נחשפה משפחת קוד זדוני PetrWrap: האקרים גונבים קוד זדוני מחבריהם למקצוע
מאת:
מערכת Telecom News, 14.3.17, 15:52
הטרויאני החדש מבצע התקפות כופר ממוקדות כנגד חברות, עסקים וארגונים. לא ברור עדיין כיצד PetrWrap מופץ. הגילוי החדש משקף את התחרותיות הגוברת בשוק העולם התחתון לתוכנות כופר. כיצד להתגונן?
במאי 2016, חשפה מעבדת קספרסקי את תוכנת הכופר Petya, שלא רק מצפינה את הנתונים המאוחסנים במחשב, אלא גם מוחקת את רשומת המאסטר לאתחול בדיסק הקשיח, מה שלא מאפשר לקורבנות לאתחל את מערכת ההפעלה. Petya מהווה דוגמא מובהקת למודל תוכנת כופר-כשירות, בו היוצרים של קוד זדוני מציעים מוצר זדוני "על פי דרישה", ומקדמים אותו באמצעות מספר מפיצים תוך קבלת נתח מסוים מהרווחים.
במטרה לקבל את חלקם ברווח, כותבי
Petya הכניסו בקוד הזדוני "מנגנוני הגנה" מסוימים, שאינם מאפשרים שימוש בלתי מורשה בגרסאות של
Petya. הכותבים של הטרויאני
PetrWrap, שפעילותו הראשונה זוהתה בתחילת 2017, הצליחו להתגבר על מנגנונים אלה ומצאו דרך להשתמש ב-
Petya ללא תשלום של אגורה שחוקה לכותבים המקוריים. למעשה, היוצרים של
PetWrap יצרו מודול מיוחד המשנה את תוכנת הכופר המקורית של
Petya תוך כדי תנועה, כשהוא מותיר את הכותבים המקוריים חסרי אונים ונטולי הכנסה.
לא ברור עדיין כיצד
PetrWrap מופץ. לאחר ההדבקה,
PetrWrap מפעיל את המודול של
Petya כדי להצפין את נתוני הקורבן ולדרוש כופר. כותבי
PetrWrap משתמשים במפתחות הצפנה פרטיים וציבוריים משלהם במקום אלה המגיעים "ארוזים" עם גרסאות
Petya. כך, הם יכולים לפעול ללא צורך בקבלת מפתח פרטי ממפעילי
Petya כדי לשחרר את מכונת הקורבן במקרה והכופר שולם.
נראה, שאין זו מקריות כי המפתחים של
PetrWrap בחרו ב-
Petya לצורך הפעילות הזדונית שלהם: משפחת תוכנות הכופר הזו מחזיקה כיום באלגוריתם קריפטוגרפי כמעט מושלם וקשה לפיצוח – החלק החשוב ביותר בכל תוכנת כופר מצפינה.
במספר מקרים בעבר, טעויות בתהליך ההצפנה אפשרו לחוקרי אבטחה למצוא דרך לשחרר את הקבצים, כשהם הורסים את כל המאמץ, שהשקיעו העבריינים בפעילות הזדונית שלהם. הדבר קרה גם בגרסאות שונות של
Petya, ומאז הכותבים שלה תיקנו את כל הטעויות כמעט. מסיבה זו, מחשב שהותקף בגרסאות אחרונות של
Petya מוצפן בצורה חזקה – וזוהי גם הסיבה לכך שהעבריינים שמאחורי
PetrWrap החליטו להשתמש ב-
Petya.
יתרה מכך, מסך הנעילה המוצג לקורבנות
PetrWrap אינו מסגיר כל קשר ל-
Petya, דבר המקשה על מומחי אבטחה לבצע הערכת מצב ולזהות במהירות באיזו משפחת תוכנות כופר נעשה שימוש.
כדי להגן על ארגונים מפני התקפות שכאלה, מומחי החברה מייעצים על הצעדים הבאים:
- ביצוע גיבוי קבוע ומלא של הנתונים. כך, שניתן יהיה להשתמש בו כדי לאחזר את הקבצים המקוריים במקרה של אובדן נתונים.
- שימוש בפתרון אבטחה עם טכנולוגיות זיהוי מבוססות התנהגות. טכנולוגיות אלה יכולות ללכוד קוד זדוני, כולל תוכנות כופר, באמצעות התבוננות בדרך בה הן פועלות במערכת המותקפת, והן מאפשרות לזהות דוגמיות חדשות של תוכנות כופר, שעדיין לא מוכרות.
- ביצוע סקירת אבטחה על רשת השליטה (כגון בקרת אבטחה, בדיקות חדירה, ניתוח פערים) כדי לזהות ולהסיר כל חור באבטחה. מומלץ גם לבצע סקירה של מדיניות האבטחה של ספקים חיצוניים ושותפים במקרה שיש להם גישה ישירה לרשת הבקרה.
- איסוף מודיעין חיצוני: מודיעין הנאסף על ידי ספקים בעלי מוניטין מסייע לארגונים לצפות התקפות עתידיות על החברה.
- תדרוך ואימון העובדים, עם דגש מיוחד על צוותי תפעול והנדסה והגברת המודעות שלהם לגבי איומים והתקפות עדכניים.
- הגברת ההגנה בתוך הרשת ההיקפית ומחוצה לה. אסטרטגיית אבטחה מתאימה מקדישה משאבים מספיקים לזיהוי ותגובה כדי לחסום התקפה לפני שהיא מגיעה ליעדים חשובים.
נעם פרוימוביץ, מנכ"ל קספרסקי ישראל: "אנו רואים סימנים לתחרות גוברת בין כנופיות כופר. באופן תיאורטי זה טוב, מכיוון שככל שעבריינים משקיעים יותר זמן במלחמה ביניהם, כך הם מאורגנים פחות והקמפיינים שלהם יהיו פחות יעילים. הדבר המדאיג הוא העובדה, שהקוד הזדוני שנחשף משמש בהתקפות ממוקדות. זהו אינו המקרה הראשונה של התקפות כופר ממוקדות ולרוע המזל גם לא האחרון. אנו קוראים לארגונים להעניק תשומת לב רבה ככל הניתן להגנה על רשתות מסוג זה של איום, מכיוון שהתוצאות יכולות להיות הרסניות".
מידע נוסף על
PetrWrap -
כאן.
