דו"ח: התגלו 96 דוגמאות לכופרת Matrix עם גרסאות חדשות
מאת:
מערכת Telecom News, 5.2.19, 23:47
הטרנד של כופרות ממוקדות ממשיך. דרישות הכופר במטבעות קריפטו הגיעו עד 2,500 דולרים. אמצעי הגישה של התוקפים לרשתות הארגון הוא דרך פיירוולים בהם מופעל Remote Desktop Protocol. מומלץ ליישם 5 אמצעים באופן מידי.
Sophos, שעוסקת בהגנת נקודות קצה ורשת, פרסמה דו"ח אודות משפחת הכופרות
Matrix (מטריקס). הכופרה פועלת מ-2016 והחברה גילתה 96 דוגמאות במרחב הרשת. כמו כופרות ממוקדות קודמות, כולל
BitPaymer,
Dharma ו-
SamSam, התוקפים, שמדביקים מחשבים עם
Matrix, פרצו לרשתות הארגון והדביקו את המחשבים באמצעות
Remote Desktop Protocol (
RDP), כלי גישה מרחוק, שנמצא בילט-אין במחשבי
Windows. יחד עם זאת, שלא כמו משפחות כופרות אחרות אלו,
Matrix מתמקדת רק במכונה אחת ברשת במקום להתפשט באופן נרחב בארגון.
בדו"ח האחרון שלהן, מעבדות
SophosLabs הנדסו לאחור את הקוד והטכניקות, שמיושמים ע"י התוקפים, וכמו גם את השיטות ומכתבי הכופר, ששימשו כדי לסחוט כספים מהקורבנות.
פושעי ה-
Matrix פיתחו את הפרמטרים של ההתקפה שלהם לאורך זמן עם קבצים וסקריפטים
חדשים, שנוספו כדי לפרוס משימות שונות ותוצאות הרסניות שונות ברשת.
מכתבי הכופר של כופרת ה-
Matrix מוטמעים בקוד ההתקפה, אבל הקורבנות לא יודעים כמה הם צריכים לשלם עד שנוצר קשר עם התוקפים. במשך רוב תקופת הקיום של
Matrix, הכותבים השתמשו בשירות הודעות מידיות מוצפן הנקרא
bitmsg.me, אבל שירות זה הופסק כעת והכותבים עברו לשימוש בחשבונות אימייל רגילים.
השחקנים מאחורי
Matrix דורשים כופר במטבעות קריפטו באופן שיהיה שווה ערך לדולר אמריקאי. זהו דבר בלתי רגיל, שכן דרישות למטבעות קריפטו מגיעות בדרך כלל עם ערך ספציפי של מטבעות קריפטו ולא כשווה ערך לדולר.
זה לא ברור האם דרישת הכופר היא ניסיון ישיר להנחיה מוטעית או רק ניסיון להתגבר על התנודתיות הפראית של ערך הסחר של מטבעות הקריפטו.
בהתבסס על תקשורת, ש-
SophosLabs ערכה עם התוקפים, דרישות הכופר הגיעו ל-2,500 דולר אמריקאי, אבל התוקפים, בסופו של דבר, צמצמו את הכופר כאשר החוקרים הפסיקו להגיב לדרישות.
Matrix היא כמו האולר השוויצרי של עולם הכופרות, עם גרסאות חדשות יותר, שיכולות לסרוק ולמצוא קורבנות פוטנציאליים ברגע שנכנסו לרשת. למרות נפח הדוגמאות הקטן, זה לא הופך את הכופרה לפחות מסוכנת.
Matrix מתפתחת וגרסאות חדשות מופיעות ככל שהתוקף משתפר עם לקחים, שנלמדו מכל התקפה.
החברה ממליצה ליישם את 5 האמצעים הבאים באופן מידי:
הגבילו גישה ליישומים בשליטה מרחוק דוגמת
Remote Desktop (
RDP) ו-
VNC.
סריקות מלאות שגרתיות לפגיעויות ומבחני חדירה לאורך הרשת. אם לא ערכתם דו"חות מבחני חדירה לאחרונה, עשו זאת עכשיו. אם לא תענו לעצות, שנותן לכם בודק החדירות שלכם, פושעי הסייבר ינצחו.
אותנטיקציה מולטי-פקטוריאלית למערכות פנימיות רגישות, אפילו עבור עובדים ב-
LAN או
VPN.
י
צרו גיבויים שהם
offline ו-
offsite ופתחו תכנית התאוששות מאסון המכסה את שחזור המידע והמערכות של כל הארגונים, כולם באותו זמן.
השתמשו באמצעי הגנה מתקדמים בעלי יכולות טיפול באיומי כופר, הן בהגנה על תחנות הקצה והשרתים והן בהגנה על שער הארגון.
מידע נוסף בדו"ח המלא -
כאן.