המעקב אחר התפתחות איום WannaCry - ממשיך להיות טורף ומסוכן
מאת: מערכת Telecom News, 19.9.19, 16:51
קצב הזיהוי של WannaCry עדיין עומד על מיליונים בחודש - 4.3 מיליון ניסיונות הדבקה נעצרו במהלך חודש אוגוסט 2019 לבדו. בעוד שהקוד הזדוני המקורי לא התעדכן עד היום, אלפי גרסאות אחרות, בעלות חיי מדף קצרים, מסתובבות בשטח.
סופוס (
Sophos), שעוסקת באבטחת נקודות קצה ורשתות, פרסמה את
WannaCry Aftershock, דו"ח המסכם את הידוע עד כה על הקוד הזדוני הידוע לשמצה
WannaCry, שהתגלה לראשונה בהתקפה גלובלית שהחלה ב-12.5.17.
המחקר, שביצעה
SophosLabs, מראה, ש-
WannaCry לא נעלם, והוא עדיין טורף מסוכן האחראי על מיליוני ניסיונות הדבקה מדי חודש. עוד מגלה הדו"ח, שבעוד שהקוד הזדוני המקורי לא התעדכן עד היום, אלפי גרסאות אחרות, בעלות חיי מדף קצרים, מסתובבות בשטח.
הקיום המתמשך של איום
WanaaCry מיוחס ,בעיקר,
הודות ליכולת של הגרסאות החדשות שלו לעקוף את "מתג החיסול". עם זאת, כאשר חוקרי החברה ניתחו והפעילו מספר דוגמיות, הם גילו, שנוטרלה היכולת שלהן לבצע הצפנה של נתונים כתוצאה מהשחתה של הקוד.
כתוצאה מהדרך, שבה
WannaCry מדביק קורבנות חדשים - הוא בודק האם מחשב כבר הודבק, ואם כן, הוא ממשיך למטרה הבאה - הדבקה של מכשיר בקוד, שאינו פעיל, משמשת למעשה כאמצעי הגנה על המכשיר מפני הדבקה נוספת. באופן זה, הגרסאות החדשות של הקוד הזדוני פועלות כחיסון בלתי מכוון, כשהן מאפשרות למחשבים פגיעים ושאינם מעודכנים סוג של הגנה מפני התקפות חוזרות מצד אותו קוד זדוני.
עם זאת, העובדה, שמחשבים אלה הודבקו מלכתחילה, מצביעה על כך, שלא בוצע במחשבים עדכון אבטחה מפני כלי הפריצה המרכזי המשמש בהתקפות
WannaCry - עדכון, שפורסם כבר לפני יותר משנתיים.
WannaCry המקורי זוהה רק 40 פעמים, ומאז חוקרי החברה זיהו 12,480 גרסאות של הקוד המקורי. בחינה מקיפה יותר של יותר מ-2,700 דוגמיות (המהוות 98% מכלל הזיהויים) חושפת, שכולן שוכללו כדי לעקוף את "מתג החיסול" -
URL ספציפי, שאם הקוד הזדוני מתחבר אליו, הוא מסיים באופן אוטומטי את תהליך ההדבקה. בכולם היה גם רכיב תוכנת כופר, ואף אחד מהם אינו מסוגל להצפין נתונים.
באוגוסט 2019, נתוני טלמטריה של החברה זיהו 4.3 מיליון מופעים של
WannaCry. מספר הגרסאות השונות, שנצפו, עמד על 6,963. מתוכן, 80% היו קבצים חדשים.
חוקרי החברה הצליחו להתחקות אחר ההופעה הראשונה של הגרסה הנפוצה ביותר כיום, שהתרחשה רק יומיים אחר ההתקפה המקורית: 14.5.17. היא הועלתה ל-
VirusTotal, ועדיין לא נצפתה בשטח.
כיצד להגן מפני הקוד הזדוני WannaCry ותוכנות כופר:
- בדקו כי אתם מודעים לכל המכשירים המחוברים לרשת שלכם וכי בכולם בוצעו עדכוני תוכנות אבטחה.
- התקינו תמיד את העדכונים החדשים כאשר הם מתפרסמים, בכל המכשירים ברשת.
- וודאו כי המחשבים מעודכנים מפני כלי הפריצה Eternal Blue המשמש את WannaCry.
- בצעו גיבויים קבועים של הנתונים החשובים ביותר למכשירי אחסון מנותקים מהרשת. זו הדרך הטובה ביותר כדי להימנע מתשלום כופר כאשר נדבקים בתוכנת כופר.
- אין פתרון אבטחה אחד המגן על הכל. מודל אבטחה שכבתי הוא ההמלצה הטובה ביותר לעסקים וארגונים.
- התקינו כלי הגנה המספק הגנת עומק מקיפה בנקודות הקצה, כשהוא משלב מספר טכניקות הדור הבא לזיהוי קוד זדוני, הגנה מפני כלי פריצה, והגנה ותגובה מובנים עבור נקודות קצה (EDR).
פיטר מקנזי, מומחה אבטחה בסופוס ומוביל המחקר: "ההתפרצות של
WannaCry ב-2017 שינתה לעד את אופק האיומים. המחקר ממחיש את מספר המחשבים, שעדיין לא הותקנו עליהם עדכונים. ואם עדיין לא התקנתם עדכונים, שפורסמו לפני יותר משנתיים, מה זה אומר לגבי עדכונים אחרים ,שפורסמו במהלך השנתיים האחרונות?
במקרה הזה, כנראה שלחלק מהקורבנות היה מזל, מכיוון שגרסאות קודמות של הקוד הזדוני חיסנו אותם מפני גרסאות חדשות יותר.
אבל לאף ארגון אסור להסתמך על כך. במקום זאת, ההתנהלות הבסיסית צריכה לכלול מדיניות של התקנת עדכונים ברגע שהם מתפרסמים, ולכלול הפעלה של פתרון אבטחה חזק המגן על כל נקודות הקצה, הרשתות והמערכות".