No More Ransom- חברות אבטחת מידע וגופי אכיפה משלבים כוחות במלחמה בתוכנות כופר
מאת:
מערכת Telecom News, 25.7.16, 22:35
הושק הפורטל "די לכופר". כלי חדש המכיל יותר מ-160,000 מפתחות לפיענוח הצפנה יסייע לקורבנות לאחזר את הנתונים שלהם לאחר שננעלו ע"י העבריינים.
משטרת הולנד, היורופול, אינטל סקיוריטי ומעבדת קספרסקי איחדו כוחות כדי להשיק יוזמה בשם "
No More Ransom" (די לכופר)
- צעד חדש בשיתוף הפעולה בין רשויות אכיפת החוק והמגזר הציבורי בלחימה נגד תוכנות הכופר.
"די לכופר"
www.nomoreransom.org הוא פורטל מקוון חדש, שנועד ליידע את הציבור לגבי סכנת תוכנות הכופר ולסייע לקורבנות לאחזר את נתוניהם, ללא צורך לשלם דמי כופר לעברייני סייבר.
תוכנות כופר הם סוג של קוד זדוני הנועל את מחשבי הקורבנות או מצפין את הקבצים שלהם, ודורש מהם לשלם כופר כדי להחזיר את השליטה על המכשיר הנגוע או הקבצים. תוכנות כופר הן איום משמעותי עבור רשויות אכיפת החוק באיחוד האירופי. כשני שליש מהמדינות החברות באיחוד מנהלות חקירות לגבי צורה זו של מתקפות כופר הפוגעות הן במכשירים של משתמשים בודדים והן ברשתות של ארגונים ואפילו ממשלות. מספר הקורבנות צומח בקצב מטריד: עפ"י מעבדת קספרסקי, מספר המשתמשים, שהותקפו ע"י תוכנות כופר מצפינות גדל ב- 550%, מ-131,000 בשנים 2014-2015 ל-718,000 בשנים
2015-2016.
NoMoreRansom.org
המטרה של הפורטל המקוון
www.nomoreransom.org היא לספק כלים, שיתמכו בקורבנות של מתקפות כופר. משתמשים יימצאו בו מידע מהן תוכנות כופר, כיצד הן פועלות, והדבר החשוב ביותר, כיצד להגן על עצמם. מודעות היא מרכיב מרכזי במאבק, מאחר שלא נוצר עדיין כלי לפיענוח הצפנה המתאים עבור כל סוגי הקוד הזדוני הפועלים כיום. אם נדבקתם בתוכנת כופר, יש סיכוי גבוה, שהנתונים שלכם יאבדו. שימוש מושכל ומודע באינטרנט, בהתאם למספר טיפים פשוטים של אבטחת סייבר, יכול למנוע הדבקה.
הפרויקט מספק למשתמשים כלים, שיסייעו להם לאחזר את הנתונים שלהם לאחר שננעלו ע"י העבריינים. בשלב ראשוני זה, הפורטל מכיל 4 כלי פיענוח הצפנה עבור סוגים שונים של קוד זדוני, שהאחרון שבהם פותח ביוני 2016 עבור משפחת הזדוניים
Shade.
Shade הוא תוכנת כופר טרויאנית, שהופיעה בסוף 2014. הקוד הזדוני מופץ דרך אתרים זדוניים וקבצים המצורפים להודעות דוא"ל. לאחר חדירתו למערכת המשתמש,
Shade מצפין קבצים המאוחסנים במכשיר ויוצר קובץ
.txt המכיל את הודעת הכופר ואת ההוראות מעברייני הסייבר לגבי הדרך לקבל חזרה את קבצי המשתמש.
Shade משתמש באלגוריתם הצפנה חזק עבור כל קובץ מוצפן, כשהוא מייצר 2 מפתחות רנדומליים של
256-bit AED: אחד משמש להצפנת תוכן הקובץ והשני משמש להצפנת שם הקובץ.
מאז 2014, מעבדת קספרסקי ואינטל סקיוריטי מנעו יותר מ-27,000 ניסיונות התקפה על משתמשים באמצעות הטרויאני
Shade. רוב ההדבקות התרחשו ברוסיה, אוקראינה, גרמניה, אוסטריה וקזחסטן. פעילות של
Shade נרשמה גם בצרפת, צ'כיה, איטליה וארה"ב.
באמצעות עבודה משותפת ושיתוף מידע בין הגורמים השונים, נתפסו שרתי הפיקוד והשליטה של
,Shade ששימשו עבריינים כדי לאחסן מפתחות לפתיחת ההצפנה, ואלה שותפו עם מעבדת קספרסקי ואינטל סקיוריטי. הדבר סייע לפיתוח כלי מיוחד אותו יכולים המשתמשים להוריד מפורטל
No More Ransom כדי לאחזר את הנתונים שלהם, ללא צורך לשלם לעבריינים. הכלי מכיל יותר מ-160,000 מפתחות.
שיתוף פעולה פרטי-ציבורי
הפרויקט נוצר כיוזמה, שאינה מסחרית, שנועדה להביא לאיחוד כוחות בין גופים ציבוריים ופרטיים לצורך מיגור התופעה והמאבק בגרסאות החדשות, שמפתחים העבריינים על בסיס קבוע. הפורטל פתוח לשיתוף פעולה עם גורמים חדשים.
ווילברט פאוליסן, מנהל מחלקת מחקר פשעים לאומיים במשטרת הולנד: "אנו במשטרת הולנד, לא יכולים להילחם בעצמנו נגד עברייני סייבר ותוכנות הכופר. זוהי אחריות משותפת של המשטרה, מחלקת המשפט, יורופול, וחברות
ICT, שדורשת מאמץ משותף. זו הסיבה, שאני שמח מאוד על שיתוף הפעולה עם אינטל סקיוריטי ומעבדת קספרסקי. יחדיו נעשה ככל יכולתנו כדי לפגוע בתוכניות הפושעים להשגת כספים ונחזיר קבצים לבעלים החוקיים שלהם ללא צורך לשלם כסף רב".
ג'ורנט ואן דר ויל, חוקר אבטחה בצוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי: "הבעיה הגדולה ביותר עם תוכנות כופר מצפינות היא, שכאשר ננעלים נתונים יקרים למשתמשים, הם מוכנים לשלם לעבריינים כסף רב כדי לקבל אותם חזרה. הדבר מעודד את הכלכלה השחורה, וכתוצאה מכך אנו מתמודדים על עלייה במספר השחקנים החדשים ובמספר ההתקפות. אנו יכולים לשנות את המצב רק אם נתאם את המאמצים שלנו במלחמה נגד עברייני כופר. ההופעה של כלי לפיענוח הצפנה היא רק השלב הראשון בדרך זו. אנו צופים, שפרויקט זה יתרחב, ובקרוב יהיו חברות רבות נוספות ורשויות אכיפת חוק ממדינות ואזורים נוספים, שיילחמו במתקפות הכופר יחדיו".
ראג' סאמאני, סמנכ"ל טכנולוגיה
EMEA באינטל סקיוריטי: "היוזמה מראה את הערך שבשיתוף פעולה פרטי-ציבורי לנקיטת פעולה משמעותית במלחמה נגד פשיעת סייבר. שיתוף פעולה זה רחב יותר מאשר שיתוף מודיעין, חינוך צרכנים, ולכידת פושעים, כשהוא מסייע באופן ממשי לתקן את הנזק הנגרם לקורבנות. באמצעות החזרת גישה למערכות שלהם, אנו מעצימים את המשתמשים, שרואים, שאנו יכולים לנקוט בפעולה ולהימנע ממתן פרס לעבריינים בצורת תשלום דמי הכופר".
ויל ואן גמרט, מנהל פעילות יורופול: "כבר מספר שנים, שתוכנות כופר הן גורם לדאגה עבור רשויות החוק באיחוד האירופי. זו בעיה המשפיעה על אזרחים ועסקים כאחד, מחשבים ומכשירים ניידים, והעבריינים מפתחים טכניקות מתוחכמות יותר כדי לגרום את הפגיעה הגדולה ביותר לנתונים של הקורבן. יוזמות כמו
No More Ransom מראות, ששילוב של מומחיות ואיחוד כוחות היא הדרך להתקדם במלחמה מוצלחת נגד פשיעת סייבר. אנו מצפים לסייע לאנשים רבים להחזיר את השליטה על הקבצים שלהם, תוך הגברת המודעות וחינוך האוכלוסייה לגבי הדרך שבה יש לשמור על המכשירים שלהם נקיים מקוד זדוני".
תמיד לדווח
דיווח על תוכנות כופר לרשויות אכיפת החוק הוא חשוב מאוד כדי לסייע לרשויות לקבל תמונה ברורה ובכך למזער את הסיכון. אתר
No More Ransom מציע לקורבנות את האפשרות לדווח על פשע ומספק חיבור ישיר לסקירה
של יורופול לגבי מנגנוני דיווח לאומיים.
אם נפלתם קורבן למתקפת כופר, אנו ממליצים שלא לשלם את דמי הכופר. ע"י ביצוע התשלום אתם תומכים למעשה בעברייני הסייבר. בנוסף, אין כל ערובה לכך, שתשלום דמי הכופר יחזיר את הגישה לקבצים המוצפנים.
עדכון 17.6.18:
קספרסקי החליטה על השהייה של שיתוף הפעולה עם היורופול כחלק מפרויקט NoMoreRansom, זאת לאחר החלטת האיחוד האירופי לבחון את ההסכמים עליהם הגופים חתומים מול חברות אבטחת מידע. בהחלטה נאמר כי מוצר של החברה נחשב כזדוני וניתנה המלצה להחרימו.