Ransomware: הכסף שלך או הקבצים שלך [חלק ב']

אחרי שראינו בפוסט הקודם כיצד המשתמש האישי יכול להתגונן מול התקפות כופר, נלמד עתה כיצד חברות ורשתות מחשבים גדולות יכולות להתמודד עם התקפת כופר נגדם, ובכלל, מה האסטרטגיה של 'החוטפים' כאשר מדובר ברשת מחשבים גדולה

תמונה: stock.xchnge

במסגרת עבודתי אני עוזר מידי שבוע לחברות בגדלים שונים, מרשתות של 20 מחשבים ועד לרשתות של אלף מחשבים ויותר המושבתות למספר שעות או למספר ימים כתוצאה מוירוסים והתקפות קיברנטיות. בדרך כלל מדובר בנוזקות מסוגים שונים, שמדביקות את קבצי ההפעלה ברשת ומונעות את הפעולה התקינה של התוכנות שבהן העובדים משתמשים. התקפות כאלה ניתן בדרך כלל לתקן במהירות יחסית של מספר שעות, בפריסה וניהול נכון של אנטי וירוס ברשת ובעבודה על פי נהלים שפיתחנו.

<<< Ransomware: הכסף שלך או הקבצים שלך [חלק א']

סחיטת חברות

בשנתיים האחרונות התחלנו להיות עדים ליותר ויותר התקפות שמשתמשות בווירוסים מסוג ransomware (מהמילה ransom, כופר) כנגד חברות קטנות ובינוניות. רוב ההתקפות מתבצעות באמצעות ספאם שמצליח לעבור את מנגנון האנטי ספאם של החברה, דיסק און קי שעובד הביא מהבית, או אתרי אינטרנט נגועים שתוקפים בצורה אוטומטית כל מי שנכנס אליהם.

בדרך כלל ההתקפה מתבצעת רק על מחשב בודד ברשת (ההתקפה הקלה יותר לביצוע), כאשר התוקפים משתמשים בשיטות זהות להתקפות Ransomware על משתמשים ביתיים, וסכומי הכופר שנדרשים נעים בין $80 ל-$200.

בהתקפות Ransomware על רשת שלמה של חברה קיימים שני שלבים, כאשר בשלב הראשון התוקפים מדביקים בהדרגה ובסבלנות מחשבים ושרתים ברשת באמצעות תולעת, או ערכת פריצה כמו Citadel (שדרוג של ערכת הפריצה ZeuS, ששווה סדרת מאמרים בפני עצמה) עד שהם מאתרים מאגרי מידע שהם קריטיים לתפקוד החברה. בשלב הבא התוקפים מונעים את הגישה לקבצים, ושולחים אימייל שדורש כופר תמורת הקוד שיחזיר את הגישה לקבצים. התוקפים שולחים אימייל עם הנחיות להעברה של סכום כסף שיכול להגיע לעשרות אלפי דולרים בהתאם לגודל החברה ולחשיבות המידע.

לפני שנתיים, כשהתקפות ה-Ransomware התחילו לפגוע בחברות קטנות ובינוניות, הן השתמשו באמצעים פשוטים יותר למניעת גישה לקבצים, כשהנפוץ ביותר היה שינוי ה-attribute של הקבצים וחסימת הרשאות המשתמש לשנות אותם בחזרה. עם השיטה הזו אנחנו יודעים להתמודד בקלות לאחר שאנחנו מאתרים ומסירים את התולעת או הסוס הטרויאני שרצים בזיכרון של המחשבים ברשת, ומפעילים פקודת attrib שתחול על כל התיקיות והקבצים ששונו.

האם יש דבר כזה קידוד בלתי פריץ?

בחודשים האחרונים גילינו גם מקרים מתוחכמים יותר של התקפות ransomware על רשתות שבהם הקבצים מוצפנים בקידוד גבוה מאוד שכמעט בלתי אפשרי לפרוץ אותו. כלי פופולארי שבו משתמשים להתקפות מהסוג הזה נקרא GPcode. זהו כלי שנמצא בתהליך של פיתוח כבר יותר מ-8 שנים, ושימש בעבר להתקפות Ransomware על משתמשים ביתיים. הכלי התגלה לראשונה ב 2004, ובמשך 4 שנים שוחררו גרסאות חדשות שלו מידיי שנה. חברות האנטי וירוס הגדולות הצליחו ליצור כלים שידעו לפרוץ את הקידוד של הקבצים ולהחזיר אותם למצב המקורי שלהם, הכלים ידעו להתמודד עם הגרסאות של GPcode שיצאו עד 2008.

בגרסאות האחרונות שלו שהתחילו לצאת ב-2010, הכלי כותב את הקבצים מחדש על הדיסקים כדי למנוע אפשרות שחזור, ומצפין אותם בקידוד RSA 1024 bit (לשם השוואה, כשאנחנו מבצעים עסקאות באשראי באינטרנט, העיסקאות מאובטחות בדר"כ בקידוד של bit 128, שנחשב לבטוח מספיק). כדי לפרוץ קידוד כזה בכוח (brute force), דרוש כוח חישוב משותף של כ-15 מיליון מחשבים ממוצעים שיעבדו במשך שנה שלמה.

מסתבר שכבר בשנת 2007 התחילו ארגוני פשע קיברנטיים ממזרח אירופה לחקור את התחום, כאשר הם התחילו בסדרה של התקפות שכוונו כלפי חברות Fortune 1000'. ההתקפות שילבו העתקה של מסמכים שנראים חשובים לשרת שהתוקפים הכינו, הצפנה של המסמכים במחשב, ודרישה באימייל אישי להעברה של $300 תמורת הסיסמה שתשחזר אותם. התוקפים בחרו מספר קטן של מחשבים בכל חברה, כך שמערכות ניטור שיודעות לזהות תעבורה גבוהה ברשת כדי להתריע על התקפות לא יאתרו אותם. הוירוס שהדביק את המחשבים תוכנת כך שישמיד את עצמו לאחר מספר ימים כדי למנוע ממומחי אבטחה וחברות אנטי וירוס לחקור את דרך הפעולה שלו.

איך מגנים על החברה מפני התקפות קיברנטיות?

ברוב המקרים חברות קטנות ובינוניות יכולות למנוע התקפות Ransomware והתקפות קיברנטיות נוספות בהקפדה על מספר כללים:

  1. ברוב המקרים שנתקלתי בחברות שהותקפו, לא היתה פריסה מלאה במחשבים של תוכנת אנטי-וירוס או שהיא לא היתה מנוהלת ברשת בצורה תקינה. חשוב להקפיד על פריסה של אנטי-וירוס בכל התחנות ברשת, עם הקפדה על לפטופים שעובדים משתמשים בהם בבית. כמו כן חשוב לנטר את תוכנת הניהול של האנטי-וירוס ברשת, ולהגדיר התראות אוטומטיות שישלחו למנהל הרשת במקרה של התקפה.
  2. נושא נוסף שידוע לכל מנהלי הרשתות, אבל הרבה פעמים אנחנו מוצאים שהוא אינו מטופל, הוא עדכוני מיקרוסופט שאינם מבוצעים אוטומטית בתחנות ובשרתים. יש הרבה סיבות לחוסר עדכונים כמו התנגשות עם תוכנות שמפותחות בחברה, שרתים שלא רוצים לאתחל או מפתחים עקשניים.
    ברשתות בגודל של 20 תחנות ויותר מומלץ להתקין שרת WSUS שיודע לפרוס ולנהל את העדכונים אוטומטית. ברשתות קטנות יותר חשוב להקפיד לבדוק את התחנות ולוודא שהעדכונים מבוצעים.
  3. במקרה של זיהוי של התקפה במספר תחנות, חשוב שמנהל הרשת יוכל להיעזר בספקית האנטי-וירוס איתה הוא עובד לקבלת מענה וליווי מקצועי.
  4. מומלץ לבצע הדרכות תקופתיות לעובדי החברה בנושא אבטחת מידע וגלישה בטוחה.

הפוסט בחסות ESET


חברת האבטחה הבינלאומית ESET היא חלוצת האנטי וירוס מזה 25 שנה, המגינה כיום על יותר מ-100 מיליון משתמשים בכל רגע. פתרונות האבטחה המובילים שלה – ESET NOD32 Antivirus, ESET Smart Security ו- ESET Mobile Security for Android – מיועדים לצרכנים פרטיים ולארגונים בגדלים שונים. החברה מתמחה ביכולות זיהוי מדויקות בזכות טכנולוגיה פרו-אקטיבית (מזהה וירוסים ומזיקים לא מוכרים על סמך ניתוח קוד ודפוסי התנהגות, ללא תלות בעדכוני חתימות) ומוצריה נחשבים ליעילים בצריכת משאבים כך שלא יכבידו על המערכת.

בשנתיים האחרונות ESET הוכרזה כחברת הסקיוריטי בעלת הצמיחה גדולה ביותר בעולם בשוק הפרטי ולאחת מ 500 חברות ה-IT  בעלות קצב הצמיחה הגבוה ביותר בצפון אמריקה , על פי גרטנר ומדד Fortune500.

בישראל מיוצגת ESET על ידי חברת קומסקיור בע"מ, המשווקת את מוצריה בלעדית ומפעילה מרכז תמיכה טכני בשפה העברית לכל הלקוחות. בין לקוחות ESET בישראל ניתן למצוא חברות היי-טק, ארגוני ענק, חברות אינטרנט, מכללות ואוניברסיטאות, עיריות ומשרדי ממשלה ועסקים קטנים,בינוניים וגדולים מתחומים מגוונים.




אמיר כרמי

לוחם בווירוסים ופשע מקוון בלילה ופותר למשתמשים בעיות ביום. מומחה אבטחת מידע ורוקר מושבע. מנהל הטכנולוגיות בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Internet Security

הגב

3 Comments on "Ransomware: הכסף שלך או הקבצים שלך [חלק ב']"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
אומרי
Guest

כתבה דיי חובבנית, לא מתאים לכם..
מצפין אותם בקידוד RSA 1024 bit (לשם השוואה, כשאנחנו מבצעים עסקאות באשראי באינטרנט, העיסקאות מאובטחות בדר"כ בקידוד של bit 128, שנחשב לבטוח מספיק).

יש הבדל בין הצפנה סימטרית לאה-סימטרית…

אמיר כרמי
Guest

שלום אומרי,

לא הסברת למה לדעתך הכתבה היא חובבנית.
ההבדלים בין הצפנה סימטרית וא-סימטרית הם לא רלוונטיים למאמר, ולומדים אותם בדר"כ בהקדמה לקורסים בסיסיים בתחום אבטחת המידע או רשתות.

Shlomi Barzel
Guest

כתבה מעניינת ביותר, תודה על האינפורמציה החשובה

wpDiscuz

תגיות לכתבה: