ה-Bad Rabbit: מתקפת כופר חדשה מתפשטת ברחבי אירופה
מאת:
מערכת Telecom News, 25.10.17, 11:47
אמש סבלו כמה ארגוני תחבורה באוקראינה וארגונים ממשלתיים ממתקפת סייבר וכתוצאה מכך מחשבים הוצפנו. מערכות המחשב במטרו של קייב, שדה התעופה אודסה וגם מס' ארגונים ברוסיה נפגעו מהמתקפה.
למדינה יש את האמצעים לבצע מתקפה כזאת. עדכונים בתחתית הכתבה על פיתוח חיסון למתקפה, המלצות להתמודדות ועוד.
עפ"י זיהויים של חברת אבטחה המידע
ESET נוזקת הכופר המכונה
Bad Rabbit התפשטה אמש והשפיעה בעיקר על רוסיה ואוקראינה. בנוסף, התגלו עדויות גם בבולגריה, טורקיה, יפן וייתכן שמדינות נוספות.
Bad Rabbit מצטרף ל-
NotPetya ו-
WannaCry, 2 מתקפות הכופר הגדולות ביותר שאירעו בשנה האחרונה.
המטרות הראשוניות כללו את משרד התשתיות של אוקראינה ומערכת התחבורה הציבורית של קייב. שירות החדשות הרוסי
Interfax גם פרסם עדכון רשמי לפיו הוא נפרץ ושהוא פועל כדי לשחזר את המערכות שלו.
חוקרי אבטחת המידע ב-
ESET מצאו קשר ישיר לנוזקת הכופר
NotPetya שפגעה ברחבי העולם וגרמה לנזק משמעותי רק ביוני האחרון.
שלא כמו במתקפה של
NotPetya, שהתפשטה באמצעים אוטומטיים, במקרה של
Bad Rabbit מסבירים ב-
,ESET שההדבקה התבצעה באמצעות שליחת מיילים נגועים ודרך אתרים נגועים באמצעות חלון קופץ, שמבקש לעדכן את
Flash Player. כאשר הקורבן נכנס לאתר נגוע הוא נדרש להוריד ולהתקין קובץ מזויף
Adobe Flash ובכך הקורבנות נדבקים.
תמונה 1: הדרישה להורדת עדכון קובץ מזויף
Adobe Flash
כל מי שנכנס לאתרי התקיפה הנגועים בעצם גם דיווח אוטומטית לתוקפים את המידע:
Browser User-Agent,
Referrer,
Cookie from the visited site,
Domain name of the visited site.
באמצעות המידע הנ"ל החליטו התוקפים אם מדובר במטרה המעניינת אותם ואם להפעיל עליה את ההתקפה או לא.
פרט להצפנת הקבצים כמו כל נוזקת כופר, נעשה שימוש בכלי לגיטימי כדי להצפין ה-
MBR (הצפנה של הדיסק הקשיח כולו) והמשך ההפצה מחשבים נוספים ברשת באמצעות כלי פריצה. כדי לשחרר את הקבצים והדיסק התוקפים דורשים כופר.
תמונה 2: כך נראית דרישת הכופר:
נכון לעכשיו אין דיווחים על פגיעות בישראל.
אמיר כרמי, מנהל הטכנולוגיות של
ESET בישראל: "כל הארגונים הגדולים, שנפגעו בהתקפה הנוכחית, נפגעו באותו הזמן בדיוק. המשמעות היא, שסביר להניח, שהתוקפים כבר פרצו לאותן הרשתות מבעוד מועד והכינו את ההתקפה ושבעצם כל הסיפור הזה של הפצה דרך אתרים נגועים וספאם הייתה מסווה לכך, שמדובר בהתקפה מתוחכמת ומתאומת, שכנראה רק למדינה יש את האמצעים לבצע מתקפה כזאת".
עדכון 12:06: עדכון: חברת הסייבר הישראלית סייבריזן
(Cybereason) פיתחה חיסון למתקפת הסייבר שפרצה אמש במזרח אירופה. כשהיא משתקת, כאמור, שדה תעופה ותחנות רכבת באוקראינה, משביתה סוכנויות ידיעות ברוסיה, ופוגעת בעסקים נוספים בטורקיה, גרמניה, בולגריה וממשיכה למדינות נוספות.
עמית סרפר, חוקר בכיר בסייבריזן: "מדובר בגרסה חדשה של נוזקה המוכרת בשם
NotPetya,. החיסון שפיתחנו אינו מחלץ מחשבים, שכבר נפלו קורבן למתקפה, אלא מאפשר למנוע מהנוזקה להשתלט על מחשבים נוספים ולשתק פעילות של ארגונים".
טרם ידוע בוודאות מי התוקף האנונימי, אך בעת פיענוח הקוד הזדוני נתגלו שמות של דמויות ממשחקי הכס כמו ויסריון, רנגל, דרוגו ונראה שהתוקף המסתורי מעריץ של הסדרה.
קורבנות ההתקפה נשלחים לדף המנחה כיצד לקבל גישה לקבצים המוצפנים, ע"י העברת תשלום כופר בסך 0.05 ביטקויין שהם שווי ערך ל- 286 דולרים. המסך משלב תוכנת טיימר המבצעת ספירה לאחור של 41 שעות ובתום פרק הזמן הקבצים יימחקו לצמיתות באם לא שולם הכופר. הנוזקה מכילה טכנולוגיות להשבתת מחשבים, שפותחו על ידי הסוכנות הלאומית לביטחון של ארה"ב, ודלפו ברשת לשימוש לרעה של האקרים.
סייבריזן מציעה תוכנה חינמית להגנה על מחשבים עסקיים ופרטיים מפני כופר, ניתן להורידה ללא תשלום בקישור -
כאן.
עדכון 14:23: עדכון ה-CERT הישראלי: ככל הנראה התקיפה אינה כוללת ניצול פגיעות אלא שיטוי במשתמש. גלישה לאתר חדשות לגיטימי נגוע (תקיפה מסוג
Watering Hole) מעבירה את המשתמש לאתר הנשלט ע"י התוקפים, שם ישנו עדכון מזויף לתוכנת
Flash. הורדת והרצת העדכון המזויף מפעילה את הפוגען.
המשתמש צריך ליזום את הפעלת הפוגען והוא אינו מופעל אוטומטית. המשתמש גם צריך לאשר לפוגען שימוש בהרשאות המתאימות UAC כדי להתקין את הפוגען
.
הפוגען מתפשט ברשת באמצעות חילוץ סיסמאות מהעמדה בעזרת
Mimikatz, ועושה שימוש ברשימת שמות משתמש וסיסמאות מוגדרת מראש. ההתפשטות מבוצעת באמצעות פרוטוקול
SMB ואפשרי, שמבוצעת גם תוך שימוש ב-
WMI. ההצפנה מתבצעת באמצעות תוכנה לגיטימית בשם
Diskcryptor.
הפוגען עושה שימוש בשירות (
service) להפעלת ההצפנה. שם השירות
Windows Client Side Caching DDriver.
הפוגען עושה שימוש ב-
scheduled tasks. שמות האירועים המתוזמנים הם שמות הדרקונים בסדרה משחקי הכס -
Drogon, Rhaegal, Viserion .
מומלץ:
לעדכן מנועי
AV בתחנות, בשרתים, ובשרתי הדוא"ל.
לחסום תעבורה לשרתי ההפצה של הפוגען, שכתובתו
1dnscontrol.com או 5.61.37.209
הגדרה של קבצים בשם
c:\windows\infpub.dat, c:\windows\cscc.dat ומניעת כל הרשאה עליהם כולל הרשאה מורשת (
inheritance) עשויה למנוע את ההדבקה.
למנוע ממשתמשים הורדת קבצי
EXE ישירות לעמדה באמצעות הגדרות מתאימות בפרוקסי הארגוני (אם קיים). הורדה של קבצים בכלל וקבצי
EXE בפרט מרשת האינטרנט צריכה לעבור הלבנה מתאימה ע"י גורם מורשה בארגון.
עדכוני תוכנה יש לבצע באופן מנוהל ע"י הארגון. למשתמשים המבצעים עדכוני תוכנה בעצמם, מומלץ לבצע העדכונים מתוך התפריט המתאים בתוכנה עצמה או בגלישה ישירה לאתר היצרן, ולא להתפתות להרצת עדכונים מאתרים עלומים. מומלץ גם לבדוק את החתימה הדיגיטלית על קובץ העדכון, אם קיימת.
אם אפשרי מבחינה ארגונית, למנוע תעבורה בפרוטוקול
SMB בין עמדות משתמשים בארגון. תעבורת
SMB צריכה להתבצע רק בין עמדות המשתמשים לשרתים השונים.
אם יש
VPN המחובר לרשתות באוקראינה, להגביר את הניטור על קישור זה ואם אפשרי מבחינה עסקית, לשקול לנטרלו עד שיתבררו מימדי התקיפה.
לעשות שימוש במנגנון לניהול משתמשים בעלי הרשאות מנהלן מקומי בעמדות המשתמשים. כך, שבכל עמדה חשבון זה יהיה בעל סיסמה שונה, שתשתנה באופן עיתי.