הגרסאות החדשות של תוכנות הכופר בעלייה: Monti, BlackHunt ותוכנת הכופר פוטין
מאת: מערכת Telecom News, 12.2.23, 15:02

מהן התוכנות מתוכנות הכופר הבולטות בתקופה האחרונה וכיצד ארגונים יכולים להתגונן מפני מתקפות הכופר הללו?    

חוקרי FortiGuard Labs, גוף המחקר של חברת אבטחת הסייבר הבינלאומית פורטינט, אספו נתונים אודות מספר גרסאות של תוכנות כופר ברמת סיכון גבוהה, שבלטו לאחרונה במאגרי הנתונים של FortiGuard ובקהילת מודיעין של הקוד הפתוח (OSINT). כל התוכנות, שתועדו, הצפינו קבצים על ההתקנים שהושפעו, יחד עם הדרישה לתשלום כופר עבור שחרורם. החוקרים מספקים תובנות העולות מניתוח תוכנות הכופר הללו בנוגע לנוף מתקפות הכופר המתפתח ללא הרף, לצד דרכי התגוננות מפני המתקפות.   
 
תוכנת הכופר Monti
Monti היא תוכנת כופר חדשה יחסית, שתוכננה כדי להצפין קבצים על מערכות Linux. הקבצים, שהוצפנו, כוללים את הסיומת ".puuuk". כ"כ, דווח על גרסאות אפשריות של Monti הפועלות על מערכות Windows.

בתמונה: קבצים שהוצפנו ע"י תוכנת הכופר Monti
תוכנת הכופר Monti כוללת קובץ txt הכולל את דרישות הכופר עם הכותרת README.txt, שדומה לזה של תוכנת הכופר הידועה לשמצה Conti. בניגוד לתוכנות כופר טיפוסיות, גורם האיום של Monti הפעיל 2 אתרי TOR נפרדים: אחד לאירוח נתונים, שנגנבו מהקורבנות והשני לניהול משא ומתן בנוגע לכופר.

באתר דליפת הנתונים מופיע "קיר הבושה", בו לא מופיעים כרגע קורבנות כלשהם, אך מופיעה הודעה, שיכולה לרמז, שקורבנות רבים של Monti שיתפו פעולה ושילמו את הכופר, מלבד קורבן אחד בארגנטינה. תוכנת הכופר גם כוללת קובץ טקסט עם השם result.txt, שמראה כמה קבצים היא הצפינה במכשיר שנפרץ.
 
בתמונה: אתר דליפת הנתונים של תוכנת הכופר Monti
תוכנת הכופר BlackHunt
חוקרי החברה נתקלו לאחרונה בגרסאות חדשות של תוכנת הכופר BlackHunt. מדובר בתוכנת כופר חדשה יחסית, שלפי הדיווחים ניגשת לרשתות הקורבנות דרך תצורות Remote Desktop Protocol דרך נקודות תורפה.

ניתן לזהות קבצים, אשר הוצפנו ע"י BlackHunt, באמצעות הדפוס הבא של שם הקובץ: [unique ID assigned to each compromised machine].[contact email address].Black. תוכנת הכופר מוחקת גם עותקי shadow, מה שמקשה על שחזור הקבצים.

התוכנה כוללת 2 פתקי כופר: אחד בשם #BlackHunt_ReadMe.hta והשני בשם #BlackHunt_ReadMe.txt. למרות ש-2 פתקי הכופר שייכים ל-BlackHunt, הפתקים כוללים כתובות דוא"ל שונות וגם ID שונים שהוקצו לכל קורבן.

בתמונה: קבצים אשר הוצפנו על ידי תוכנת הכופר BlackHuntL
תוכנת הכופר Putin
Putin היא תוכנת כופר עדכנית המצפינה קבצים על המכשירים של הקורבן. לאחר ההצפנה, התוכנה מנסה לסחוט כסף כדי לשחרר את הקבצים ולא להדליף את הנתונים הגנובים לציבור הרחב. הקבצים, שהוצפנו ע"י Putin כוללים את המילה .PUTIN בסיומת הקובץ.    

תוכנת הכופר כוללת פתק כופר בשם README.txt וקובעת, שלקורבנות יש רק יומיים כדי לבצע את תשלום הכופר. אחרת, הקבצים המוצפנים שלהם לא ישוחזרו. מדובר בשיטה נפוצה הנמצאת בשימוש של גרסאות כופר רבות כדי להלחיץ את הקורבנות לשלם את הכופר במהירות האפשרית.
 
בתמונה: קבצים שהוצפנו על ידי תוכנת הכופר Putin
פתק הכופר מכיל 2 ערוצי טלגרם: אחד לניהול משא ומתן לגבי תשלום הכופר והשני להדלפת הנתונים הגנובים של הקורבנות. בזמן החקירה של תוכנת הכופר, הערוץ המשמש להדלפת הנתונים כלל חברות בסינגפור ובספרד. יחד עם זאת, התאריכים של הפוסטים מגיעים רק עד לנובמבר 2022, מה שמעיד על כך, שתוכנת הכופר Putin עדיין לא התפשטה בצורה רחבה.  
 
בתמונה: ערוץ הטלגרם של תוכנת הכופר Putin
כיצד ניתן להתגונן מפני מתקפות כופר
בשל הקלות שבה תוכנות הכופר עלולות לגרום לשיבוש הפעילות היום-יומית, להשפיע על המוניטין של הארגון, לגרום להרס או דליפה של מידע מזהה אישי (PII) ועוד, חוקרי האבטחה של החברה ממליצים לעדכן בקביעות את האנטי-וירוס וחתימות ה-IPS.

היות ומרבית תוכנות הכופר מסופקות באמצעות פישינג, ניתן להיעזר בהדרכה החינמית NSE 1, שמתמקדת במודעות לאבטחת מידע וכוללת מודול אודות איומי אינטרנט, שתוכנן כדי לעזור למשתמשי קצה ללמוד כיצד לזהות ולהגן על עצמם ממגוון סוגים של מתקפות פישינג. ארגונים יכולים להוסיף את הקורס בקלות לתוכניות ההדרכה הפנימיות שלהם.

כ"כ, ארגונים יצטרכו לבצע שינויים מהותיים לתדירות, המיקום והאבטחה של גיבוי הנתונים שלהם כדי להתמודד ביעילות עם סיכוני תוכנות הכופר המתפתחים במהירות. בשילוב עם פגיעה בשרשרת האספקה הדיגיטלית וכוח העבודה המחובר לרשת הארגונית מרחוק, קיים סיכון ממשי כי המתקפות עלולות להגיע מכל מקום.

ארגונים צריכים לשקול לכלול פתרונות אבטחה מבוססי-ענן כמו SASE כדי להגן על התקנים מחוץ לרשת; אבטחה מתקדמת לנקודות קצה כמו פתרונות EDR (איתור ותגובה לנקודות קצה), שיכולים לשבש את המתקפה גם תוך כדי הפעילות; ואסטרטגיות גישת Zero Trust וחלוקת רשת המגבילות את הגישה ליישומים ומשאבים בהתבסס על מדיניות והקשר כדי להפחית את הסיכון וההשפעה של מתקפת כופר מוצלחת.

שיטות העבודה המומלצות ביותר כוללות סירוב לשלם כופר
ארגונים כמו CISA, NCSC, ה-FBI ו-HHS מזהירים את קורבנות מתקפות הכופר מפני תשלום כופר, היות והדבר לא מבטיח את השבת הקבצים. לפי ההנחיות של משרד האוצר האמריקאי לבקרה על נכסים זרים (OFAC), תשלום כופר עלול לעודד את הפושעים לתקוף ארגונים נוספים ולעודד גורמי פשיעה אחרים להפיץ תוכנות כופר ו/או לממן פעילויות בלתי חוקיות.  

עדכון 12.2.23: "בהמשך לדיווחים בתקשורת על מתקפת הכופר על מוסד הטכניון שהתרחשה בשעות הלילה ונמצאת עדיין תחת בדיקה, מצורפת התייחסות של חברת אבטחת המידע ESET לנושא.
תגובה למתקפת הכופר על הטכניון.
אלכס שטיינברג מנהל מוצרים בחברת אבטחת המידע ESET מציין כי "הטכניון הוא מוסד מוערך ומוביל להשכלה גבוהה בישראל. 
מעבר להיותו מוסד להשכלה הוא מרכז בתוכו מחקרים עם תרומה משמעותית בארץ ובעולם.
המוטיבציה לגניבת מידע מהטכניון יכולה להיות מכמה סיבות, הראשונה היא על רקע מדיני, מדינות כמו איראן, סין ורוסיה למשל יכולות להפיק תועלת רבה מהמידע. 
בנוסף יתכן כי הם רוצים לגנוב את המידע כדי למכור אותו למי שיהיה מוכן לשלם עבורו וכך להרוויח. 
בהודעת הכופר שמופצת נראה התוקפים מבקשים סכום כספי גבוה, אך זה יכול להיות מסווה למטרות אחרות.
ישנם מקורות שונים שמציינים כי גופים ביטחוניים ופרטיים מבקשים מהטכניון לבצע מחקרים אשר תוצאותיהם הן פרטיות ולא מיועדות לפרסום. אנו מקווים כי מידע רגיש לא דלף במסגרת המתקפה הזו".

אדי אביעד, סמנכ"ל, מנהל תחום הסייבר בברוקר הביטוח Aon ישראל: 
"מתקפת הסייבר נגד הטכניון מלמדת אותנו שוב על הפגיעות של ארגונים בישראל למתקפות של האקרים בין אם מדובר במניעים כלכליים או במניעים אידאולוגיים נגד מדינת ישראל. זו אינה הפעם הראשונה שמוסד אקדמי בישראל חווה מתקפה משמעותית. כארגונים המחזיקים מידע רגיש נרחב, מוסדות אקדמאים מהווים מטרה נוחה לתוקפים שכן בניגוד לארגונים המוגדרים כתשתית מדינתית קריטית ובניגוד לארגונים מסחריים בעלי תקציבים גדולים, מערך אבטחת המידע של מוסדות אקדמיים, ברוב המקרים, אינו חזק ורחב מספיק על מנת להתמודד עם אירועים כאלו.
צפוי כי במהרה תשאל השאלה האם הטכניון היה ערוך כיאות להתמודדות עם אירוע מסוג זה וכיצד ההנהלה והדירקטוריון של הטכניון נערכו מבעוד מועד על מנת להיות מוכנים עם תוכניות פעולה לטיפול באירוע המשברי אותם הם חווים כעת.
שאלה חשובה נוספת שסביר שתעלה בעקבות האירוע, היא האם לטכניון יש ביטוח סייבר בתוקף שיכול לכסות את הנזקים שיגרמו למוסד ולצדדים שלישיים בעקבות האירוע של דליפת המידע והחדירה למערכות".
אביעד מוסיף כי "אחד היתרונות החשובים בעריכת ביטוח סייבר היא עצם התהליך המעמיק והקפדני אותו המבוטחים עוברים כאשר הם רוכשים פוליסה חדשה שמאפשר להם להיות ערוכים ככל הניתן בצורה מיטבית למתקפה. במסגרת אותו תהליך מעמידה חברת הביטוח שורה ארוכה של דרישות בקשר לאמצעי אבטחת המידע וניהול הסיכונים של החברה המבוטחת. חברות שאינן עומדות בתהליך החיתום אינן ברות ביטוח. לחברות הביטוח ישנו ניסיון עצום בטיפול באירועים רבים ומורכבים ברחבי העולם ובעזרת ניסיון זה במסגרת תהליך החיתום המבוטחים אף לומדים מהמבטחים כיצד מצופה מהם להתנהל, לפני תוך כדי ואחרי האירוע".
"בנוגע לנושא הכופר, מדובר כרגע על סוגיה מורכבת, שכן ישנן מדינות ששוקלות לאסור על ארגונים ומבטחים תשלום כופר להאקרים. כלומר, השאלה האם ארגונים או מבטחים רשאים מבחינה חוקית לשלם את דרישות הכופר של ההאקרים הינה שאלה אתית שהתשובה עליה משתנה ממדינה למדינה, שכן ע"י תשלום הכופר הם למעשה מממנים תעשייה שלמה של פשיעה על כל המשתמע מכך".