rssyoutubefg

מכירים את זה שאתם כבר לא יכולים להתאפק ומתים לדעת מה קורה בפרק הבא? חוסר הסבלנות שלנו יכול לעיתים להוביל לדברים פחות נעימים. הנוזקה Submelius תקפה עד כה עשרות אלפי גולשים ישראלים באתרי סטרימינג (צפייה ישירה) באמצעות התקנה של תוסף לדפדפן כרום כתנאי לצפות בסרטים או בסדרות

במהלך הימים האחרונים זיהנו עליה יוצאת דופן בכמות הזיהויים של נוזקה בשם JS/Chromex.Submelius אצל משתמשים שלנו בישראל ובעולם. מדובר ב25% מכלל הזיהויים בישראל בשבוע האחרון, שהן עשרות אלפי התקפות שנחסמו במהלך השבוע האחרון אצל גולשים בישראל. מה שאומר שאם המחשב שלכם לא מוגן, סביר להניח שנדבקתם. בעולם מגיעה הנוזקה ל 15% מהזיהויים, מה שמצביע על מיליוני התקפות שנחסמות מידי שבוע ברחבי העולם.

submelius 1

אחוז הזיהויים של הנוזקה בישראל מתוך כלל הזיהויים בשבוע האחרון. מתוך האתר www.virusradar.com

אז איך זה עובד בעצם?
בזכות שיתוף פעולה שלנו עם קאמילו גוטיירז אמאייה, מנהל המחקר של ESET באמריקה הלטינית, קיבלנו הצצה לאופן שבה תוקפת הנוזקה את הגולשים ברחבי העולם וגם בישראל (כמובן שהשפה מותאמת לשפת הדפדפן במקרה של ההדגמה בספרדית).
הבאנו לכם דוגמא לדרך שבה הנוזקה תוקפת באתר פופולרי לצפייה בסטרימינג. ברגע שילחץ הגולש על הכפתור שכביכול מפעיל את הסרט, נפתח חלון נוסף בדפדפן:

submelius 2

מתוך www.welivesecurity.com/la-es

לטובת הקוראים שלא התנסו בצפייה באתרי צפייה ישירה, ההתנהגות של פתיחת חלון נוסף בהפעלת הסרט אינה יוצאת דופן ואפילו צפויה ו"נורמלית", כאשר נפתחים חלונות שונים עם התראות בסגנון "viruses have been detected" או פרסומות בסגנון "work from home and earn money".
אבל במקרה הזה הדפדפן אינו מפנה לדף נוסף עם פרסומת כפי שקורה בדרך כלל, אלא מוביל לאתר שבו מתבקש הגולש לאפשר הודעה שלא תיעלם או תיסגר בשום צורה עד שהגולש לוחץ "OK".

submelius 3

מתוך www.welivesecurity.com/la-es

ההפניה שקורית באותו הרגע ברקע מבקשת מהגולש להוריד ולהתקין תוסף לכרום שמגיע מחנות האפליקציות הרשמית של גוגל, דבר שיוריד את החשדות של מרבית הגולשים.

כך ייראה הדפדפן לפני התקנת התוסף:

submelius 4

 

 מתוך www.welivesecurity.com/la-es

אם יאשר הגולש את ההתקנה, יופיע רווח ריק במקום שלפני כן הופיע הסמל של תפריט ההגדרות של כרום. אם הגולש ילחץ עליו, הוא יופנה לתוסף נוסף בחנות האפליקציות של גוגל. ניתן לראות שיש רק 3 המלצות על התוסף, שכנראה נכתבו ע"י התוקפים דרך פרופילים מזויפים.

submelius 5

מתוך www.welivesecurity.com/la-es

מה קורה למי שבכל זאת מתקין את התוסף?
בשלב זה, הסרט או הסדרה בסטרימינג יופעלו, ומבחינת הגולש הכול תקין ואפשר להכין פופקורן - אבל בינתיים ברקע הדפדפן שלו הודבק. אם נתבונן בהרשאות שיש לתוסף שהותקן, נראה שהוא יכול לקרוא ולשנות מידע באתרים שבהם מבקר הגולש. ההרשאה משאירה פרצה לתוקפים שמאפשרת להם לשתול קוד זדוני בכל אתר שנפתח בכרום.

submelius 6

מתוך www.welivesecurity.com/la-es

כך ניתן יהיה לראות שבזמן הגלישה באינטרנט ייפתחו לפתע חלונות עם מידע על המערכת, שאישור או סגירה שלהם יוביל לאתרים נוספים בהם יוכלו התוקפים לבחור בקוד הזדוני או פרסומות שיתקפו את הגולש. התוצאה היא "לופ" אינסופי שבו נפתחים עוד ועוד חלונות עם פרסומות, התקפות כופר או גניבת פרטי אשראי.

מה ניתן לעשות אם כבר הורדתי את התוסף?
אם התוסף כבר מותקן אצלכם חשוב להסיר אותו מידית מהדפדפן כרום.
כדי לעשות זאת, ניתן לפתוח חלון חדש ולהקליד בשורת הכתובת של כרום את הפקודה:
chrome://extensions
בתפריט זה ניתן יהיה למצוא את התוסף הזדוני ולהסיר אותו.
כדי להיות בטוחים שהמחשב שלכם לא הותקף ע"י נוזקה נוספת כמו כופר או סוס טרויאני שגונב פרטי אשראי, חשוב גם לסרוק את המחשב באמצעות מוצר אבטחה שאתם סומכים עליו.
עבור גולשים שלא מותקן להם פתרון אבטחה של ESET, ניתן להשתמש בכלי החינמי ESET Online Scanner שעובד ישירות מהדפדפן ויזהה את הנוזקה .

submelius 7

כך נצפתה המתקפה בחודש האחרון בישראל. מתוך האתר www.virusradar.com

ניתן לראות שהאיום Submelius ממשיך לתקוף מספר רב של גולשים בישראל גם ברגעים אלה. בישראל ישנם משתמשים רבים הצופים בתכנים בצפייה ישירה ולכן חשוב להקפיד על עירנות ברשת ולהיזהר באתרי סטרימינג, טורנטים ושיתוף קבצים, במיוחד כאשר הם מבקשים התקנה של תוסף לדפדפן.

האיומים במרחב הקיברנטי נמצאים בעליה מתמדת מידי שנה, כאשר אנחנו הופכים לתלויים יותר ויותר בשירותים מקוונים ומתחברים עם עוד ועוד מכשירים שונים לאינטרנט, גם הנזקים שנגרמים מהתקפות ונוזקות הופכים לגדולים יותר.
אמנם בכל שנה מתגלים איומים חדשים לגמרי, אבל רבים מהם מסתמכים על התקפות ותיקות או משכללים אותן, ואת חלק מהטרנדים בתחום ניתן לצפות על פי ניסיון העבר.

נוזקות הכופר ממשיכות לשלוט
לפני עשור כאשר נדבקנו בוירוס או נוזקה, המשמעות היתה בדרך כלל סרגל כלים מציק, פרסומות קופצות, והאטה בגלישה. לפני 5 שנים כאשר נדבקנו המשמעות היתה גניבה של פרטי כרטיס האשראי שלנו או פרטי הכניסה למייל ולרשתות חברתיות.
הדבקה בוירוס כיום אומרת בדרך כלל הצפנה של המידע האישי והקריטי שלנו, ודרישה לתשלום כופר. זו תוצאה של תהליך שנמשך כבר כ 3 שנים, שהגיע לשיאו במהלך 2016.

2017 1

אחוז של נוזקות כופר מתוך כלל הנוזקות, רבעון ראשון 2016, מקור: InfoSec institute

כיום ידוע לנו על קרוב ל 200 משפחות של תוכנות כופר, כאשר לכל משפחה אלפי ווריאנטים, מה שהופך את נוזקות הכופר לסוג הנוזקות שתופס את הנתח הגדול ביותר בתחום. תהליך שהחל במהלך 2016 וכנראה יתחזק במהלך 2017 הוא מכירה של קוד ליצירת נוזקות כופר בצורה די נרחבת ברחבי ה"דארקנט", כאשר ניתן כבר לראות נוזקות חדשות שפותחו בהתבסס על קוד קיים.

2017 2

 מתוך פורום למכירת נוזקות ב"דארקנט"

אם זה לא היה מספיק, צצו מספר חוקרי אבטחה בשנה החולפת, ששיחררו קוד ליצירת תוכנות כופר בתור proof of concept בטענה שהמטרה שלהם היא לחזק את חברות אבטחת המידע. בפועל צצו בחודשים האחרונים עשרות גרסאות של תוכנות כופר שמבוססות על הקוד שפורסם.
בשורה התחתונה שוק הנוזקות ימשיך להישלט ע"י נוזקות הכופר במהלך 2017, כאשר נוזקות אחרות לגניבת מידע יידחקו הצידה או ישמשו רק בהתקפות ממוקדות.

Ransomware as a service

טרנד נוסף שהחל להתפתח במהלך 2016 הוא נוזקות כופר בתור שירות אוטומטי עבור עבריינים. בהשראת התחום של software as a service שמשתלט על תעשיית התוכנות ושירותי המחשוב, לקחו חלק ממשפחות הפשע המאורגן שמפתחות את נוזקות הכופר את השירות שהן נותנות לעבריינים שמפיצים אותן לשלב הבא.

למרות שכבר קיים קוד פתוח וקוד למכירה של נוזקות כופר, בדרך כלל נדרש העבריין להצטרף למספר שירותים על מנת לייצר מהן כסף. השיטה של ransomware as a service שמיושמת לדוגמא עם נוזקת הכופר Cerber מאפשרת לעבריינים עם ידע טכני בסיסי ביותר להפוך למפיצים שלה, כאשר הם מספקים שירות של יצירת ווריאנטים חדשים, בדיקה שלהם מול מנועים של חברות אנטי וירוס, הקמה והגדרה של שרת התקיפה, והפצה של הנוזקה דרך ספאם, אתרים נגועים או לינקים. העבודה מול משפחת הפשע אפילו אינה דורשת השקעה מראש, אלא תשלום ישיר עבור כל קורבן ששילם את הכופר. החלוקה היא של 40% ליוצרי הנוזקה, ו- 60% למפיץ שלה.

2017 3

מתוך ממשק הניהול של Cerber, ניתן להגדיר הכל אוטומטית, כולל את סכום הכופר

השימוש של משפחות הפשע במספר רב של "שותפים" או "משווקים" מוריד את החשיפה שלהן מול רשויות החוק מצד אחד, ומצד שני מגביר את כמות ה Variants של כל נוזקת כופר בצורה אקספוננציאלית. כך נראה עליה משמעותית נוספת בתחום נוזקות הכופר במהלך 2017.

עליה דרמטית במספר הנוזקות לאנדרואיד
עם ממוצע של מיליון וחצי הפעלות ביום, אנדרואיד היא כבר מזמן מערכת ההפעלה השולטת בשוק הסמארטפונים והטאבלטים, כאשר כבר לפני שנה גוגל הצהירה על קרוב למיליארד וחצי מכשירי אנדרואיד פעילים.

2017 4

השליטה של אנדרואיד בשוק המובייל הולכת ומתבססת, מקור: Statista

פעמים רבות גם הגיעו נוזקות לחנות האפליקציות הרשמית של גוגל. כאשר כל מפתח יכול לשלם סכום חד פעמי של 25$ כדי לפתוח חשבון חדש ולהעלות אפליקציה תוך 24 שעות, גם הסינון של גוגל (נקרא Bouncer) שמשתפר כל הזמן, מפספס מידי פעם נוזקות בתוך ים האפליקציות שמועלות מידי יום. כך מתקיימות אלפי אפליקציות מזויפות ומתחזות שעולות לחנות בשמות משתנים עשרות פעמים ביום.
שיטה נוספת בה משתמשים כותבי הנוזקות היא העלאה של אפליקציה "נקיה" ל Google Play, ולאחר מכן עדכון של האפליקציה שלא דרך החנות הרשמית.
במהלך שנת 2017 נראה כנראה התפוצצות של נוזקות לאנדרואיד, שעל פי סקרים שנערכו לאחרונה בישראל כבר עוקפת את Windows במספר ההתקנים המחוברים לאינטרנט.

Ransomware of things
בהמשך לטרנד שעליו כתבתי בתחזיות שלי ל 2016, מכשירי ה Internet Of Things (IOT) משמשים כבר להתקפות מניעת שירות (DDOS) בצורה נרחבת, כרגע במיוחד באמצעות הנוזקה Mirai, שהצליחו להפיל באמצעותה את חברת Dyn, ספקית DNS מהגדולות בארה"ב, וכתוצאה מכך להפיל שירותים של אתרים גדולים כמו טוויטר, Netflix ו- Amazon.

בניגוד לפרסומים המוקדמים של חברת Dyn, ההתקפה לא בוצעה ע"י מיליוני מכשירים אלא "רק" על ידי כ 100,000 מכשירים נגועים.
כיום אם נחבר מכשיר IOT לאינטרנט עם הגדרות ברירת מחדל וכאשר הוא אינו מוגן ע"י חומת אש, ייקח כ 30 שניות בממוצע עד שיותקף ויתווסף לרשת Botnet שמשמשת להתקפות DDOS.
לפני פחות משבועיים פורסמה פרשה של התקפת DDOS על מערכות חימום חכמות לבתים, ששיתקה את החימום בשני בלוקים של מגורים בפינלנד, מקום שבו מערכת חימום שאינה פעילה בחורף יכולה לגרום אפילו למוות.

פרסום בטוויטר מהשבוע האחרון מראה טלוויזיה של LG שאינה ניתנת לתפעול לאחר הדבקה בתוכנת כופר שיועדה לסמארטפונים מבוססי אנדרואיד. עם המעבר של הרבה מהטלוויזיות החכמות למערכת ההפעלה של אנדרואיד, כנראה שגם נראה התקפות של כופר על טלוויזיות מחוברות לאינטרנט. הדבר פחות ישים על מכשירים "טיפשים" כמו מצלמות, שאינם כוללים דיסק קשיח, ולכן באתחול פשוט של המכשיר תימחק גם תוכנת הכופר.

2017 5

ב-2017 כנראה שנתחיל לראות "נעילה" או אפילו הצפנה בפועל של טלוויזיות חכמות ושל חלק מהתקני ה-IOT, והיעילות בהתקפות יכולה גם להוביל לדרישות כופר תמורת הפסקת התקפות DDoSS על שירותים חיוניים, דבר שיכול לקרוץ לא רק לחובבנים שעוסקים בתחום, אלא גם לעבריינים מקצועיים יותר.

התקפות על רכבים חכמים

רכבים חכמים מתחילים גם הם להפוך למוצר נפוץ בשוק הרכב, ועם הפופולריות שלהם מגיעות כמובן גם ההתקפות.
התקפות עם שלט אוניברסלי "חכם" הן נפוצות מאוד בעולם וגם בישראל בשנים האחרונות, ועם המעבר להנעת רכבים ללא מפתח, חוסכות לגנבים עבודה עם מפתח גנבים או עם כבל ההנעה.
ככל שימשיך המעבר של יצרניות הרכב להנעה ללא מפתח, כך יגברו השנה התקפות אלחוטיות על רכבים.
כאשר אנו מדברים על רכבים חכמים אוטונומיים, שמסוגלים לנהוג בעצמם, הסכנה הופכת למוחשית הרבה יותר. כך הודגמה "חטיפה" של ג'יפ במהלך נסיעה על כביש מהיר לפני כחצי שנה.
כנראה שלא נראה הרבה התקפות כאלה מיושמות במהלך 2017, אבל ככל ששוק הרכב יכניס יותר ויותר רכבים אוטונומיים לייצור, כך גם נראה התקפות שישתלטו על ההיגוי של הרכב, ונוכל כנראה לראות בקרוב התקפות על נהגים תוך כדי נהיגה, ואפילו דרישות כופר תמורת ה"זכות" לקבל בחזרה את השליטה ברכב.

לסיכום
בשנה הקרובה נראה סוגים רבים יותר של נוזקות כופר והתקפות שונות שמשלבות דרישה לתשלום, כמו גם התקפות על מכשירים חכמים שמחוברים לאינטרנט.
חשוב לזכור שכל מכשיר שאנחנו מחברים לאינטרנט חשוף להתקפה, כאשר בדרך כלל ההתקפות הן אוטומטיות, שמירה על עירנות ועל כללי אבטחה בסיסיים תגן עלינו ממרבית ההתקפות.

 

 

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2017, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום