מחקר: איך פועלות "משפחות הפשע" של תוכנות כופר?
מאת: מערכת Telecom News, 21.11.19, 12:30
פורסם מדריך הגנה המקיף כלים וטכניקות המשמשים 11 משפחות מרכזיות של תוכנות כופר. מהממצאים עולה, שמתקפה אוטומטית ופעילה (Active) היא הגישה הנפוצה ביותר בקרב תוכנות הכופר המובילות.
סופוס, שעוסקת באבטחת סייבר, פרסמה את
How Ransomware Attacks, מדריך אבטחה המסביר כיצד גרסאות שונות של תוכנות כופר תוקפות ופוגעות בקורבנות. המדריך, שמשלים את
דו"ח האיומים לשנת 2020 שפורסם באחרונה, מציג ניתוח מפורט של 11 המשפחות התוקפניות והנפוצות ביותר של תוכנות כופר, כולל
Ryuk,
BitPaymer ו-
MegaCortex.
המחקר באמצעות
SophosLabs, מציג כיצד תוכנות כופר מנסות לחלוף על פני בקרי האבטחה מבלי שיבחינו בהן, כשהן מנצלות תהליכי מחשוב לגיטימיים ואמינים. לאחר מכן הן רותמות מערכות פנימיות כדי להצפין במהירות את מרב הקבצים ולנטרל תהליכים של גיבוי ואחזור, בטרם צוות אבטחת ה-
IT מספיק להגיב.
הכלים והטכניקות המפורטים במדריך כוללים:
דרכי ההפצה של משפחות תוכנות הכופר המרכזיות. תוכנות כופר בד"כ מופצות באחת מ-3 דרכים:
כ-
cryptoworm, שמשכפל את עצמו במהירות למחשבים אחרים לצורך יצירת התקפה נרחבת ככל הניתן (כגון
WannaCry);
כתוכנת כופר כשירות (
RaaS), שנמכרת
ברשת האפלה כערכה להפצת קוד זדוני (כגון
Sodinokibi);
או באמצעות התקפות אוטומטיות פעילות (
automated active adversary attack), במסגרתן תוקפים מפעילים באופן ידני את תוכנות הכופר, לאחר שביצעו סריקה אוטומטית של רשתות כדי לאתר מערכות עם הגנה חלשה. סוג זה של התקפות הוא הנפוץ ביותר בקרב המשפחות המובילות המפורטות בדו"ח.
תוכנת כופר עם חתימה קריפטוגרפית של תעודה דיגיטלית לגיטימית, שנרכשה או נגנבה. תעודה זו מסייעת לשכנע חלק מתוכנות האבטחה כי הקוד הוא אמין ואינו דורש ניתוח.
אסקלציה של הרשאות באמצעות כלי פריצה מוכנים, כגון
EternalBlue. הדבר מאפשר לתוקף להתקין תוכנות שליטה מרחוק (
RTA) כדי לצפות, לשנות או למחוק נתונים, ליצור חשבונות חדשים עם הרשאות מלאות ולנטרל תוכנות אבטחה.
תנועה רוחבית וצייד ברשת אחר קבצים או שרתי גיבוי, וכל זאת כשהכל נעשה מתחת לרדאר, ובמטרה לייצר את אפקט הפגיעה הרחב ביותר במהלך מתקפת הכופר. בתוך שעה, תוקפים יכולים ליצור קוד, שיעתיק ויפעיל את תוכנת הכופר בנקודות הקצה ובשרתים, וכדי להאיץ עוד יותר את המתקפה, תוכנות הכופר יכולות לבצע תיעדוף של נתונים הנמצאים בכוננים משותפים או מרוחקים, לתת עדיפות לקבצים קטנים, ולהריץ מספר תהליכי הצפנה במקביל.
התקפות מרחוק. לעיתים קרובות, שרתי הקבצים בעצמם אינם נפגעים מתוכנות הכופר. במקום זאת, האיום מופעל בד"כ על נקודת קצה אחת או יותר שנפרצו, ומשם הוא מנצל הרשאות משתמש כדי לבצע תקיפה מרחוק. לעיתים הדבר מבוצע באמצעות פרוקוטול
RDP (
Remote Desktop Protocol), ולעיתים באמצעות תקיפה של פתרונות
RMM המשמשים ספקי שירותים (
MSP) כדי לנהל את תשתיות ה-
IT של לקוחות ומשתמשי קצה.
הצפנת ושינוי שם קבצים. ישנן מספר שיטות שונות להצפנת קבצים, כולל שימוש בכתיבה מחדש על גבי מסמך. אבל רוב ההתקפות משלבות גם מחיקה של קובץ המקור ועותק הגיבוי כדי לפגוע בניסיונות האחזור.
המדריך מסביר כיצד אלה, וכלים וטכניקות נוספים, משמשים את 11 משפחות תוכנות הכופר:
WannaCry,
GrandCrab,
SamSam,
Dharma,
BitPaymer,
Ryuk,
LockerGoga,
MegaCortex,
RobbinHood,
Matrix ו-
Sodinokibi
כיצד להתגונן מפני תוכנות כופר:
- ודאו שיש לכם רשימת מצאי מלאה של כל המכשירים המחוברים לרשת שלכם, ושכל תוכנות האבטחה מעודכנות.
- התקינו תמיד את עדכוני האבטחה האחרונים, מוקדם ככל הניתן, על כל המכשירים ברשת.
- ודאו שכל המכשירים מעודכנים מפני פירצת EternalBlue המשמשת את WannaCry, באמצעות מעקב אחר ההוראות כאן: How to Verify if a Machine is Vulnerable to EternalBlue - MS17-010.
- שמרו על גיבוי קבוע של הנתונים החשובים והעדכניים באחסון מנותק מהרשת. זו הדרך הטובה ביותר להימנע מהצורך לשלם כופר כאשר נפגעים מתוכנת כופר.
- מנהלים צריכים לאפשר אימות רב-שלבי עבור כל מערכות הניהול, כדי למנוע מתוקפים לנטרל מוצרי אבטחה במהלך ההתקפה.
- אין "פתרון זהב" לאבטחה, ומודל של הגנה שכבתית הוא הדרך הטובה ביותר עבור עסקים, זה שמפעיל גישה מקיפה של הגנת עומק לנקודות קצה, בשילוב מגוון טכניקות הדור הבא לזיהוי קוד זדוני, הגנה מניצול פרצות, וזיהוי ותגובה (EDR) מובנים לנקודות קצה.
מרק לומן, מנהל הנדסת מזעור איומים בסופוס, ומחבר הדו"ח: "ליוצרים של תוכנות הכופר יש הבנה טובה מאוד לגבי הדרך בה תוכנות אבטחה פועלות, והם משנים את ההתקפות שלהם בהתאם. כל המאמצים נועדים כדי להימנע מזיהוי בעת שהקוד הזדוני מצפין קבצים רבים ככל הניתן. בכך, הוא מקשה, אם לא מבטל לחלוטין, את האפשרות לאחזור הנתונים. במקרים מסוימים, החלק המרכזי של ההתקפה מתרחש בלילה, כאשר צוות ה-
IT ישן בביתו. עד שהקורבן מזהה מה מתרחש, כבר מאוחר מדי. חיוני להחזיק בקרי אבטחה חזקים, ויכולות ניטור ותגובה, עבור כל נקודות הקצה, הרשתות והמערכות, ולהתקין עדכוני תוכנה בכל עת בה הם מופיעים".