חטפו לכם את הדיסק הקשיח? כך תתגוננו מפני "נוזקות כופר"

חמישה צעדים בהם ניתן לנקוט, על מנת להיערך ולאפשר מניעה של אירועי פריצה ונעילת קבצים לצורך דרישת כופר

אלון בילורובסקי
שתפו בפייסבוק
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקיםכתוב תגובה

וילי סאטון היה פושע אמריקאי מפורסם אשר התפרסם בזכות מעשי שוד הבנקים הרבים שביצע באמצע המאה הקודמת. סאטון, אשר היה משתמש בכישורי משחק ובתחפושות למטרות פשעיו, התפרסם בכך שעל אף שנהג להביא עמו נשק למעשי השוד, הוא מעולם לא ירה בו... מאוחר יותר טען כי הנשק לא היה טעון ושימש לאיום בלבד. לשאלה מדוע שדד בנקים השיב "because that's where the money is".

יותר מחצי מאה לאחר מכן, לפשע יש אמנם פנים חדשות אבל גם מאפיינים דומים. בתקופה האחרונה הולכת וגוברת גם פשיעת הסייבר "האישית". בהפעלת המחשב האישי מתגלה הודעה "קופצת", המעדכנת שכל הקבצים על הדיסק הקשיח הוצפנו וננעלו. הקבצים הם חסרי כל ערך, אלא אם יידע המשתמש כיצד לפענח מחדש את ההצפנה, בעזרת מפתח מיוחד. על מנת לקבל את המפתח, המשתמש נדרש לשלם מאות או אלפי דולרים. ישנן דוגמאות נוספות לנוזקות כופר, אולם הצפנת "קבצי המחשב" היא נוזקת הכופר הנפוצה ביותר כיום. סוג זה של נוזקה כבר זכה לשם Ransomware – מושג המשלב בין "כופר" (Ransom) ובין "תוכנה" (Software).

המשתמש מודבק בקוד הזדוני, בדרך-כלל, באמצעות פתיחת צרופה לדואר אלקטרוני שהתקבל ממקור בלתי ידוע. התוקפים עלולים גם להשתמש בערכות פריצה המנצלות פרצות אבטחה. מתודולוגיית הפשיעה המתוארת נתמכת במודל "החזר השקעה" אטרקטיבי שרק  מדרבן את הפושעים להמשיך ולשכלל את מנגנון הפשיעה. הפושעים מתכננים מנגנון הטעיה והדבקה תמים למראה, אך ברגע שמתבצעת "ההדבקה" , קבצי מחשב הופכים להיות מוצפנים ובלתי נגישים למשתמש. למעשה כל מה שנותר למשתמש לעשות הוא לשלם כופר באמצעות מנגנון תשלום פשוט למדי, המתבסס בעיקר על  רכישת מטבעות ביטקויין והעברתם למקור אנונימי שלא ניתן לאיתור.

בחודשים האחרונים, דיווחו לקוחות למומחי IBM Emergency Response Services, שירותי תגובת החירום של יבמ, על מספר גדל במהירות של אירועי פריצה לצורך דרישת כופר. בנוסף בין אפריל 2014 ליוני 2015, דיווח ה- FBI על 992 פשעים כאלה, ועל הפסדים של יותר מ- 18 מיליון דולר.

סייבר במשטרת ישראל
סייבר במשטרת ישראלצילום: דוברות המשטרה

טכניקות הפשיעה המתוארות זכו גם לתואר "Scareware" – "תוכנת הפחדה": קרבנות הפריצה נתונים גם לאיומים לפיהם הקוד הזדוני הושתל בעת ביקור באתרים בעלי תכנים שהשתיקה יפה להם, ולפיכך עדיף מבחינתם שלא להתלונן כלל. לרוב הנפגעים מתביישים מכדי לשתף פעולה עם מומחי אבטחה על מנת לפתור את הבעיה, ובוחרים במקום זאת לשלם את הכופר.

במקרים בהם דרישות כופר אינן גבוהות מדי, מעדיפים ארגונים רבים להימנע משיבוש מהלך העסקים השוטף,מתהליכי החקירה ומהסיכון לחשיפה ציבורית העלולים לצוץ לאורך הדרך. צוות שירותי התגובה של יבמ ממליץ על חמישה צעדים בהם ניתן לנקוט, על מנת להיערך ולאפשר מניעה של אירועי פריצה ונעילת קבצים לצורך דרישת כופר.

א. להדריך את משתמשי הקצה לבצע הדרכות ותרגולות תקופתיות המתמקדות בזיהוי איומים בפניהם עלולים העובדים לעמוד, איתור קוד זדוני המתניע דרישות כופר – ואופן ההתנהלות בנסיבות אלו.

ב. לחסום צרופות לדואר אלקטרוני הכוללות קבצים ניתנים להפעלה (Executable). לבלום כניסה של קבצים ניתנים להפעלה, לרבות קבצים דחוסים בפורמט ZIP הנפרסים לקבצים בעלי סיומות EXE, COM או SCR.

ג. להגביל הרצת תוכניות מתיקיות זמניות (temp): רוב תוכנות הכופר מתחילות את פעילותן באמצעות ניסיון להעתיק את עומס הביצועים שלהן אל תוך תיקיה זמנית, באופן המאפשר להמשיך בביצוע שרשרת הפעולה.

ד. להקפיד על עדכון תוכנת האנטי-וירוס, ההגנה על משתמשי הקצה וניהול התקנת טלאי אבטחה. פתרונות הגנת מערכות קצה מספקות את מנגנון הזיהוי וההתגוננות הראשוני הנדרש לארגונים, ולפיכך יש להקפיד על עדכונם. אנו ממליצים לשלב כלי הגנה נוספים המנתחים את אופן ההתנהלות של היישומים השונים, ולא רק את חתימת הקוד שלהם. בנוסף, יש לאמץ מדיניות קפדנית של ניהול התקנת טלאי אבטחה ו"הקשחת" התחנה.                                             

ה. לבדוק באופן סדיר את משטר הגיבוי, ולהרחיק מידע קריטי ממערכות הקצה. להקפיד על בדיקה שיטתית של מערכת הגיבוי, ולוודא כי גיבויים אלה אכן מאפשרים שחזור מלא של מכלול הנתונים החיוניים.

הכותב הוא מנהל קבוצת ה-Security בחטיבת התוכנה, ביבמ ישראל

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker