על פי דוח הפרות הנתונים של Verizon לשנת 2020, תוכנות כופר הן מתקפת הנוזקה השלישית בשכיחותה. עדויות אחרונות לכך התרחשו ב-4 באוקטובר, כאשר Universal Health Services (UHS), ספקית בתי חולים ושירותי בריאות הנכללת ברשימת Fortune 500, על פי הדיווחים סגרה מערכות במתקני בריאות שונים ברחבי ארה"ב לאחר שמתקפת סייבר פגעה ברשת הפנימית שלה.
מתקפה רפואית מכל סוג שהיא עלולה להיות קטלנית, במיוחד בהתחשב במצב הנוכחי של המגפה. זוהי עוד מתקפת סייבר שהתרחשה לאחרונה, שמסתיימת בהשבתת תשתית ה-IT עקב מתקפת כופר. במקרה זה, UHS מפנה חלק מהמטופלים לבתי חולים סמוכים.
עם זאת, אנשים רבים אינם מודעים לכך שהפעלת תוכנת הכופר היא רק השלב הסופי במתקפה. לפני ביצועה, ישנם שלבים והזדמנויות רבים לעצור את המתקפה.
ובכן, מהי בעצם תוכנת כופר?
תוכנת כופר היא תוכנה זדונית שנועדה למנוע שימוש בקבצי מערכת מחשב עם דרישה לתשלום כופר. רוב גרסאות הכופר מצפינות את הקבצים במכשיר הפגוע, מה שהופך אותם ללא זמינים ודורשות תשלום כופר כדי לשחזר את הגישה אליהם.
קוד כופר הוא לעתים קרובות מתוחכם, אך הוא לא חייב להיות כזה, משום שבניגוד לצורות אחרות של תוכנות זדוניות קונבנציונליות, הוא בדרך כלל לא צריך להישאר בלתי מזוהה במשך זמן רב כדי להשיג את מטרתו. קלות היישום היחסית הזו לעומת פוטנציאל רווח גבוה, מושכת הן גורמים מתוחכמים של פשעי סייבר והן גורמים מתחילים להפעיל קמפיינים של כופר.
"ב-7% משרשורי הכופר שנמצאו בפורומים פליליים ובשוקים, הוזכר המונח "שירות", דבר המצביע על כך שתוקפים אפילו לא צריכים להיות מסוגלים לבצע את העבודה בעצמם." - דו"ח חקירות פרצות מידע לשנת 2020, עמוד 16.
תוכנות כופר (Ronsomeware) כה פופולריות עד כי ישנם שירותים שניתן לרכוש אשר מטפלים ביישום עבור פושעי הסייבר. עם שוק כה משגשג, צפויות תוכנות כופר ושירותי תוכנות כופר רק לגדול.
כיצד תוכנות כופר מוצאות את דרכן לרשת?
הגישה הנפוצה ביותר עבור תוקף להעביר קבצים זדוניים היא ניצול טעויות אנוש נפוצות כמו התקפות פישינג, שבהן התוקף שולח דוא"ל שנראה לגיטימי, אך מעודד את האדם ללחוץ על קישורים או להוריד קובץ מצורף. הקובץ המצורף נושא לעתים קרובות מטען המעביר את התוכנה הזדונית. תוקפים נוטים לנצל ממשקים חשופים כמו RDP או יישומי אינטרנט שלא תוקנו. תוכנות כופר מועברות גם לאתרים פגועים או זדוניים, באמצעות התקפות drive-by-download. חלק מהתקפות הכופר נשלחו גם באמצעות הודעות מרשתות חברתיות.
בדרך כלל משתמשים בתוכנות כופר בגישת "רובה ציד" - שבה תוקפים רוכשים רשימות תפוצה או אתרים פרוצים ומפציצים תוכנות כופר.
הגנה מפני תוכנות כופר
קיימים מספר שלבים לעצירת תוכנות זדוניות במהלך מחזור החיים של ההתקפה. השלב הראשון הוא מניעה מכניסה לרשת; השלב השני לעצירת תוכנות כופר (בהנחה שאינן אוטונומיות) ימנע ממנה לתקשר עם שרת הפיקוד והבקרה (C2); השלב השלישי יהיה עצירתן מיד לאחר תחילת הביצוע ולפני ביצוע תנועה רוחבית בתוך הרשת.
השלב הראשון - מניעת חדירת תוכנות זדוניות לרשת - הוא החשוב ביותר. תוקפים בדרך כלל ינסו להשתמש בטכניקות פישינג או לנצל חיבורי גישה מרחוק לא מאובטחים, כגון חיבורי RDP שתצורתם שגוי ונקודות קצה שאינן תואמות למדיניות החברה. התקנים אלה יכולים לאפשר לתוכנות הכופר להשתלב בחיבור אל תוך ארגון הרשת.
השלב השני - אי מתן אפשרות לתוכנות זדוניות לתקשר עם C2 - נעשה בדרך כלל על ידי יישום חומת אש ומערכת גילוי מבוססת רשת כדי לחפש חתימות רשת.
השלב השלישי - מניעת הפעלת תוכנת הכופר והתפשטותה ברשת - בשלב זה מורכב וגוזל משאבים הרבה יותר.
OPSWAT מציע פתרונות מונעים כדי שתוכלו להגן על עצמכם מפני תקיפות. הפתרונות שלנו עוזרים לארגונים למנוע חדירת תוכנות זדוניות לרשתות, כגון פתרון אבטחה לשער דוא"ל לעצירת פישינג, פתרון גישה מאובטח המסייע באימות תאימות ו
אבטחת העלאת קבצים שמבצעת Deep CDR (נטרול ושחזור תוכן) באמצעות MetaDefender Core . אלו הן רק חלק מהמוצרים הרבים ש-OPWAST מציעה כדי לסייע בשמירה על רשתות תשתיות קריטיות מפני תוכנות כופר. למידע נוסף, צרו קשר עוד היום.
הפניות
https://enterprise.verizon.com/resources/reports/dbir/
https://www.blackfog.com/the-state-of-ransomware-in-2020/
https://www.microsoft.com/en-us/download/details.aspx?id=101738
