מתקפות כופרה ברחבי אירופה ובמיוחד בספרד ע"י נוזקה ממשפחת WannaCry
מאת:
מערכת Telecom News, 13.5.17, 03:08
עדכונים שוטפים בתחתית הכתבה.
ביממה האחרונה זוהו מתקפות כופרה מאסיביות נגד עשרות מדינות באירופה בהן ספרד, בריטניה, רוסיה ופורטוגל באמצעות פוגען כופר משפחת.WannaCry ערוץ ההתפשטות מנצל פגיעות מוכרת של מיקרוסופט.
החל מאתמול
זוהו התקפות כופרה מאסיביות נגד עשרות מדינות באירופה ובראשן ספרד, בריטניה, רוסיה ופורטוגל. התקיפה מנצלת חולשת אבטחה, שפורסמה בהדלפות
Shadow Brokers במהלך חודש שעבר. ה-Shadow Brokers זו הקבוצה,
שהפיצה בשנה שעברה כלי פריצה, שנגנבו מהסוכנות לביטחון לאומי של ארה"ב (NSA).
ביממה האחרונה זוהו מתקפות כופרה מאסיביות נגד עשרות מדינות באירופה באמצעות פוגען כופר ממשפחת
.WannaCry
דיווחים רבים אודות המתקפה התקבלו מלפחות 16
בתי חולים ברחבי
בריטניה. ב
ספרד, אחת הנפגעות העיקריות היא ענקית התקשורת
.Telefónica
כמו כן, נפגעו
חברת MegaFon הרוסית, המשטרה הרוסית ומשרד הפנים הרוסי. (הנסיון לפגוע בבנקים וברכבת ברוסיה נכשל). נפגע גם קונצרן הרכב הצרפתי-יפני רנו-ניסאן בצרפת, בריטניה וסלובניה. נפגעו גם בתי חולים וחברות תקשורת בשאר מדינות אירופה, וגם בפיליפינים ווייטנאם ובכמה מדינות נוספות אחרות מחוץ לאירופה: נפגעה, למשל, חברת המשלוחים האמריקאית FedEx.
עפ"י הערכות נראה, שהתקיפה החלה עם שליחת דואר אלקטרוני, באמצעות קוד
JS או נוזקה אחרת, שמפעילה
Dropper הניגש אל הכתובת:
hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
לצורך הורדת ווריאנט של
.WannaCry
נוזקת הכופר נוצרה על המחשב תחת השם
tasksche.exe ותהליך הצפנת הקבצים מתחיל. נראה כי בשלב זה הכתובת אינה פעילה.
במחשבים שנפגעו הופיעה הודעת כופר ובה דרישה לשלם 300 דולרים בביטקוין כדי לשחרר את הנעילה. על התשלום להיות מועבר תוך 3 ימים ולא, גובה הכופר יוכפל. אם הכסף לא יתקבל תוך שבוע – כל הקבצים יימחקו. ניתן להעיר, שהסכום לא נחשב גבוה והוא כ-0.18 ביטקוין.
ה-
CERT הספרדי הוציא עדכון המציין, שערוץ ההתפשטות של הכופרה מנצל פגיעות מוכרת של
מיקרוסופט ,MS17-010 שתוקנה במרץ 2017 וכולל פגיעות בפרוטוקול
.SMB V1
ממיקרוסופט נמסר, שמשתמשי ווינדוס, שהתקינו תוכנת אנטי-וירוס חינמית ועדכוני ווינדוס מוגנים מהמתקפה. בנוסף, החברה הוסיפה אמצעי זיהוי והגנה מפני הנוזקה:
RANSOM:WIN32.WANNACRYPT
המלצות:
יש לוודא התקנת העדכון של מיקרוסופט בהקדם האפשרי
,https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.
רצוי לשקול לכבות
SMB V1 בשרתים במידה ואין פגיעה בפעילות הארגונית.
יש לוודא, ששרתי
SMB לא נגישים מהאינטרנט.
עדכון האינדיקטורים במערכות הארגון –
כאן.
עפ"י מעבדת קספרסקי, נפגעו 74 מדינות. חברות אבטחה אחרות טוענות למספר מדינות נמוך יותר סביב 60, ואחרות טוענות למספר קרוב ל-100 ואף יותר. עם זאת, ממדי המתקפה לא ברורים עדיין במלואם.
עדכון 11:00: יכול להיות שגם
ישראל נפגעה ואם כן אז בסקאלה נמוכה ביותר ותיתכן פגיעה עתידית (לכן צריך להתגונן, ולכן יש כוננות בתשתיות המים והאנרגיה בארץ). לא ברור עדיין אילו ארגונים נפגעו בארץ והאם בכלל נפגעו. עם זאת, מהרשות הלאומית להגנת הסייבר נמסר, שבארץ לא זוהתה עדיין תוכנה זדונית במערכות פועלות, ומכיוון שרוב הארגונים והעסקים לא פועלים בשבת, מערכות רבות אינן עובדות. אולם, אין זה אומר, שלא יכולות להתגלות פגיעות ושלא תיתכן פגיעה מחר.
בסקאלה נמוכה נפגעו ארה"ב, קנדה, מדינות דרום אמריקה ובאזורנו - ירדן, מצרים, איראן וערב הסעודית.
כדי להתגונן מהתקפות סייבר וביניהן מתוכנת הכופר WannaCry, שהייתה, כאמור לעיל, במרכז ההתקפה העולמית, אפשר להיעזר בתוכנה חינמית של חברת הסייבר הישראלית "סייבריזן", שמגנה מפני 99% מסוגי ההתקפות כולל WannaCry וניתנת להורדה בקישור https://ransomfree.cybereason.com/.
עדכון 14:47: מסתבר, שחברות אבטחה עובדות במרץ לסייע לנפגעים במתקפות הכופר. אחד מקוראינו מצפון הארץ דיווח, שזכה לקבל טיפול טוב ביותר על פגיעה, שהייתה לו בתוכנת כופר, שחדרה למחשבו, מ
צוות בקרית שמואל, שהצליח לנקות את המחשב ולהחזיר לו באופן מלא את הקבצים, שנפגעו בתוכנת הכופר.
מומלץ להיעזר באתר
NoMoreRansom בעברית, בשיתוף משטרת ישראל, שמכיל כלי התמודדות בחינם לטיפול במחשבים שנפגעו, למי שרוצה להתמודד בעצמו עם תוכנות כופר.
עדכון 18:07: הודעת
יבמ בהתייחס לישראל והמלצות למזעור הפגישה בארגונים ומשתמשים פרטיים:
אלון בילורובסקי, מנהל פתרונות האבטחה, בחטיבת
Cognitive Solutions ב
IBM- ישראל: "צוותי אבטחה בארגונים בישראל נמצאים בסוף השבוע במרוץ מסביב לשעון כדי לוודא עדכון של טלאי האבטחה לפני הגעת העובדים מחר למשרד. את היקף הנזקים למשק הישראלי עוד מוקדם לדעת, מכיוון שההתקפה פרצה ביום שישי בערב שעון ישראל, כשהחברות והארגונים אינם עובדים. ארגונים, שאימצו את ההנחיות ומפעילים שגרות עדכון טלאים לתחנות עבודה ושרתים ומערכות איתור אנומליות, נמצאים במוכנות גבוהה וקרוב לוודאי, שיבלמו את ההתקפה".
כדי למזער את הפגיעה בארגונים ובמשתמשים פרטיים במקרה של
WannaCry, צוות
X-Force, גוף מודיעין סייבר עולמי של
IBM Security מנהל חמ"ל מודיעין מתגלגל פתוח ונגיש ללקוחות, שמתעדכן בתמונת המצב העולמית. פרטים ניתן למצוא -
כאן.
עדכון 18:20: הודעת
רדוור:
מחלקת המחקר של רדוור מוסרת, ש-
WannaCrypt היא תוכנת כופר, שמיקרוסופט כבר פרסמה תיקון עבור פרצה זו ב-14.3.17 לאחר ש-
shadow brokers חשפו את
EternalBlue , שהוא סוג של פרצת אבטחה בשירותי שיתוף קבצים של מייקרוסופט (
SMB).
לתוכנת הכופר הזו יש יכולות המאפשרות להתפשט ברחבי הרשת. לתוכנת כופר זו מספיק מחשב בודד נגוע, שביכולתו להפיץ במהירות את הנוזקה למחשבים רבים ברשת כולה.המתקפה הזו מדגישה את הצורך לעדכן את המחשבים באופן קבוע.
על אף שניתן היה לעדכן את המחשבים מזה חודשיים, מספר רב של ארגונים לא עשה זאת!
רדוור מדגישה, שכופר הייתה המוטיבציה מספר 1 למתקפות סייבר ב- 2016, וש-49% מהארגונים דיווחו, שנפגעו ממתקפת כופר. במסגרת הדו"ח הזה חזתה החברה, שב-2017 מתקפות הסייבר תעלינה מדרגה ותפגענה במערכות חשובות לאין ערוך.
עדכון 18:37: הודעת חברת
Safe-T:
Safe-T, ספקית של פתרונות גישה ושיתוף מאובטח למידע ארגוני ממליצה לנוכח מתקפת הכופר:
לשמור את כל המידע הארגוני במאגר מידע מרכזי אחד.
לגבות את מאגר המידע בצורה תכופה.
לוודא, שגישת העובדים למאגר המידע נעשית לא בצורה ישירה אלא דרך מוצר ניהול העברת מידע.
להפעיל
policy על כל פעולה הנעשית על קובץ כדי לוודא, שהוא לא מוצפן ע"י תוכנת צד ג' או משתמש לא מורשה.
לנטר מעבר של קבצים ברשת ולוודא, שהם לא זולגים מחוץ לארגון.
החברה השיקה פתרון הגנה מפני מתקפות כופר -
Secure Data Exchange (SDE) שנועד למנוע הצפנה של מאגרי המידע של הארגון. הפתרון מותקן חד-פעמית לכלל הארגון כשער לפני כל המידע הארגוני, ומונע מכל מתקפת כופר לבצע שינוי לא מאושר בקבצים הארגוניים.
שחר דניאל, מנכ"ל
Safe-T: "מתקפות מסוג כופרות תמשכנה לפעול מול ארגונים פרטים וציבוריים, במיוחד אלה, שמחשביהם אוגרים מידע קריטי אותו ניתן לגנוב או לדרוש עבורו כופר. השוק חייב להצטייד בפתרונות המסוגלים להתמודד עם מתקפות אלו ולהבטיח את שלמותו ותקינותו של המידע שבידיו".
עדכון 20:40: עפ"י
הגארדיין הבריטי, הפצת תוכנת הכופר נעצרה לאחר שחוקר אבטחה בריטי בן 22 המכונה MalwareTech מצא "מתג כיבוי" בתוכנה. הוא ראה שהתוכנה מנסה להתחבר לשם דומיין מסוים, שלא היה רשום. לכן, הוא קנה אותו ב-10.69 דולרים. כוונתו הייתה לנטר את התפשטותה ולראות מה ניתן לעשות מאוחר יותר. אך הקנייה עצרה כרגע את ההתפשטות. אולם, התוקפים יכולים מיד לשנות את הקוד ולהתחיל שוב. בכל מקרה, הוא הצליח להאט את התפשטות הנוכחית של הכופרה. בזמן שהדומיין נרשם זה היה מאוחר לגבי אירופה ואסיה, אך זה נתן לארה"ב, קנדה, דרום אמריקה וכד' זמן להגן ולהתקין עדכוני אבטחה על המחשבים. למעשה, ההאקר עשה טעות שלא קנה בעצמו את הדומיין הזה מראש, שהיה חלק בשיטת תכנון ההתקפה שלו. חוקר האבטחה הסביר כדלקמן:
The kill switch was hardcoded into the malware in case the creator wanted to stop it spreading. This involved a very long nonsensical domain name that the malware makes a request to – just as if it was looking up any website – and if the request comes back and shows that the domain is live, the kill switch takes effect and the malware stops spreading. The domain cost $10.69 and was immediately registering thousands of connections every second
עדכון 14.5.17, 12:14: הודעת הסטארטאפ הישראלי
Spot.IM:
גם טוקבקים עלולים להדביק בכופר
- כחלק מהתקפת הסייבר בוצעו ניסיונות להפיץ תוכנות כופר גם דרך טוקבקים הנראים תמימים. ההאקרים מנסים לנצל את הבהלה, שיוצרים הדיווחים על המתקפה, ושותלים בטוקבקים קישורים הממליצים על הורדת תוכנות הגנה, שלמעשה, מובילים להידבקות בכופר. ניסיונות כאלה של "פישינג" באתרי חדשות בינלאומיים יורטו ונבלמו ע"י
.Spot.IM
ההגנה הטובה ביותר מפני ניסיונות מתקפה דרך הטוקבקים היא לא להיכנס לקישורים חשודים ישירות מתיבות התגובות. במידה ויש ענין באחד מהם, לחפש באופן עצמאי את האתר דרך מנוע חיפוש בדפדפן.
עדכון 14.5.117, 12:21: הודעת חטיבת
CyberSecurity ב-
:U-BTech Solutions
כדי להתגונן יש בשלב הראשון:
לא לפתוח מיילים חשודים משולחים לא מוכרים. ובמידה ונפתחו, יש לבצע ניתוק של תחנת הקצה באופן מיידי (במיוחד בתחנות קצה בגרסאות של
Windows 7 ומטה).
במידה והרקע של שולחן העבודה התחלף לרקע שחור ואדום עם הודעה מסוימת, יש לנתק את תחנת הקצה מהרשת מיידית.
יש לנטר את התקשורת בארגון מול פורט 445 ולוודא שאין תעבורה מסיבית.
בשלב השני:
לבצע עדכון
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
לבטל
SMBv1 בתחנות הקצה ושרתים של
Windows 7\Windows Server 2008 ומטה.
לחסום תעבורה בפורט 445 מול
Firewall בין רשתות שונות שבהן קיימות גרסאות ישנות של תחנות קצה.
לוודא עדכון אנטי-וירוס בתחנות קצה.
עדכון 14.5.17, 12:43: הודעת
נטאפ (NetApp) ישראל:
בד"כ, הדרך להתמודד עם איום תוכנות הכופר היא באמצעות הגנה רב שכבתית הכוללת שימוש בפלטפורמות של הדור הבא כולל חומות אש (
firewalls), מערכות גילוי חדירה, מערכות מניעת חדירה (
IPS) וסינון רשת. לכן, כאשר חושבים על הגנה מפני תוכנות כופר, חושבים בעיקר על חברות סייבר. אך למעשה, הפתרון להתמודדות עם תוכנות זדוניות אלו עבור עסקים וארגונים טמון גם אצל חברות אחסון.
פתרון כזה פועל כך: כאשר תוכנה זדונית מקודדת את הקבצים של הארגון, שיעור הנתונים משתנה בצורה ניכרת והכופר משפיע עוד ועוד על קצב השינוי של הנתונים. יש כלי ניטור לזיהוי התנהגויות ואינטראקציות במגע עם נתונים כמו למשל למי ומתי יש גישה למידע ומתן התראה על פעולות חריגות. חלק מהפתרונות מכילים מדדים של מניעה, שמבצעים פילטרים ובקרת שליטה למערכות הקבצים. פתרונות אחרים נוגעים לבעלות על המידע, השימוש בו והגישה אליו. יש גם פתרון המייצר עותקים בנקודה בזמן, עם מינימום נפח אחסון בפחות משנייה. יש גם פתרון לאוטומציה והתאוששות נתונים, שמספק תהליך עצמאי ללא קשר ליכולת האחסון או למספר הקבצים המשוחזרים.
עדכון 14.5.17, 12:59: הודעת בזק בינלאומי:
החברה תעמיד את מרכז בקרת הסייבר עבור עסקים כמוקד חירום בעקבות מתקפת הסייבר בסוף השבוע. המרכז יעניק מענה מקצועי מיידי ע"י צוות מקצועי עבור ארגונים וגופים עסקיים בישראל ובחו"ל. החברה תאפשר מענה מיידי והנחיות צוות מקצועי כיצד לפעול במידה והארגון נפגע כתוצאה מהתקיפה האחרונה וכיצד ניתן להתמודד עם תוכנת כופר. כ"כ, תמליץ כיצד לנהוג כדי לתגבר את אבטחת המחשבים ולמנוע אפשרות חוזרת למתקפה.
מרכז בקרת הסייבר, שמספק שירותים מנוהלים מלאים של
as a Service SIEM\SOC - הגנה וביטוח סייבר כשירות בתשלום חודשי, שירותי הגנה על הרשת
DDoS, הגנה על תחנות הקצה (
End Point) והגנה על בסיסי נתונים (
Database Security), יפעל כאמור בימים הקרובים במתכונת חירום עבור לקוחות כל החברות.
כ"כ, מוקד הגנת הסייבר של החברה המיועד ללקוחות פרטיים יהיה זמין גם הוא למענה מיידי בעקבות אירועי סוף השבוע ויספק מענה, ייעוץ מקצועי ותמיכה לציבור הלקוחות הפרטיים בנושאים הנוגעים לאבטחת המחשב הביתי.