם נקבעה בדרכים שהם לא תוכננו עבורן עלולים לפתוח פגיעויות. לפני שינוי הגדרות ביישום, עיין בתיעוד שלו כדי לוודא שאינך מגדיר אותו באופן לא תקין.
• סיסמאות שמורות: יישומים עשויים לשמור סיסמאות מכניסות קודמות, מה שמעניק לתוקפים גישה נוחה. השיטה הטובה ביותר היא להשבית סיסמאות שנשמרו. (בדוק שיטות עבודה מומלצות אחרות לניהול סיסמאות.)
• אתרי אינטרנט שנפרצו: אתרי אינטרנט המארחים תוכנות זדוניות עשויים לנסות להתקין תוכנה זו במחשבים של משתמשים. יש להגדיר דפדפני אינטרנט כדי להפחית סיכון זה. בסביבות רגישות במיוחד, אתה יכול אפילו לשקול להפעיל יישומי משתמש בתוך מכונה וירטואלית המשוחזרת למצב "נקי" קודם באופן אוטומטי לאחר כל הפעלה; בדרך זו, כל תוכנה זדונית שתותקן במהלך הפעלה תימחק כאשר המשתמש יתנתק.

חדירה פיזית

קל להתעלם מהסיכון שהתוקף יקבל גישה פיזית למערכות, אבל זה תרחיש אמיתי. לארגונים עם אבטחה פיזית ירודה אין הרבה מה להגן עליהם מפני מישהו שפשוט נכנס למשרד, מתיישב בתחנת עבודה ופורס תוכנות כופר.

זה נכון גם בארגונים שנוקטים צעדים בסיסיים כדי לתת מענה לצרכים של אבטחה פיזית. לדוגמה, שמירה על דלתות נעולות אינה ערובה לכך שפורץ לא יתגנב מאחורי מישהו אחר, או ישבור מנעול לאחר שעות העבודה.

קרא את המאמר שלנו כדי ללמוד עוד על סוגים אחרים של התקפות זדוניות ש- MSPs צריכים לדעת.

כיצד להתגונן מפני תוכנות כופר

• השתמש בשיטות מומלצות

הכנה נכונה יכולה להפחית באופן דרמטי את העלות וההשפעה של מתקפת כופר. נקיטת שיטות העבודה המומלצות הבאות יכולה להפחית את החשיפה של ארגון לתוכנת כופר ולמזער את השפעותיה:

1. הדרכה וחינוך למודעות סייבר: תוכנות כופר מופצות לעתים קרובות באמצעות מיילים דיוגים. הכשרה למשתמשים כיצד לזהות ולהימנע מתקיפות פוטנציאליות של תוכנת כופר היא חיונית. מכיוון שרבות מהתקפות הסייבר הנוכחיות מתחילות בדואר אלקטרוני ממוקד שאפילו אינו מכיל תוכנות זדוניות, אלא רק הודעה מהונדסת חברתית המעודדת את המשתמש ללחוץ על קישור זדוני, חינוך המשתמש נחשב לרוב כאחת ההגנות החשובות ביותר ארגון יכול לפרוס.
2. גיבוי נתונים רציפים:  ההגדרה של Ransomware אומרת שמדובר בתוכנה זדונית שנועדה לגרום לכך שתשלום כופר הוא הדרך היחידה לשחזר את הגישה לנתונים המוצפנים. גיבוי נתונים אוטומטיים ומוגנים מאפשרים לארגון להתאושש מהתקפה במינימום אובדן נתונים וללא תשלום כופר. שמירה על גיבויים שוטפים של נתונים כתהליך שגרתי היא תרגול חשוב מאוד למניעת אובדן נתונים, וכדי להיות מסוגל לשחזר אותם במקרה של פגיעה או תקלה בחומרת הדיסק. גיבויים פונקציונליים יכולים גם לעזור לארגונים להתאושש מהתקפות כופר.
3. תיקון: תיקון הוא מרכיב קריטי בהגנה מפני התקפות של תוכנות כופר, שכן פושעי סייבר יחפשו לעתים קרובות את הניצול האחרון שנחשף בתיקונים שזמינים ולאחר מכן יתמקדו במערכות שעדיין לא תוקנה. ככזה, חיוני שארגונים יבטיחו שלכל המערכות יוחלו התיקונים העדכניים ביותר, מכיוון שהדבר מפחית את מספר הפגיעויות הפוטנציאליות בעסק לניצול של תוקף.
4. אימות משתמשים: גישה לשירותים כמו RDP עם אישורי משתמש גנובים היא טכניקה מועדפת על תוקפי תוכנות כופר. השימוש באימות משתמש חזק יכול להקשות על התוקף לעשות שימוש בסיסמה ניחושה או גנובה

איך גיבוי בענן של טופ מחשבים B2C יכול לעזור?