rssyoutubefg

מתקפת כופר כלל עולמית רק חודש וחצי לאחר מתקפת WannaCry. עוד ועוד מדינות, בהן ארה"ב וישראל, מדווחות על חשש לפריצות. מומחי ESET יודעים לומר כי חברות ישראליות עם מאות משתמשים כבר נפגעו מתוכנת הכופר. כאשר החלה המתקפה, במעבדת הזיהויים של ESET הבחינו כי ישראל נמצאת במקום השלישי בעולם בזיהוי ניסיון המתקפות מיד אחרי אוקראינה ואיטליה. עם זאת, יממה לאחר תחילת המתקפה ולאחר איסוף הנתונים שהצטברו מתסמן כי הדירוג התעדכן ומדינות כמו גרמניה, פולין וסרביה תפסו מקום בראש הרשימה ומסתמן שרק כמות קטנה מהזיהויים הם בישראל.

graph

גרף הממפה את איזורי ניסיונות ההתקפה בשעות הראשונות: ישראל במקום השלישי בזיהויים

מה בעצם קרה?

החל מאתמול (יום שלישי 27.6) בשעות הצהריים חוקרי ESET החלו לחקור את מתקפת הכופר שהתפשטה ברחבי העולם, כל זאת רק חודש וחצי לאחר מתקפת הכופר העולמית WannaCry שפגעה ב-200 מדינות. גופים שונים במספר מדינות באירופה, בהן אוקראינה, רוסיה ודנמרק, דיווחו כי נפגעו על ידי האקרים שפרצו למערכות שלהם. באוקראינה אף דיווחה הממשלה כי מחשביה נפלו קורבן למתקפת סייבר "ענקית וחסרת תקדים", וכך גם מספר בנקים ונמל התעופה המרכזי בבירה קייב. בנמל התעופה בקייב עדכנו כי בשל המתקפה, ייתכנו שיבושים בלוח הטיסות.

הנוזקה מבוססת על שילוב של קוד משתי תוכנת כופר, הראשונה Petya שקיימת כבר שנתיים, תנסה קודם כל להדביק את ה-MBR (Master Boot Record), שהוא החלק בדיסק הקשיח שאחראי על הקצאת כוננים, דבר שימנע לחלוטין עליה של המחשב. החלק הנוסף בקוד שמבוסס על תוכנת הכופר Mischa יצפין את הקבצים החיוניים במחשב כמו שאר תוכנות הכופר. הנוזקה מנצלת בין היתר את פרצת ה SMB (EternalBlue) ופרצת DoublePulsar בהן השתמשו על מנת להפיץ את תוכנת הכופר WannaCry בכדי לחדור לרשת ולאחר מכן מתפשטת בתוך הרשת באמצעות שילוב של הכלי ו- WMI (Windows Management Instrumentation) על מנת לקבל הרשאות של מנהל רשת ולהתפשט בתוך הרשת.

שילוב מסוכן זה עשוי להיות הסיבה להתפרצות הזו בעולם ובמהירות, מספיק שמחשב אחד לא מעודכן על מנת להדביק את שאר הרשת, גם אם שאר המחשבים מעודכנים. לאחר הדבקת המחשב קבציו או הכוננים בו מוצפנים ועל מנת לשחררם דורשים ההאקרים 300 דולר במטבע וירטואלי. נכון לעכשיו 40 ארגונים כבר שילמו סכום של 12,000$.

תיבת הדואר האלקטרוני שאליה הפנו התוקפים נסגרה על ידי החברה המארחת ולכן לא ניתן לתקשר עם התוקפים. שירות מייל גרמני שנקרא Posteo הוא זה שהחזיק את כתובת המייל החליט לחסום אותה מהרגע שגילו שעבריינים עושים בה שימוש. כמובן שההמלצה שלנו היא תמיד לא לשלם. על פי מידע שנאסף כל מי ששילם עד כה לא קיבל את המחשב או הקבצים.

 

RANSOMWARE

בקשת הכופר כפי שנצפתה במחשב בישראל

למי זה כוון? במי זה פגע?

המטרה העיקרית של ההאקרים שביצעו את המתקפה הזאת היא ארגונים ולכן ארגונים וחברות הם לרוב הקורבנות במתקפה זו. אין זה אומר שמחשבים פרטיים אינם מטרה אפשרית אבל מתקפה זו פחות התמקדה בהם.

ההתפרצות החלה באוקראינה, באמצעות עדכון מזויף לתוכנת הנהלת חשבונות בשם M.E.Doc. על פי הדיווחים נפגעו גופים מהמגזר הפיננסי, האנרגיה ותעשיות רבות אחרות נפגעו. היקף הנזק שנגרם לענף האנרגיה עדיין לא אושר, ולא היו דיווחים על הפסקת חשמל - כפי שהיה בעבר עם תוכנות זדוניות הידועות Industroyer.

ישראל נמצאת אחרי אוקראינה ואיטליה בזיהוי המתקפה, אין זה אומר שאכן אותן התקפות הצליחו להדביק את הארגונים אבל אין ספק שישראל אחת המובילות בניסיונות ההתקפה.

האם משתמשי ESET מוגנים?

ב-18 למאי בוצעה בדיקה של כלל מוצרי האנטי וירוס שבה רק 3 מוצרים הצליחו לאתר ולחסום את הפירצה EternalBlue. המוצר של ESET הוא אחד מאותם 3 מוצרים. חשוב לציין שהבדיקה נערכה לאחר שמרבית חברות האבטחה טענו שעידכנו את מוצריהן ושהם מגנים בפני הפירצה. הפרטים בקישור הבא.
במקביל מודול ה LiveGrid שלנו הגן גם כן כנגד המתקפה החל מאתמול (יום ג') בשעה 13:30 בצהריים כאשר הנוזקה זוהתה מידיית על ידי מערכת מבוססת הענן.
כמו כן יצאה חתימה מסודרת שמזהה את האיום בתור Win32/Diskcoder.C Trojan.

האם המתקפה הסתיימה?

יש להתייחס למתקפה כנמשכת, עד לביצוע עדכוני האבטחה המתאימים של מיקרוסופט. כנראה שינסו לנצל חברות שעדיין מתמהמהות בביצוע העדכונים.

האם המחשב שלי נפגע מההתקפה?

אם מותקנת אצלכם גרסה עדכנית ומעודכנת של ESET על המחשב, המשתמשים והמידע שלכם מוגנים – גם אם לא ביצעתם את עדכוני האבטחה של מיקרוסופט עד עכשיו.

מה עליי לעשות כעת ואיך להתגונן מפני מתקפות כופר עתידיות?

עדכנו את מערכת ההפעלה של מייקרוסופט – ככלל, מומלץ לוודא כי ביצוע עדכוני מערכת הפעלה מוגדר לביצוע אוטומטי. כעת וודאו כי ביצעתם עדכון לפרצת האבטחה שבעקבותיה חדרה תכנת הכופר (גם למערכת הפעלה XPP יצא עדכון מיוחד בגין אירוע זה). תוכלו למצוא את הפרטים בקישור הבא על מנת לוודא שאכן מערכת ההפעלה שלכם מעודכנת.

וודאו שהאנטי וירוס במחשבכם מעודכן - תעדכנו את האנטי וירוס ומערכות אבטחה נוספות לגרסה העדכנית ביותר. כאמור מי שמותקנת במחשבו גרסה עדכנית של מוצר ESET יכול להסיר דאגה מליבו כי המוצר חסם את המתקפה. כאן תוכלו לבדוק האם הגרסה במחשב שלכם מעודכנת.

גבו את המידע שלכם - עשו זאת בעותק נפרד ומבודד מכלל הגיבויים הקיימים שלכם. שימו לב – הכונן החיצוני נדרש לטובת גיבוי בלבד, חשוב לנתקו באופן מסודר עם סיום הגיבוי מהמחשב. למדריך הגיבוי המלא.

אל תפתחו מיילים לא מזוהים, בדגש על מיילים עם קבצים מצורפים - אל תפתחו מיילים שנשלחים ממקורות לא מזוהים. שימו לב גם לניסוחים בכותרות המיילים הרבה פעמים שגיאות כתיב או כתיבת הספרה "0" במקום האות "O" יכולים לתעתע. כמובן שאל תפתחו קבצים ממקור לא מזוהה ואל תלחצו על קישורים (לינקים) לא מוכרים.
למדריך המלא להתגוננות ומניעה של תקיפות כופר

 

בהתקפה מהימים האחרונים, נשלח קישור לישראלים שמותאם לעברית ועם מאפיינים של מסמך מסווג של צה"ל, על מנת לפתות את הקורבנות לפתוח את הקובץ. בפועל מדובר בסוס טרויאני שנועד לגניבת מידע מאזרחים ישראליים.

ניתן לראות שבפועל הקישור נשלח מג'ימייל, ושהעברית אינה מושלמת:

idf spam

הקישור נשלח דרך שירות שיתוף קבצים שנקרא Wetransfer, ומנצל את האפשרות לעריכה של מסרים מותאמים אישית דרכו. כאשר נכנסים לקישור דרך לחיצה על כפתור "download" מועברים לדף הנחיתה שהוכן ע"י התוקפים:

WeTransfer

בדף הנחיתה יש קישור להורדה של "מסמך סודי", עם סיומת ZIP.
בתוך קובץ ה ZIP יש קובץ EXE שנראה כמו PDF מבחינת האייקון – כמובן שמשתמשים ממוצעים שלא מציגים סיומות של קבצים במחשב לא יראו את הסיומת האמיתית:

מסמך סודי

עם הפעלת קובץ ה EXE, מופעל השלב הראשון של ההתקפה, שהוא ה Dropper שמיועד להוריד את הטרויאני עצמו. מוצרי ESET מזהים אותו בתור:
Win32/TrojanDropper.Agent.ROO Trojan
לשם כך הוא יוצר קשר עם שרת שליטה ובקרה שיושב כרגע בגרמניה, שהדומיין שלו נקרא myexternalip.com.
השרת מאורח ע"י חברת אירוח אתרים גרמנית:
https://www.hetzner.de/en/

כדי להטעות את המשתמש עוד יותר, פותח ה dropper קובץ PDF שהוא מוריד משרת השליטה והבקרה שנקרא "secret-document.pdf". הקובץ נראה כמו מסמך שנסרק ושייך לרבנות הראשית:

בית דין רבני

בשלב זה מורד הטרויאני למחשב הקורבן, ומתחיל באיסוף מידע. מוצרי ESET מזהים אותו בתור:
MSIL/Agent.ARP Trojan

גניבת מידע

הנוזקה אוספת את המידע הבא מהמחשב:

שם משתמש
שם מחשב
כתובת IP חיצונית
רשימת קבצים ותיקיות במיקומים מסוימים
מידע על מערכת ההפעלה וההגדרות שלה
מידע על החומרה
הסוס הטרויאני שולח את המידע לשרת שליטה ובקרה שהכינו התוקפים.

ביצוע פעולות נוספות

לאחר שהסוס הטרויאני מתקשר עם שרת השליטה והבקרה, יכולים התוקפים להחליט, בהתאם למידע שכבר השיגו מהמטרה, לבצע פעולות נוספות:

העברה (גניבה) של קבצים מהמחשב
הפעלה של קבצי הרצה
צילומי מסך
השבתה של הליכים שרצים במחשב
הסוס הטרויאני יכול גם לקבל פקודה שתמחק אותו מהמחשב עם סיום הפעולות.

למידע טכני מפורט יותר אודות הפעולות שמבצע הטרויאני.

בהתחשב בפעולות שמבצע הסוס הטרויאני, אין מן הנמנע להסיק שמדובר בהתקפה שמכוונת נגד אזרחים ישראלים ומיועדת לגניבת מידע.
בניגוד להתקפות הנפוצות, בהן התוקפים מנסים להרוויח כסף מן ההתקפה, כאן נראה שמדובר בהתקפה שנועדה לגניבת מידע רגיש.

 

זה היה סופ"ש מלא בחדשות! לאלו מכם שלא היו מעודכנים בחדשות במהלך הסופ"ש, חשוב שתכירו שמתקפת סייבר עולמית התרחשה בזמן שחלמתם והיא יוצרת גלי ענק בתחום אבטחת המידע ואפילו גלים גדולים יותר עבור הקורבנות שלה.

ראש סוכנות המשטרה של האיחוד האירופי, רוב ויינרייט, חושף היום (ראשון) את נזקיה של המתקפה שאירע בסוף השבוע. לדבריו המתקפה פגעה ב-200 אלף קורבנות מלפחות 150 מדינות בעולם. לטענתו, בגלל ששבוע העבודה בעולם מתחיל ביום שני המספר הזה צפוי אף להעלות כאשר יחזרו מרבית האנשים לעבודתם מחר.

מתקפת כופר כלל עולמית
מי אשם בכל זה? תוכנת כופר העונה לשם Wanna Cry ומופצת במהירות הודות לתכונות שלרוב יש בוירוסים מסוג תועלת וכך כמו זיהום היא מתפשטת באופן אוטומטי. הנוזקה מנצלת פרצה במערכת ההפעלה של מייקרוסופט שפורסמה לפני חודשיים כאשר שוחררו מסמכים של ה-NSA. מאז, מיקרוסופט הוציאה עדכון למערכת ההפעלה (בחודש מרץ) אך מי שלא ביצע אותו, עלול להיפגע אם לא נפגע כבר.

תוכנת כופר היא תוכנה שמצפינה את הקבצים של המותקף במחשב ולמעשה לוקחת אותם כבני ערובה עד שישלם הקורבן סכומים בין מאות לאלפי שקלים במטרה לשחרר את המידע. במקרה הטוב התשלום מוביל לשחרור הקבצים, אך לא תמיד זה המצב והקורבן יכול למצוא עצמו בלי כסף ובלי גישה לקבצים.

wana cry encrypted2a

כך נראית תוכנת הכופר שהתפשטה ברחבי העולם. מתוך: welivesecurity

מי נפגע ומי עומד מאחורי המתקפה

במתקפה נפגעו בעיקר ארגונים שלא התקינו את עדכון התוכנה שהפיצה מיקרוסופט בחודש מרץ האחרון. בגלל שלרוב עדכון של תיקוני פרצות בארגונים גדולים אינו מתבצע תמיד בצורה אוטומטית, הם מהווים מטרה נוחה למתקפות. עצם ההפצה של התיקון מצביע על מיקום הפרצה, וההאקרים ממהרים לתקוף לפני שהארגונים הגדולים יעדכנו את כל המחשבים ברשת. לרוב, מטרות תוכנות הכופר הן ארגונים גדולים ובינוניים כי הם מסוגלים לשלם את הכופר.

ויינרייט, כי הם טרם התחקו אחר מי שעומד מאחורי המתקפה, אך בשל הדרישה לכופר סבירה שגורמי פשיעה הם אחראים למתקפה הזאת. "הם דורשים 300-600 דולר בתוך שלושה ימים", הסביר. "רוב האנשים בוחרים שלא לשלם - לכן, בינתיים, ארגוני הפשיעה שמאחורי המתקפה הזו לא עשו הרבה כסף".

ומה לגבי ישראל?

ראש הממשלה, בנימין נתניהו, התייחס לאיום הסייבר שפקד את העולם, בדבריו הרגיע וטען כי לא היו פגיעות בתשתיות הקריטיות של ישראל. עוד הוסיף כי הפגיעות שהיו בישראל היו מינוריות. ב-ESET ישראל נכון לעכשיו לא ידוע על נפגעים בישראל.
מי שמותקנת אצלו תוכנת אנטי וירוס מעודכנת של ESET לא צריך לדאוג כי המתקפה נחסמה והמוצרים מזהים אותה. עם זאת, יש כמה צעדים שחשוב שתנקטו ליתר ביטחון ואף פעם לא יזיקו.

כך תגנו על עצמכם

עדכנו את מערכת ההפעלה של מייקרוסופט – ככלל, מומלץ לוודא כי ביצוע עדכוני מערכת הפעלה מוגדר לביצוע אוטומטי. כעת וודאו כי ביצעתם עדכון לפרצת האבטחה שבעקבותיה חדרה תכנת הכופר (גם למערכת הפעלה XP יצא עדכון מיוחד בגין אירוע זה). תוכלו למצוא את הפרטים בקישור הבא על מנת לוודא שאכן מערכת ההפעלה שלכם מעודכנת.

וודאו שהאנטי וירוס במחשבכם מעודכן - תעדכנו את האנטי וירוס ומערכות אבטחה נוספות לגרסה העדכנית ביותר. כאמור מי שמותקנת במחשבו גרסה עדכנית של מוצר ESET יכול להסיר דאגה מליבו כי המוצר חסם את המתקפה. כאן תוכלו לבדוק האם הגרסה במחשב שלכם מעודכנת. 

גבו את המידע שלכם - עשו זאת בעותק נפרד ומבודד מכלל הגיבויים הקיימים שלכם. שימו לב – הכונן החיצוני נדרש לטובת גיבוי בלבד, חשוב לנתקו באופן מסודר עם סיום הגיבוי מהמחשב. למדריך הגיבוי המלא. 

אל תפתחו מיילים לא מזוהים, בדגש על מיילים עם קבצים מצורפים - אל תפתחו מיילים שנשלחים ממקורות לא מזוהים. שימו לב גם לניסוחים בכותרות המיילים הרבה פעמים שגיאות כתיב או כתיבת הספרה "0" במקום האות "O"" יכולים לתעתע. כמובן שאל תפתחו קבצים ממקור לא מזוהה ואל תלחצו על קישורים (לינקים) לא מוכרים.

למדריך המלא להתגוננות ומניעה של תקיפות כופר

שרת ההורדות של הכלי הפופולרי להמרת קבצי וידאו, HandBrake, נפרץ ע"י האקרים, אשר החליפו את גרסת התוכנה למחשבי Mac בנוזקה. הפעם מדובר בסוס טרויאני המאפשר להאקרים להשתלט על המחשב ולגנוב מידע רגיש.

משתמשי Mac יכולים למצוא את המידע אודות פרצת האבטחה באתר האינטרנט של התוכנה, בכתובת https://handbrake.fr, בקישור הבא.

HandBrake 1

מתוך welivesecurity

כך נוסחה ההודעה שהופיעו למשתמשים באתר:

"כל משתמש שהוריד את תוכנת HandBrake על מערכת Mac בין [02/05/2017 14:30 UTC] ובין [06/05/2017 11:00 UTC] צריך לבדוק את ערכי ה-SHA 1/256 של הקובץ לפני הרצתו.

כל משתמש שהתקין את תוכנת HandBrake על מערכת Mac צריך לבדוק שהמערכת שלו לא נפגעה ע"י סוס טרויאני. יש לכם סיכוי של 50/50 אם הורדתם את תוכנת HandBrake במהלך תקופה זו".

מוצרי האבטחה של ESET זיהו את קובץ הנוזקה כ-OSX/Proton.A – סוס טרויאני אשר מאפשר לתוקפים לגשת מרחוק למחשבי Mac נגועים, מה שמאפשר להאקרים לצלם צילומי מסך של מחשבים נגועים, לקלוט פרטי כרטיס אשראי וסיסמאות בעת שהם נכתבים במקלדת, לפרוץ למצלמת הרשת ולגנוב קבצים. מדובר בגרסה עדכנית יותר לטרויאני OSX/Proton, שזוהה לראשונה בפברואר ונטען ע"י מספר חברות אבטחה שהוא פותח ע"י רוסיה.

מומלץ כי המשתמשים במוצרי אנטי-וירוס של חברות אחרות הדואגים לבטחונם ייצרו איתם קשר באופן ישיר כדי לראות אם פתרונות האבטחה שלהם למערכת הMac- מזהים את הגרסה העדכנית הנ"ל של הסוס הטרויאני Proton.

לצערנו קיים סיכוי נמוך מאוד שמשתמשי Mac יריצו תוכנת אנטי וירוס לעומת משתמשי Windows, הדבר שנובע מתחושת ביטחון מוטעית שמערכת ההפעלה OSX חסינה לחלוטין מהתקפות – מה שהופך אותם למטרה קלה עבור פושעי סייבר. בשנים האחרונות השימוש בפתרונות אבטחה למערכות Mac עלה בשל עליית רמת האיום – אך הוא עדיין נמוך בהשוואה למשתמשי Microsoft Windows.

ישנן הרבה פחות נוזקות המיועדות ל-Mac OS X לעומת אלו המיועדות ל-Microsoft Windows, אך זו תהיה נחמה קטנה מאוד אם משתמשי מק יפגעו מנוזקה כזו. במיוחד כאשר קיימים שחקנים בעלי משאבים עצומים שמעוניינים לפרוץ למחשבי Mac. משתמשי Mac שמתחברים לאינטרנט ללא פתרון אנטי וירוס מהימן חושפים עצמם לסיכונים מיותרים.

אחד מהמשתמשים הוותיקים של HandBrake תיאר בפורום MacRumors כמה קרוב הוא היה לסיכון הנתונים שלו ע"י מתקפת הנוזקה:

HandBrake" היא תוכנה מעולה ששירתה אותי כשורה במשך השנים ויש לי כבוד רב למפתחים. תקלות בטיחות עלולות לקרות לכל אחד ואני בטוח שהם ינקטו באמצעים הנדרשים כדי לשפר זאת בעתיד.
עם זאת, אני מפרסם את זה מכיוון שכמעט נפלתי במלכודת הזו. הורדתי את תוכנת HandBrake בשבוע שעבר והופתעתי לגלות תיבת דו-שיח שהופיעה בעת ההפעלה, שמבקשת ממני להכניס את הסיסמא שלי כדי "להתקין קודקים נוספים". כמשתמש ותיק של HandBrake, הייתי בטוח שזה *לא* רגיל, לכן סירבתי. זמן קצר לאחר מכן הוצגה לי תיבת דו-שיח נוספת, נפרדת מתוכנת HandBrake, המתחזה להודעה מטעם "הגדרות הרשת" של המערכת, שהזדקקה לסיסמה שלי כדי "לעדכן את הגדרות ה-DHCP". מכיוון שגם הודעה זו לא הייתה מוכרת לי, סירבתי שנית, אך תיבת הדו-שיח הופיעה מחדש באופן מיידי ברגע שלחצתי על כפתור הביטול, והיה עליי להפעיל מחדש את המערכת כדי לגרום לה להיעלם. אז כן, אם אתם רואים תיבות דו-שיח חשודות שמבקשות סיסמה, *אל* תכניסו את הסיסמה שלכם".

HandBrake 2מתוך welivesecurity

HandBrake ממליצה למשתמשים לבדוק את ערכי ה-SHA בעת שהם מורידים גרסאות חדשות של התוכנה מאתר המראה שלה, אך קשה לראות מצב בו משתמשים רבים יטרחו לעשות דבר כזה. הרוב, ללא ספק, יעדיפו לצרוב תקליטורי DVD ולהמיר קבצי וידאו באופן מיידי על פני הטרחה שבבדיקות אבטחה משעממות ומעייפות כמו אלה.

כמו כן, צירפה HandBrake הנחיות כיצד להסיר את הנוזקה למי שכבר נפגע:
1. פתחו את אפליקציית ה Terminal והריצו את הפקודה:

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app

2. אם התיקייה ~/Library/VideoFrameworks/ מכילה את הקובץ proton.zip, מחקו את כל התיקייה.

3. הסירו את כל ההתקנות של Handbrake שאתם מצליחים לאתר ברשימת האפליקציות המותקנות.

כמו כן, מומלץ לשנות את כל הסיסמאות השמורות ב OSX KeyChain, וסיסמאות ששמורות בדפדפנים.

בדיקת ערכי SHA עשויה להיות נטל, אך ככל הנראה היא הייתה מצילה כמה ממורידי התוכנה בימים האחרונים.

קבצי HandBrake.dmg עם ערכי ה-SHA הבאים נגועים:

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

האיומים במרחב הקיברנטי נמצאים בעליה מתמדת מידי שנה, כאשר אנחנו הופכים לתלויים יותר ויותר בשירותים מקוונים ומתחברים עם עוד ועוד מכשירים שונים לאינטרנט, גם הנזקים שנגרמים מהתקפות ונוזקות הופכים לגדולים יותר.
אמנם בכל שנה מתגלים איומים חדשים לגמרי, אבל רבים מהם מסתמכים על התקפות ותיקות או משכללים אותן, ואת חלק מהטרנדים בתחום ניתן לצפות על פי ניסיון העבר.

נוזקות הכופר ממשיכות לשלוט
לפני עשור כאשר נדבקנו בוירוס או נוזקה, המשמעות היתה בדרך כלל סרגל כלים מציק, פרסומות קופצות, והאטה בגלישה. לפני 5 שנים כאשר נדבקנו המשמעות היתה גניבה של פרטי כרטיס האשראי שלנו או פרטי הכניסה למייל ולרשתות חברתיות.
הדבקה בוירוס כיום אומרת בדרך כלל הצפנה של המידע האישי והקריטי שלנו, ודרישה לתשלום כופר. זו תוצאה של תהליך שנמשך כבר כ 3 שנים, שהגיע לשיאו במהלך 2016.

2017 1

אחוז של נוזקות כופר מתוך כלל הנוזקות, רבעון ראשון 2016, מקור: InfoSec institute

כיום ידוע לנו על קרוב ל 200 משפחות של תוכנות כופר, כאשר לכל משפחה אלפי ווריאנטים, מה שהופך את נוזקות הכופר לסוג הנוזקות שתופס את הנתח הגדול ביותר בתחום. תהליך שהחל במהלך 2016 וכנראה יתחזק במהלך 2017 הוא מכירה של קוד ליצירת נוזקות כופר בצורה די נרחבת ברחבי ה"דארקנט", כאשר ניתן כבר לראות נוזקות חדשות שפותחו בהתבסס על קוד קיים.

2017 2

 מתוך פורום למכירת נוזקות ב"דארקנט"

אם זה לא היה מספיק, צצו מספר חוקרי אבטחה בשנה החולפת, ששיחררו קוד ליצירת תוכנות כופר בתור proof of concept בטענה שהמטרה שלהם היא לחזק את חברות אבטחת המידע. בפועל צצו בחודשים האחרונים עשרות גרסאות של תוכנות כופר שמבוססות על הקוד שפורסם.
בשורה התחתונה שוק הנוזקות ימשיך להישלט ע"י נוזקות הכופר במהלך 2017, כאשר נוזקות אחרות לגניבת מידע יידחקו הצידה או ישמשו רק בהתקפות ממוקדות.

Ransomware as a service

טרנד נוסף שהחל להתפתח במהלך 2016 הוא נוזקות כופר בתור שירות אוטומטי עבור עבריינים. בהשראת התחום של software as a service שמשתלט על תעשיית התוכנות ושירותי המחשוב, לקחו חלק ממשפחות הפשע המאורגן שמפתחות את נוזקות הכופר את השירות שהן נותנות לעבריינים שמפיצים אותן לשלב הבא.

למרות שכבר קיים קוד פתוח וקוד למכירה של נוזקות כופר, בדרך כלל נדרש העבריין להצטרף למספר שירותים על מנת לייצר מהן כסף. השיטה של ransomware as a service שמיושמת לדוגמא עם נוזקת הכופר Cerber מאפשרת לעבריינים עם ידע טכני בסיסי ביותר להפוך למפיצים שלה, כאשר הם מספקים שירות של יצירת ווריאנטים חדשים, בדיקה שלהם מול מנועים של חברות אנטי וירוס, הקמה והגדרה של שרת התקיפה, והפצה של הנוזקה דרך ספאם, אתרים נגועים או לינקים. העבודה מול משפחת הפשע אפילו אינה דורשת השקעה מראש, אלא תשלום ישיר עבור כל קורבן ששילם את הכופר. החלוקה היא של 40% ליוצרי הנוזקה, ו- 60% למפיץ שלה.

2017 3

מתוך ממשק הניהול של Cerber, ניתן להגדיר הכל אוטומטית, כולל את סכום הכופר

השימוש של משפחות הפשע במספר רב של "שותפים" או "משווקים" מוריד את החשיפה שלהן מול רשויות החוק מצד אחד, ומצד שני מגביר את כמות ה Variants של כל נוזקת כופר בצורה אקספוננציאלית. כך נראה עליה משמעותית נוספת בתחום נוזקות הכופר במהלך 2017.

עליה דרמטית במספר הנוזקות לאנדרואיד
עם ממוצע של מיליון וחצי הפעלות ביום, אנדרואיד היא כבר מזמן מערכת ההפעלה השולטת בשוק הסמארטפונים והטאבלטים, כאשר כבר לפני שנה גוגל הצהירה על קרוב למיליארד וחצי מכשירי אנדרואיד פעילים.

2017 4

השליטה של אנדרואיד בשוק המובייל הולכת ומתבססת, מקור: Statista

פעמים רבות גם הגיעו נוזקות לחנות האפליקציות הרשמית של גוגל. כאשר כל מפתח יכול לשלם סכום חד פעמי של 25$ כדי לפתוח חשבון חדש ולהעלות אפליקציה תוך 24 שעות, גם הסינון של גוגל (נקרא Bouncer) שמשתפר כל הזמן, מפספס מידי פעם נוזקות בתוך ים האפליקציות שמועלות מידי יום. כך מתקיימות אלפי אפליקציות מזויפות ומתחזות שעולות לחנות בשמות משתנים עשרות פעמים ביום.
שיטה נוספת בה משתמשים כותבי הנוזקות היא העלאה של אפליקציה "נקיה" ל Google Play, ולאחר מכן עדכון של האפליקציה שלא דרך החנות הרשמית.
במהלך שנת 2017 נראה כנראה התפוצצות של נוזקות לאנדרואיד, שעל פי סקרים שנערכו לאחרונה בישראל כבר עוקפת את Windows במספר ההתקנים המחוברים לאינטרנט.

Ransomware of things
בהמשך לטרנד שעליו כתבתי בתחזיות שלי ל 2016, מכשירי ה Internet Of Things (IOT) משמשים כבר להתקפות מניעת שירות (DDOS) בצורה נרחבת, כרגע במיוחד באמצעות הנוזקה Mirai, שהצליחו להפיל באמצעותה את חברת Dyn, ספקית DNS מהגדולות בארה"ב, וכתוצאה מכך להפיל שירותים של אתרים גדולים כמו טוויטר, Netflix ו- Amazon.

בניגוד לפרסומים המוקדמים של חברת Dyn, ההתקפה לא בוצעה ע"י מיליוני מכשירים אלא "רק" על ידי כ 100,000 מכשירים נגועים.
כיום אם נחבר מכשיר IOT לאינטרנט עם הגדרות ברירת מחדל וכאשר הוא אינו מוגן ע"י חומת אש, ייקח כ 30 שניות בממוצע עד שיותקף ויתווסף לרשת Botnet שמשמשת להתקפות DDOS.
לפני פחות משבועיים פורסמה פרשה של התקפת DDOS על מערכות חימום חכמות לבתים, ששיתקה את החימום בשני בלוקים של מגורים בפינלנד, מקום שבו מערכת חימום שאינה פעילה בחורף יכולה לגרום אפילו למוות.

פרסום בטוויטר מהשבוע האחרון מראה טלוויזיה של LG שאינה ניתנת לתפעול לאחר הדבקה בתוכנת כופר שיועדה לסמארטפונים מבוססי אנדרואיד. עם המעבר של הרבה מהטלוויזיות החכמות למערכת ההפעלה של אנדרואיד, כנראה שגם נראה התקפות של כופר על טלוויזיות מחוברות לאינטרנט. הדבר פחות ישים על מכשירים "טיפשים" כמו מצלמות, שאינם כוללים דיסק קשיח, ולכן באתחול פשוט של המכשיר תימחק גם תוכנת הכופר.

2017 5

ב-2017 כנראה שנתחיל לראות "נעילה" או אפילו הצפנה בפועל של טלוויזיות חכמות ושל חלק מהתקני ה-IOT, והיעילות בהתקפות יכולה גם להוביל לדרישות כופר תמורת הפסקת התקפות DDoSS על שירותים חיוניים, דבר שיכול לקרוץ לא רק לחובבנים שעוסקים בתחום, אלא גם לעבריינים מקצועיים יותר.

התקפות על רכבים חכמים

רכבים חכמים מתחילים גם הם להפוך למוצר נפוץ בשוק הרכב, ועם הפופולריות שלהם מגיעות כמובן גם ההתקפות.
התקפות עם שלט אוניברסלי "חכם" הן נפוצות מאוד בעולם וגם בישראל בשנים האחרונות, ועם המעבר להנעת רכבים ללא מפתח, חוסכות לגנבים עבודה עם מפתח גנבים או עם כבל ההנעה.
ככל שימשיך המעבר של יצרניות הרכב להנעה ללא מפתח, כך יגברו השנה התקפות אלחוטיות על רכבים.
כאשר אנו מדברים על רכבים חכמים אוטונומיים, שמסוגלים לנהוג בעצמם, הסכנה הופכת למוחשית הרבה יותר. כך הודגמה "חטיפה" של ג'יפ במהלך נסיעה על כביש מהיר לפני כחצי שנה.
כנראה שלא נראה הרבה התקפות כאלה מיושמות במהלך 2017, אבל ככל ששוק הרכב יכניס יותר ויותר רכבים אוטונומיים לייצור, כך גם נראה התקפות שישתלטו על ההיגוי של הרכב, ונוכל כנראה לראות בקרוב התקפות על נהגים תוך כדי נהיגה, ואפילו דרישות כופר תמורת ה"זכות" לקבל בחזרה את השליטה ברכב.

לסיכום
בשנה הקרובה נראה סוגים רבים יותר של נוזקות כופר והתקפות שונות שמשלבות דרישה לתשלום, כמו גם התקפות על מכשירים חכמים שמחוברים לאינטרנט.
חשוב לזכור שכל מכשיר שאנחנו מחברים לאינטרנט חשוף להתקפה, כאשר בדרך כלל ההתקפות הן אוטומטיות, שמירה על עירנות ועל כללי אבטחה בסיסיים תגן עלינו ממרבית ההתקפות.

 

 

מספר ימים לאחר המתקפה בה נפגעו עשרות מחשבים בשני בתי חולים בישראל, נאספים פרטים נוספים שמרמזים על מי שעומד מאחורי המתקפה. הנתונים מצביעים על כך שהקוד של הנוזקה שבה נעשה שימוש נכתב ע"י מפתח נוזקות המעיד על עצמו שהוא פלסטיני.

בהמשך להודעה של רשות הסייבר הלאומית בשבוע שעבר, על מתקפת סייבר על בתי חולים בישראל בה נפגעו עשרות מחשבים בשני בתי חולים מרכזיים בארץ. במעבדות חברת האבטחה ESET ניתחו דגימות מהמתקפה וכעת נחשפים פרטים חדשים.

אומנם אכן שני בתי חולים בישראל נפגעו מהמתקפה, אך מממצאי המחקר אין אינדיקציה על כך שהמתקפה הייתה ממוקדת דווקא למערכות של בתי חולים וייתכן וגופים נוספים נפגעו ממנה.

במה נדבקו המחשבים?

בניגוד למידע שסופק תחילה כי הפוגען בו נדבקו המחשבים הוא מסוג SGX הגונב תעודות RSA, תוצאות הניתוח מעידות על הדבקה בכלי ריגול לגניבת מידע, המזוהה ע"י ESET בתור HoudRat. ביכולתו של כלי הריגול הזה לתעד צילומי מסך, הקלדות במחשב, לגנוב סיסמאות מהדפדפן ואף לאתר שימוש בשירותים פיננסיים כמו פרטי חשבונות בנק, PayPal, eBay.

מי עומד מאחורי הנוזקה?

מצאנו כמה רמזים בולטים למי עומד מאחורי הנוזקה שפגעה בבתי החולים. ראשית הפרטים שנגנבים נשלחים לדומיין Palestineop.com. לרוב כאשר מתבצעות מתקפות המכוונות למוסדות ישראלים ומשתמשות בדומיינים עם הביטוי "פלסטין", מי שעומדות מאחורי המתקפה הן קבוצות כמו אנונימוס או חמאס.

בקוד הנוזקה ניתן למצוא את הכיתוב הבא: rad12345 This e-mail address is being protected from spambots. You need JavaScript enabled to view it. from Palestine"". כיתוב זה הוא בעצם שם משתמש ששייך לכתובת dev-point.com, אתר של חברה מדובאי עם פורום בערבית עבור מפתחים, שם קיימים גם הסברים על שימוש בקוד עבור פריצה ויצירת נוזקות.

dev point

הפורום של dev-point.com

על פי חוקרי המעבדות שלנו, המשתמש rad12345 מעיד על עצמו שהוא פלסטיני, הוא חבר פעיל בפורום הערבי ומשתף בו סקריפטים זדוניים ונוזקות. נראה שהוא גם הכותב המקורי של הנוזקה HoudRat שלא השתנתה הרבה מאז שזוהתה לראשונה ע"י ESET ביולי 2016.

HoudRat הוא בהחלט לא כלי חדש או מתוחכם מידי, והוא פועל בצורה די פשוטה, אפילו שהוא מוסווה כדי לחמוק מזיהוי של אנטי וירוסים. על פי הזיהויים שלנו במהלך השנה שהוא קיים, הוא מזוהה בעיקר בדרום אמריקה, ולא היו כמעט זיהויים בישראל, מה שיכול להצביע על כך שמדובר בכלי שנמצא זמן רב בשימוש להתקפות פיננסיות, והוא הוסב להתקפה בישראל על מנת להראות הישג בפרסום פרטים של עובדי מדינה. יכול גם להיות שהוא פגע בבתי החולים במקרה, אבל בהתחשב באופי הכותב של הנוזקה והכתובת שאליה היא ניגשת אפשר להעריך שמדובר אכן בהתקפה ממוקדת.

עדיין לא ידוע כיצד האיום חדר לרשתות של בתי החולים אבל ניתן לומר שקיימות בנוזקה תוכנות של תולעת שמאפשרות לו להתפשט ברשת באמצעות התקני USB ניידים.

אתר חדש ששמו Swipebuster טורף את כל קלפי הפרטיות ומאפשר לעקוב בשושו אחרי אנשים בטינדר. איך הפרופילים השמורים ביותר נחשפים לעיני כל והאם משפחות שלמות עלולות להתפרק?

תמורת 4.99 דולר תוכלו לגלות את הדבר שהכי רציתם, או פחדתם, לדעת: האם חבריכם או אהוביכם משתמשים באפליקציית הדייטים טינדר. בהקלדת שם פרטי של אותו אדם וניחוש משוער מה המיקום שלו כרגע, האתר חדש שעלה לרשת – Swipebuster - יערוך בשבילכם בדיקה פולשנית ביותר בתוך הדאטה של אפליקציית טינדר. ואם לא דיי בכך, האתר גם יחשוף מתי המשתמש הפוחז נכנס לאפליקציה לאחרונה, האם הוא בעניין של גברים או נשים, מה הוא כותב על עצמו בפרופיל, איזה תמונות הוא שם (כולל תמונות חושפניות). תמורת התשלום המדובר – 4.99 דולר – ניתן לבצע עד שלושה חיפושים. שלושה במחיר של אחד או מה.

אתם בטח תוהים, מה, איך האתר הזה יכול לחטט בתוך הקרביים של טינדר? מה, המידע האישי שלנו אינו מוצפן? ובכל, מסתבר שלאפליקציית טינדר יש מה שנקרא API פתוח (זהו ממשק לתכנות יישומים). באמצעות אותו ממשק האתר מושך מידע מתוך האפליקציה בקלות. אם יש לכם פרופיל בטינדר ואתם לא רוצים שמישהו יידע מזה, אז יש לכם סיבה לדאגה – כל פרופיל ופרופיל באפליקציה שקוף בפני כל מי שרוצה להציץ לכם, ולא רק בפני משתמשים אחרים בטינדר. כל אחד יכול – מציצן סוטה, בן זוג עם חששות מוצדקים או סטוקר שנהנה להטריד.

במגזין Vanity Fairפורסם כי מפתח אתר Swipebuster, שמעדיף להיוותר אנונימי (מעניין למה), הסביר כי המניע שלו להקמת האתר אינו כלל כלל לגזור קופון שמן על חשבון סקרנותם של אנשים בעלי מטרות שונות ונסתרות כי אם להפעיל לחץ כבד על מפתחי טינדר לאבטח טוב יותר על הנתונים האישיים של המשתמשים שלהם (הצפנה, הצפנה, הצפנה!). במקביל הוא גם רוצה שכמה שיותר אנשים יידעו וייראו מכך שהמידע האישי שלהם נגיש לעיני כל.

"בימינו מאוד מקובל לחפש בני ובנות זוג באתרים ובאפליקציות להיכרויות", אומר גיל נוילנדר, מנכ"ל ESET. "עם זאת, כאשר המידע האישי שלנו אינו מוצפן, כדאי לשקול היטב איזה מידע לפרסם על עצמנו באתר ההיכרויות – לא לפרסם תחת השם האמיתי והמלא שלנו, עדיף לבחור בכינוי. אם מדובר בטינדר, עדיף לא להתחבר דרך פרופיל הפייסבוק שלנו לאפליקציה אלא לשקול לפתוח פרופיל ייעודי עם שם בדוי לשם כך. בנוסף, לא מומלץ לפרסם מיקום מדויק שבו אנחנו גרים ולא לפרסם תמונות אנטימיות שיביכו אותנו. יש לשקול טוב טוב איזה מידע לנדב על עצמנו באתר ההיכרויות". הטיפים הללו קריטיים פי עשרות מונים עבור מי שמרחרח בסצנת הדייטינג בעודו כבר מנהל מערכת יחסים...

לראשונה, מתקפת סייבר גרמה לניתוק של יותר מ- 700 אלף איש מרשת החשמל באוקראינה, על ידי שימוש בווירוס קטלני

האם אנחנו עדים להסלמה במלחמות הסייבר בין מדינות? אם הטענות של ממשלת אוקראינה נכונות, התשובה היא כן. העימות בין אוקראינה לרוסיה הוא לא חדש, וגורמים רשמיים בקייב כבר האשימו את רוסיה בניסיונות התקפה מקוונות על התשתיות במדינה בעבר, אבל הפעם נראה שהמתקפה מתגברת.
יום לפני חג המולד, ב 23 בדצמבר 2015, בוצעה מתקפת סייבר מתואמת על שלוש תחנות כוח באוקראינה שהביאה לניתוקם של יותר מ 700 אלף תושבי מחוז איבנו-פרנקסיבק מרשת החשמל למשך מספר שעות.

בהצהרה שפרסם שירות הביון של אוקראינה הופנתה האצבע המאשימה לרוסיה. לטענת האוקראינים "שירותי הביטחון של רוסיה" הם האחראים למתקפה ולמתקפות קודמות בהן נעשה שימוש בתוכנות זדונית כנגד מטרות תעשייתיות ופוליטיות במדינה. שר האנרגיה האוקראיני אישר שהוא חוקר את הטענות לפיהן מאחורי הפסקת החשמל הגדולה עומדת מתקפת סייבר.

אנרגיה שחורה

ההתקפה על תחנות הכוח התאפשרה לאחר שחלק מציוד המחשוב שלהן הודבק בתוכנה זדונית המכונה Black Energy - תוכנה זדונית נחשפה כבר בשנת 2007 ככלי לביצוע מתקפות מניעת שירות, אך מאז היא הוכנסו בה שיפורים רבים, כולל היכולת להפוך מחשב נגוע לבלתי ניתן לאתחול.

התוכנה הזדונית עודכנה פעם נוספת לאחרונה כדי להוסיף לה רכיב זדוני הנקרא KillDisk לצד תכונות נוספות. תכונות אלה מאפשרות לתוקפים לחדור למחשב הנגוע כרצונם, ואף להשמיד חלקים נרחבים בדיסק הקשיח של המחשב המותקף וזאת במטרה לחבל במערכות תעשייתיות ותשתיות קריטיות.

אז איך הם הצליחו לעשות את זה?

ובכן אם חשבתם שאולי בגלל שמדובר בתחום התשתיות הקריטיות (נסו אתם להעביר כמה שעות באוקראינה ללא חימום וללא חשמל בדצמבר) הדבקת המחשבים הייתה מורכבת או מסובכת בצורה כלשהי, חשבו שוב.

ההדבקה בוצעה על ידי הסתרת הקובץ הזדוני במסמכי מיקרוסופט, שנשלחו לעובדים בתחנות הכוח בקובץ מצורף להודעת דואר אלקטרוני פשוטה. למרות שבבלוג זה אנחנו מנסים לעסוק יותר בפתרונות לאיומי האבטחה השונים, ופחות להפחיד את הגולשים, גם אנחנו חושבים שזה מדאיג למדי לגלות כמה פשוט להדביק גוף בסדר גודל כזה, שאחראי על אספקת החשמל למיליוני אנשים, ומקווים שבישראל, למודת מתקפות הסייבר, המצב מעט שונה.

שלושה ימים לאחר שהופצו סיסמאות של שרים ברשת, גישתם של חברי הפרלמנט לדואר האלקטרוני נחסמה.  רק בחודש שעבר הושבתו שירותי הבריאות הלאומיים של בריטניה במסגרת מתקפת סייבר עולמית. לפי בית הנבחרים חסימת הגישה אינה חלק מהמתקפה, אלא מהניסיונות להתמודד איתה: "גילינו ניסיונות בלתי מורשים להיכנס למיילים"

חברי פרלמנט בבריטניה דיווחו אתמול בערב (שבת) על מתקפת סייבר המונעת מהם להיכנס לחשבונות הדואר האלקטרוני שלהם כשהם מחוץ למשכן הפרלמנט שבלונדון. ברון רנארד מהמפלגה הליברל דמוקרטית אמר לרשת "סקיי ניוז" שחברי הפרלמנט בווסטמינסטר קיבלו אתמול בערב הודעה ממחלקת הדיגיטלית של הפרלמנט, שבה נאמר כי בעקבות מתקפת סייבר לא ניתן להיכנס לחשבונות המיילים שלהם "מרחוק" - כלומר כשאינם בווסטמינסטר. כל זאת קורה כמה ימים לאחר שדווח בבריטניה כי בעקבות מתקפת סייבר הופצו ברשת סיסמאותיהם של שרים.

המרכז הלאומי לביטחון בסייבר עובד בשיתוף פעולה עם הפרלמנט כדי לבדוק את מידת הנזק ולפעול לפתרון הבעיה. חבר פרלמנט שנפגע במתקפה אמר בראיון ל"טלגרף" הבריטי כי חשבונות המייל היו "פגיעים" וטען כי הרשויות "תמיד נמצאות צעד אחד או שניים אחרי ההאקרים". דוברת בית הנבחרים הבריטי אמרה אמש כי: "הפרלמנט גילה ניסיונות בלתי מורשים לקבל גישה לחשבונות בפרלמנט. אנחנו ממשיכים לחקור את התקרית הזו ולנקוט צעדים נוספים כדי לשמור על מערכת המחשבים שלנו, בשיתוף עם מרכז ביטחון הסייבר הלאומי. יש לנו מערכות שנועדו להגן על החשבונות של חברי הפרלמנט והצוותים, ואנחנו נוקטים את הצעדים ההכרחיים כדי להגן על המערכות שלנו". בהודעה אחרת מטעם הפרלמנט שהגיע לידי "הפינגטון פוסט" נכתב כי לאחר חקירה התברר שההאקרים ניסו לגלות "סיסמאות חלשות" של חשבונות המיילים, וביצעו מתקפה "ממושכת".

רק בחודש שעבר אירעה שורה של מתקפות סייבר ברחבי העולם והשביתה ארגונים בבריטניה, איטליה, ספרד, פורטוגל, רוסיה, אוקראינה, ארצות הברית, טייוואן ומדינות נוספות. המתקפה, שהתמקדה תחילה ב-11 מדינות באירופה, התרחבה לאחר מכן ל-74 מדינות ברחבי העולם, ופגעה בין היתר בשירותי בריאות, תקשורת ומשלוחים. שירותי הבריאות הלאומיים של בריטניה (NHS) היו אחד מהארגונים הגדולים והחשובים שנפגעו.

ה"טלגרף" דיווח כי בריטניה חושדת שרוסיה עומדת מאחורי מתקפת הסייבר. על פי הדיווח, למרות שמדובר בתחילת החקירה - מוסקבה מסתמנת כאשמה במתקפה.

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2017, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום