מתקפת כופר עולמית: ישראל במקום שלישי אחרי אוקראינה ואיטליה
מאת:
מערכת Telecom News, 27.6.17, 22:54
מתקפת הכופרה החדשה החלה את פעילותה במזרח אירופה אך פוגעת בישראל ובמדינות נוספות. חברות ישראליות עם מאות משתמשים כבר נפגעו מתוכנת הכופר.
הדיווחים הראשונים על התקיפה הגיעו מאוקראינה ולאחר מכן ממדינות נוספות באירופה ומישראל. בתחילה חשבו, (ויש עדיין מי שחושבים), שזו כופרת Petya עם הווריאנט
PERTWRAP/PETYA
כך, בכל אופן, מסר
דניאל סמית' ,
Information Security Researcher for Radware’s Emergency Response Team. הוא מסר, בהתייחס למתקפת סייבר על
,maerskשהדרישה היא 300 דולרים ב
ביטקוין. ושניתן לעקוב אחרי התשלומים -
כאן.
אולם,
עידו נאור, חוקר בכיר במעבדת קספרסקי, מסר לאחר מכן, שמוקדם יותר במהלך היום, התחילה החברה לקבל שטף של דיווחים על גל חדש של תוכנת כופר המתפשטת במהירות ברחבי העולם. ממצאים ראשוניים הראו דווקא,
שלא מדובר בוואריאנט של תוכנת הכופר
Petya, כפי שדווח עד כה, אלא בתוכנת כופר חדשה, שטרם ראינו עד כה. בתחילה החברה קראה לה
NotPetya ולאחר מכן שונה השם ל-
ExPetr.
עד כה, עפ"י החברה, הותקפו כ-2,000 עסקים, מוסדות וארגונים, בעיקר באוקראינה ורוסיה, אבל גם בגרמניה, איטליה, בריטניה, פולין, צרפת, ארה"ב, ומדינות נוספות, לרבות
ישראל. לגבי אוקראינה, קספרסקי וגם רדוור מסרו, שחברות באוקראינה, שמשתמשות בתוכנת חישוב מיסים בשם
,MeDoc קיבלו עדכון, שמראש הוטמעה בה תוכנת הכופר. מרגע הפעלת התוכנה, הופעלה תוכנת הכופר ללא ידיעת המשתמשים. תוכנה זו פופולרית מאוד באוקראינה. חברת התוכנה, שמייצרת את MeDoc, דוחה את הטענות.
החברה סברה, שהתוכנה מתפשטת במספר וקטורי הדבקה, בדומה לתוכנת הכופר
WannaCry. שיטת ההתפשטות הראשונה שזוהתה היא
EternalBlue, אותה חולשה, שנראתה במתקפת הכופר האחרונה ומנצלת את פרוקטוקול
SMB.
כדי להתפשט ברשת הארגון, נראה כי חלק מהדוגמיות משתמשות בכלי
PsExec, שמוכר לשימושי הפצה בין תחנות עבודה של
חלונות. דרך נוספת שנמצאה היא
WMIC, חבילת ניהול של
מיקרוסופט.
הומלץ ע"י קספרסקי לחברות ומשתמשים פרטיים לבצע עדכונים אחרונים של תוכנת חלונות, ולוודא גיבוי לקבצים.
לאחר מכן פרסמה קספרסקי את דרך פעולת הכופרה -
כאן. (דרך הפעולה וההמלצות הן כמו אלו של ESET וה-CERT הישראלי להלן, בהמשך הכתבה).
קספרסקי
עדכנה, שלא כמו במקרה של WannaCry, הכופרה הזו מצליחה כי התוקפים דרשו מהקורבנות לשלוח אליהם במייל את מספרי ארנק הביטקוין שלהם לכתובת
“wowsmith123456@posteo.net” וכך הם יכלו לוודא את הטרנזקציות לחשבון הביטקוין שהם נתנו. עפ"י קספרסקי, נעשו 24 טרנזקציות של 2.54 ביטקוין בשווי 6,000 דולרים עד סגירת כתובת המייל הזו.
בנוסף, מומחי האבטחה של חברת
ESET דיווחו, שעפ"י הזיהויים של מעבדות המחקר,
ישראל היא במקום השלישי בעולם בזיהוי המתקפות אחרי אוקראינה ואיטליה.
מומחי
ESET יודעים לומר, ש
חברות ישראליות עם מאות משתמשים כבר נפגעו מתוכנת הכופר. נכון לכתיבת שורות אלו, במעבדת הזיהויים של
ESET, ישראל נמצאת במקום השלישי בעולם בזיהוי ניסיון המתקפות מיד אחרי אוקראינה ואיטליה.
(הגרף להלן).
היום בשעות אחר הצהריים המוקדמות חוקרי החברה החלו לחקור את מתקפת הכופר שהתפשטה ברחבי העולם, כל זאת לאחר מתקפת
,WannaCry שפגעה ב-200 מדינות רק בחודש שעבר. גופים שונים במספר מדינות באירופה, בהן אוקראינה, רוסיה ודנמרק, דיווחו היום, שנפגעו ע"י האקרים, שפרצו למערכות שלהם. באוקראינה אף דיווחה הממשלה, שמחשביה נפלו קורבן למתקפת סייבר "ענקית וחסרת תקדים", וכך גם מספר בנקים ונמל התעופה המרכזי בבירה קייב. בנמל התעופה בקייב עדכנו, שבשל המתקפה, ייתכנו שיבושים בלוח הטיסות
.
איך היא עובדת?
עפ"י
ESET, הנוזקה, שמתפשטת בשעות האחרונות,
היא, בכל זאת (בניגוד לדברי חברת קספרסקי), סוג של גרסה של תוכנת הכופר Patya. אם היא מצליחה להדביק את ה-
MBR היא תצפין את כל הכונן. במידה ולא היא מצפינה את כל הקבצים הקיימים על המחשב.
בדומה לחברת קספרסקי,
גם ESET טוענת, שהנוזקה מנצלת את פרצת
SMB (
EternalBlue) בה השתמשו כדי להפיץ את תוכנת הכופר
WannaCry כדי לחדור לרשת ולאחר מכן מתפשטת דרך
PsExec עבור התפשטות בתוך הרשת. שילוב מסוכן זה עלול להיות הסיבה להתפרצות זו בעולם ובמהירות. מספיק, שמחשב אחד לא מעודכן כדי לחדור לרשת. התוכנות זדוניות מקבלות הרשאות וכך מקבלות זכויות מנהל להפצה למחשבים אחרים. ההדבקה ככל הנראה מתבצעת באמצעות קובץ המצורף למייל. לאחר פתיחת המייל. כאמור, המחשב נדבק וקבציו או הכוננים בו מוצפנים וכדי לשחררם דורשים, כאמור, ההאקרים 300 דולרים בביטקוין.
אמיר כרמי, מנהל הטכנולוגיות של
ESET ישראל: "מדובר במתקפת כופר כלל עולמית. לעומת מתקפת
WannaCry במתקפה הנוכחית בישראל זוהו ניסיונות התקפה והיא המדינה השלישית בעולם בהיקף התקיפות אחרי אוקראינה ואיטליה. אנו עדים ליותר ויותר גלים של מתקפות כופר וככל הנראה נמשיך לראות מתקפות, שעושות שימוש בכלים,שדלפו מה-
NSA. אנו ממליצים לחדד את ההוראות בארגונים, לעדכן את מערכות ההפעלה ולא לפתוח קבצים מכתובות מייל לא מוכרות".
יותר מוקדם,
Justin Harvey שהוא
Managing Director and Global Incident Response Lead, Accenture Security
אמר, שזהו גל חדש של תוכנת כופר, דומה ל-
WannaCry המשתמש ברכיב תוקף הנקרא
Double Pulsar. בהתבסס על ניתוח של
Accenture התוקפים דורשים 300 דולרים ועד זמן מסירת ההודעה כפי הנראה הם קבלו 4,000 דולרים.
Accenture עובדת כעת על המלצות כיצד להתמודד עם הכופרה, כולל באיזה טלאי להשתמש וכיצד לבודד את כל הקבצים המצורפים.
בדומה לחברות האבטחה הנ"ל, אך קודם לכן,
נמסר ע"י ה-CERT הישראלי, שעפ"י הערכה, ההדבקה הראשונית מבוצעת באמצעות דוא"ל ע"י שליחת קובץ
Word עם סיסמא הפונה לכתובת IP של
182.165.29.78
לאחר מכן ישנה הפצה בתוך הרשת באמצעות מספר פרוטוקולי תקשורת כגון
SMBv1 (
ETERNAL BLUE), ישנה הערכה על שימוש בפרוטוקולים נוספים ופורטים 139, 445 ו-135.
לאחר הדבקה מופיע צילום מסך, שהמחשב מבצע סריקה על הכונן הקשיח (
CHKDSK) כאשר עפ"י הערכה בפועל ברקע מבוצעת פעולת הצפנה. מהות הפגיעה בדיסק המקומי גם היא עדיין לא ברורה. ישנם דיווחים על הצפנה רגילה של כופרה לצד דיווח בודד על החלפה של ה-
BOOT LOADER.
המלצות של ה-CERT הישראלי:
מומלץ להתקין את עדכוני האבטחה ש
מיקרוסופט הפיצה בחודשים האחרונים
MS-17-010 וגם
CVE-2017-0199
יש לחפש ע"פ 2017-0199 בשדה
CVE בקישור הבא
https://portal.msrc.microsoft.com/en-US/security-guidance
מומלץ לחסום את תעבורה מפורט 445 לרשת האינטרנט לכניסה ויציאה. מי שלא יכול לחסום, מומלץ להשתמש ב-
VPN עם הזדהות חזקה.
במידת האפשר, יש למנוע תעבורה בין תחנות עבודה ברשת. לאפשר תעבורה רק בין תחנות לשרתים השונים ולהיפך.
יש לעדכן חתימות אנטי וירוס בהקדם האפשרי עם תעדוף למנועי סריקה של דוא"ל (שרתי דוא"ל
Mail Relays ו-
Mail Gateways) וכו'.
במידת האפשר, לשקול מניעה של הרצת תוכנות מספריית %
APPDATA%.
עדכון 28.6.17, 12:55: ראו הכתבה:
עדכון ה-CERT הישראלי ל-28.6.17 בבוקר על מתקפת הכופר בעלת הקוד החדש
התקיפה מציגה מאפיינים דומים למשפחת הכופרה Petya אך הקוד הוא חדש וייחודי ואין לו קשר עם הכופרה הידועה. זהו מסמך מעודכן מטעם הרשות הלאומית להגנת הסייבר, נכון לשעה 12:20, ומהווה סיכום המצב. - כאן.