יום רביעי , מאי 24 2017
מבזקים
דף הבית > נושאים בכותרות > אבטחה ו-Cyber > האם אתם קורבן או שולטים בגורלכם?

האם אתם קורבן או שולטים בגורלכם?

מאת גיל כהן, CTO חברת קומסק

בשנים האחרונות חלה עלייה חסרת תקדים במתקפות סייבר, החל ממחשבים ביתיים ועד לתשתיות קריטיות של מדינות ברחבי העולם. ארגוני פשע מפעילים היום האקרים מתוחכמים, אשר פועלים לבצע פשעי סייבר המהווים סיכון גדול ומאתגר מתמיד.

אחת מההתקפות הפופולאריות ביותר בעת האחרונה היא התקפה בעזרת תוכנות כופר (Ransomware), שילוב של נוזקה וסחיטה באמצעות דרישת כופר. מדובר בפוגען מחשבים שעל ידי הצפנה מונע מהמשתמשים להגיע לנתונים שבמערכת שלהם עד שישלמו סכום כסף שנדרש מהם. תופעת דרישת הכופר הווירטואלית בגין שחרור המידע הארגוני, הפכה לנפוצה בעולם כמו גם בישראל. יותר ויותר משתמשים ביתיים וחברות מקבלים הודעות למחשבם האישי בדרישה לתשלום כופר בעבור החזרת גישה לקבצים חיוניים – בתמורה לסכום כספי היכול לנוע בין מאות דולרים, לסכומי כספים גדולים יותר ולא מבוטלים. עברייני הסייבר מסתמכים על ניצול חולשות אנושיות ותמימות של קורבנות, שהיא דרך ההדבקה הנפוצה ביותר, ודרכים נוספות כולל גלישה לאתרים זדוניים, חוסר עדכון Patch-ים במערכות הארגון השונות, קונפיגורציה לא מאובטחת (כגון שמות משתמשים וסיסמאות ברירת מחדל) ועוד, מוליכים את המשתמשים שולל כדי שיפעילו תוכנה זדונית שהושתלה במחשבם. לעתים קרובות התוכנות הללו מסתתרות תחת מסווה של הודעת דוא"ל בעלת קובץ מצורף, קישור HTML או צרופות שונות. תוכנת הכופר מצפינה את הנתונים באמצעות מפתח פרטי הנמצא ברשות התוקפים בלבד. המשתמשים אינם יכולים להכנס למידע שהוצפן במחשב שלהם והעבריינים תובעים מהם לשלם כופר. על מנת לא להתפס, תוקפים אלה משתמשים בשיטות תשלום אנונימיות כגון ביטקויין, שהוא המטבע הוירטואלי הנפוץ בעולם.

כמה נפוצה היא התקפה זאת?

מחקרים בעולם מראים שהתקפות הכופר (Ransomware) נמצאות בעלייה מתמדת, וחלקם אף הגיעו למסקנה המדהימה כי בתקופה שבין הרבעון השני של  2015 ועד לרבעון השני של שנת 2016 בין 40 ל-50 אחוזים מהארגונים הגדולים הותקפו בהתקפות מסוג זה וכי כ-71% מהארגונים,  שכנגדם נעשות התקפות אלה, בסופו של דברים גם נדבקים. למעשה אומדנים שפרסם ה-FBI לפני מספר חודשים מעידים על כך שהיקף ההכנסות מהתקפות הכופר הגיע לשיא של כל הזמנים – עברייני סייבר גבו 209 מיליון דולר בשלושת החודשים הראשונים של 2016 בלבד, על-ידי סחיטה מעסקים וממוסדות, שנאלצו לשלם כדי שאותם עבריינים יסירו את ההצפנה ממהמידע שלהם. בקצב כזה, גורמים מקצועיים בעולם מעריכים כי התקפות כופר צפויות להפוך לתחום פלילי שהיקפו מוערך במיליארד דולר לשנה ואף מעריכים כי ההפסדים בגין פשעים אלה אפילו רחבים יותר, כיוון שחלק מהקורבנות משלמים את הכופר וכלל לא מדווחים על המקרה לרשויות.

אך כל זה היה רק הקדימון למה שהתרחש במהלך סוף השבוע.

במהלך סוף השבוע האחרון, החל מה-12 למאי, התפשט כאש בשדה קוצים פוגען Ransomware מסוג חדש בשם WannaCry או WanaCrypt0r 2.0, שהתקיף מטרות רבות ברחבי העולם. הראשונים שפורסם שנפגעו באופן נרחב הם רשת בתי החולים הבריטית NHS, אך במהרה התברר שההתקפה נרחבת הרבה יותר כשלא פחות מ-75 אלף מחשבים מ-100

skeptic man in blue suit with internet security

skeptic man in blue suit with internet security

מדינות שונות נכון לרגע כתיבת שורות אלה, הותקפו בהתקפה זאת. ברשימת הקורבנות נמצאים מלבד בתי החולים הבריטים גם חברת רנו, חברת הרכבות של גרמניה, בנקים בספרד, ארגונים רבים ברוסיה, סין, אוקראינה ועוד ועוד. מה שמייחד את התקפה זאת על פני התקפות Ransomware קודמות, הוא שלאחר ניצול החולשה האנושית והדבקה ראשונית בעזרת מייל ספאם, הפוגען מתפשט ברחבי הרשת בעזרת ניצול חולשה במערכות Windows, כך שהידבקות של מחשב אחד בלבד בארגון יכול להביא להדבקת ארגון שלם. התקפת ה-Ransomware הנוכחית ניצלה חולשה בפרוטוקול SMB (וספציפית SMBv1) שמיקרוסופט פרסמה עבורה עדכון אבטחה עוד בחודש מרץ (MS17-010), אך ארגונים רבים לא התקינו את עדכון האבטחה, מה שגרם להתפשטות המסיבית של הפוגען. בהתקפה זאת הכופר המבוקש הוא 300 דולר והוא קופץ לאחר 3 ימים ל-600 דולר, ולאחר 3 ימים נוספים המידע נמחק. עוד אנקדוטה מעניינת בנוגע להתקפה הנוכחית היא שהפרצה המדוברת התגלתה ונגנבה מלא פחות מה-NSA האמריקני. קבוצת תוקפים המכנה עצמה Shadow Brokers גנבה כלי תקיפה של ה-NSA ופרסמה אותם, ואחד מאותם כלי תקיפה הכיל את הפרצה המדוברת שנמצאת כרגע במרכז העניינים.

האם הארגון שלכם מוכן למתקפת כופר?

האירוע האחרון מראה שוב כי לא ניתן להתעלם מאיום זה שרק הולך וגובר בכל יום שעובר, וצריך להיות ערוכים לתקיפות מסוג זה מבעוד מועד.

כיצד ניתן להתמודד עם איומי תוכנות כופר?

להלן מספר טיפים המיועדים לארגונים ועובדיהם:

  • וודאו שהעובדים יודעים מה הן תוכנות כופר ומה הנזק שהן יכולות לגרום, וכי הם אינם פותחים מיילים חשודים ומדווחים על כל מקרה שכזה.
  • וודאו שהמערכות, התוכנות והקושחות בהתקנים דיגיטליים מוגנים בטלאי תוכנה (Patch), ושספציפית ה-Patch של מיקרוסופט MS17-010 מותקן בכל מחשבי הארגון.
  • מומלץ לבודד רשתית מערכות שאינן מעודכן בעדכוני האבטחה האחרונים, וספציפית Port-ים 139 ו-445 TCP, ו-137 ו-138 UDP.
  • מומלץ לבטל את השימוש ב-SMBv1 ו – SMBv2 ברחבי הארגון במידה ודבר זה אינו פוגע בפעולת הרשת, או לכל הפחות לבטל זאת במחשבים שאינם מעודכנים באופן סדיר. מומלץ להשתמש רק ב SMBv3 במידה והדבר אנו מפריע לפעילות הרשת בארגון.
  • וודאו שהמערכות מצוידות בפתרונות אנטי-וירוס ואנטי תוכנות זדוניות, וגילוי ומניעת הדבקה בנוזקות ושפתרונות אלה מעודכנים וכי הסריקות נערכות באופן סדיר.
  • נהלו את השימוש של חשבונות בעלי הרשאות גבוהות: אף משתמש לא יקבל גישה של אדמיניסטרטור למעט אם יש צורך ממשי.
  • מומלץ לבדוק ולחסום שרתי דואר אלקטרוניים לא מוכרים, אימיילים של ספאם, וכן לבצע בדיקה של שרתי גלישה בטוחה (Proxy servers).
  • הגדירו בצורה נאותה את בקרת הגישה, לרבות הגישה לקבצים, ספריות ושיתוף רשתות. למשל, אם המשתמשים זקוקים למידע ספציפי בלבד, אין לתת להם הרשאת כתיבה לקבצים או ספריות אלו.
  • הטמיעו מדיניות הגבלת תוכנה או אמצעי בקרה אחרים שימנעו מתוכניות להתקין את עצמן, במידת האפשר.
  • חשוב לדאוג מראש לאבטחת הרציפות העסקית על ידי גיבוש אסטרטגית גיבוי, וביצועה תוך גיבוי הנתונים באופן סדיר.
  • הגנו גם על הגיבויים וודאו שקיימים גיבויים שאינם מחוברים למחשבים ולרשתות שאותם הם מגבים.

לגבי מחשבים אישיים של אנשים פרטיים מומלץ לבצע את הצעדים הבאים:

  • יש להתקין את כל עדכוני התוכנה האחרונים של Windows במהירות האפשרית.
  • יש לוודא כי מותקנת תוכנת אנטי-וירוס מעודכנת במחשב.
  • אין לפתוח מיילים חשודים, יש למחוק אותם באופן מיידי.

לסיכום, ניתן לומר כי חלק  מהארגונים כיום כבר מודעים ושמים דגש על הדרכים להגן על עצמם, כלומר למנוע חדירה לארגון ולנכסי הסייבר שלו. אולם, כמו שאנחנו רואים במתקפה שקרתה בסוף השבוע האחרון,  זה לא מספיק. אם כן, חשוב לבנות תורת הגנה מסודרת על ידי מומחים, אשר לוקחת בחשבון הן את שלב ההיערכות וההגנה (המסורתיים) והן את שלבי האיתור, ההכלה וההתאוששות היה ותתרחש תקיפת סייבר מסוג Ransomware. כך תתבצע הגנה על הארגון מפני תקיפה, לצד חיזוק יכולתו לגלות תקיפה שהצליחה, להכילה ולהתאושש ממנה במינימום נזק.

הכותב הינו ה- CTO של חברת קומסק אשר משיקה בימים אלה שירות מוכנות למתקפות כופר, המאפשר לארגונים למפות את חולשותיהם ומעניק את האפשרות לחסום את ההתקפה לפני בקשת הכופר או למנוע את נזקיה. 

אודות מערכת ITNEWS מאיר עשת

מנהל/עורך אתר ITNEWS. בוגר כלכלה ומנה"ס באונ' בן גוריון ו- MBA בירושליים. בעבר: כהן כיועץ כלכלי מטעם המדינה בהולנד ובהודו. היה סמנכ"ל שיווק בברדר, משנה למנכ"ל בסטארטאפ TVNGO, מנהל IT מגזין של גלובס בשנתיים האחרונות.