אנו בטוחים שמרביתכם כבר שמע על מתקפת הכופר העולמית שהתרחשה ברחבי העולם בסוף השבוע באמצעות תוכנת כופר העונה לשם Wanna Crypt. הנוזקה מנצלת פרצה בפרוטוקול התקשורת SMB של מערכת ההפעלה של מייקרוסופט שפורסמה לפני חודשיים ומכונה eternalblue, כאשר הודלפו מסמכים של ה NSA ע"י קבוצת ההאקרים Shadow Brokers. מאז, מיקרוסופט הוציאה עדכון אבטחה למערכת ההפעלה שמכונה MS17-010 (כבר במרץ).

במתקפת הסייבר נפגעו ארגונים קטנים, בינוניים וגדולים, שלא התקינו את עדכון התוכנה שהפיצה מיקרוסופט בחודש מרץ האחרון. ארגונים רבים בישראל ובעולם ממתינים עם ביצוע עדכונים חדשים של מיקרוסופט. עצם ההפצה של התיקון מצביע על מיקום הפרצה, וההאקרים ממהרים לתקוף לפני שהארגונים הגדולים יעדכנו את כל המחשבים ברשת.

מחשב שנפגע והוצפן ע"י WannaCrypt יציג את דרישת הכופר שנראית כך:

האם המתקפה הסתיימה?
יש להתייחס למתקפה כנמשכת, עד לביצוע עדכוני האבטחה המתאימים של מיקרוסופט. כנראה שינסו לנצל חברות שעדיין מתמהמהות בביצוע העדכונים.

האם הרשת שלי נפגעה מההתקפה?
אם מותקנת אצלכם גרסה עדכנית ומעודכנת של ESET ברשת, המשתמשים והמידע שלכם מוגנים – גם אם לא ביצעתם את עדכוני האבטחה של מיקרוסופט עד עכשיו.
ניתן לראות את ציר הזמן שבו ESET עדכנה את מוצריה

איך מזוהה האיום ע"י מוצרי ESET?
מוצרי ESET חסמו את ההתקפה באמצעות הפירצה eternalblue עם מודול הגנת הרשת שמובנה במוצרים שלנו שכוללים חומת אש.

ניתן גם לראות שכבר בחודש אפריל נחסמו התקפות כנ"ל ע"י מוצרי ESET הכוללים חומת אש.

רמת ההגנה עלתה עוד יותר ביום שישי האחרון ה 12 למאי, כאשר יצאה חתימה עבור נוזקת הכופר בגרסתה העדכנית win32/Filecoder.WannaCryptor.D, בעדכון מספר 15404, וחתימה נוספת עבור הפירצה שנקראת
Win32/Exploit.CVE-2017-0147 בעדכון מספר 1507, גם כן ביום שישי.
במקביל מודול ה LiveGrid שלנו הגן גם כן כנגד המתקפה שהחלה בסביבות השעה 11:26 בבוקר יום שישי וזוהתה על ידי המערכת מבוססת הענן מיידית.

ב-18 למאי בוצעה בדיקה של כלל מוצרי האנטי וירוס ומוצרי ה "next gen", שבה רק 3 מוצרים הצליחו לאתר ולחסום את הפירצה EternalBlue. המוצר של ESET הוא אחד מאותם 3 מוצרים. חשוב לציין שהבדיקה נערכה לאחר שמרבית חברות האבטחה טענו שעידכנו את מוצריהן ושהם מגנים בפני הפירצה. הפרטים בקישור הבא.

כיצד תתגוננו מהמתקפה?

עדכנו את מערכת ההפעלה של מיקרוסופט – ככלל, מומלץ לוודא כי ביצוע עדכוני מערכת הפעלה מוגדר לביצוע אוטומטי. כעת וודאו כי ביצעתם עדכון לפירצת האבטחה שבעקבותיה חדרה תכנת הכופר (גם למערכת הפעלה XP יצא עדכון מיוחד בגין אירוע זה). לפרטים המלאים . תוכלו למצוא את הפרטים ואת הקישורים להורדת העדכונים של מיקרוסופט בקישור הבא. קיים עומס רב על שרתי העדכון של מיקרוסופט, כך שניתן גם להוריד ישירות מהשרתים של רשות הסייבר בקישור הבא.

גבו את המידע שלכם - חשוב לבצע עדכון אונליין ועדכון למדיה מקומית במקביל, כמו גם לבצע בדיקה תקופתית של שחזור מגיבוי.

אל תפתחו מיילים לא מזוהים, בדגש על מיילים עם קבצים מצורפים - אל תפתחו מיילים שנשלחים ממקורות לא מזוהים. שימו לב גם לניסוחים בכותרות המיילים הרבה פעמים שגיאות כתיב או כתיבת הספרה "0" במקום האות "O" יכול לתעתע. כמובן שאל תפתחו קבצים ממקור לא מזוהה ואל תלחצו על קישורים (לינקים) לא מוכרים.

סגרו את פורט 445 - שירות ה SMB עובד בפורט 445, ולכן מומלץ לסגור אותו בחומת האש לחיבורים מחוץ ל LAN.

בדקו האם המערכת פריצה - ניתן להוריד את כלי הסריקה של ESET לבדיקה האם המחשב פגיע לפרצת ה SBM שנקראת EternalBlue בקישור הבא.

סגרו את שירות ה SMB - במידה ולא ניתן לבצע מיידית את עדכוני האבטחה של מיקרוסופט, יש לחסום את הגישה מבחוץ לשירות ה SMB באמצעות חומת האש. ניתן גם לנטרל מקומית (מומלץ לכלל הרשת דרך GPO) את שירות ה SMB דרכו מתבצעות מרבית ההתקפות:

ניתן גם לוודא שלא מתבצע שימוש בגרסה הישנה SMBv1 ולשדרג לגרסאות עדכניות באמצעות ה KB של מיקרוסופט בקישור הבא.