אל תחכו לדקה ה-90 - אתגרי הסייבר של עסקים וארגונים
מאת: אלי לוין, 14.12.20, 14:35

באילו 6 דרכים אפשר לפרוץ למחשב או לסמארטפון? אילו 8 המלצות ניתן ליישם במהירות? במידה ונדבקים, אילו 5 פעולות מומלץ לעשות באופן מידי? מהן 3 האפשרויות העומדות בפני המותקף? לאור המציאות החדשה, שדורשת גם עבודה מהבית, עסקים צריכים להתאים את האסטרטגיה שלהם כדי לשפר את ההגנה וניהול סיכוני הסייבר.
 
התקיפות הולכות ומתעצמות ותופעת תוכנות הכופר חיה ובועטת. רק לאחרונה נמצאה חברת הביטוח שירביט תחת מתקפת כופרה מהגדולות, שידעה ישראל. הנזק הוא עצום והערכות מדברות על חשיפת מידע של עשרות אלפי מבוטחים. נראה, שהאקרים ממשיכים לחגוג והם תמיד יהיו צעד אחד לפנינו וכל ארגון גדול או קטן עלול להיות מותקף.

לאור המציאות החדשה, שדורשת גם עבודה מהבית, עסקים רבים צריכים להתאים את האסטרטגיה שלהם כדי לשפר את ההגנה ואת ניהול סיכוני הסייבר. תוכנות כופר, שהדביקו מחשב בבית עסק עלולות להתפשט גם רוחבית בפני מחלקות נוספות או מערכות קריטיות וחשבונאיות חשובות.

זה עלול להיות הסיוט של כל אחד מאיתנו, קיבלנו מייל למחשב, הורדנו קובץ או חיברנו USB למחשב והדבקנו את המחשב באופן המונע מהמשתמש גישה לקבצים או למערכות ליבה שברשותו, באמצעות הצפנת המידע ונעילת הגישה אליו.

בכל זאת יש מספר המלצות, שניתן ליישם במהירות:

• תתארגנו מראש - התוו מדיניות של התמודדות בזמן מתקפת סייבר.
• סדרי עדיפות - כבר ברור, שסייבר זה לא בזבוז כסף. אל תהיו שאננים והשקיעו באבטחת המידע. בזבוז כסף זה ליפול לידיו של האקר.
• הדרכות עובדים - במסגרת העבודה היומיומית כדי להעלות למודעות תדרכו את העובדים באופן קבוע והסבירו להם מה אפשר לעשות כדי להימנע מפישינג או מתקפת סייבר אחרת.
• פיטורים או עובד שעזב - הקפידו לסגור לו את היוזר.
• ענן - העלו הכל לתשתית ענן.
• מחשוב - הקפידו להיפטר מהשרתים המקומיים. הקפידו על עדכונים ואפשרו לאנשי מקצוע לטפל בכל נושא המחשוב.
• גיבויים - תעשו גיבויים. הארד דיסק חיצוני לא מספיק.
• תעשו TFO – אמנם, זה מציק, אבל זה מה שיש. תתקינו טוקנים בvpn-  ואל תחפשו קיצורי דרך.

באיזה אופן אפשר לפרוץ למחשב האישי או לסמארטפון:

1. דואר אלקטרוני - רוב הפעילות העסקית המתבצעת בחברות כיום היא דרך האימייל. כך, הפורצים יודעים, שלרוב המשתמש לא ישים לב למשהו חריג או לקובץ ,שלכאורה, נראה תמים, ויפתח אותו.
2. הורדת קבצים למחשב - הורדות חינמיות של תוכנות או קבצים למחשב המציעים  בדיוק את מה שמחפשים ובחינם, ועי"כ מצליחים להחדיר את הנוזקה ע"י הרשאת התקנה.
3. חיבור באמצעות שולחן עבודה מרוחק - השתלטות באמצעות פרוטוקול RDP הפתוח לעולם ישירות לתחנות העבודה או השרתים תאפשר סריקה רובוטית של המחשבים והשתלת הקבצים באותם התחנות הפתוחות, או אפילו העברת הנוזקה בין משתמשים, שעובדים בצורת חיבור זוש ללא ידיעת המשתמש כלל, כי הווירוס "דוגר" באחד המחשבים וממתין להתפשטות.
4. קבצי PDF המכיליםJavaScript  או-VBS, ששותלים תוכנות זדוניות במסמכים ללא ידיעתנו.
5. שימוש בהתקנים חיצוניים מסוג USB של חברות או אנשים לא מוכרים.
6. הרבה לא יודעים, אבל נוזקות כופר יכולות לפגוע גם בסמארטפונים. ניתן להידבק בקלות בווירוס כופר ע"י הורדת אפליקציות חינמיות או כאילו, שהגיעו מפרסומות "מפתות" ומעבירות להורדת אפליקציות לא מורשות, או שלא מחנויות האפליקציה.

במידה ונדבקתם מה מומלץ לעשות באופן מידי?

1.    לנתק באופן מידי את המחשב מכל מדיה המאפשרת את פיזור המידע אל מחוץ למחשב: כבל רשת, כרטיס/התקן BT, אמצעי אינטרנט אלחוטי, התקן חיצוני USB, תיקיות משותפות, אחסון בענן ובדיקה אם האמצעים המשותפים נדבקו גם כן.
2.    להימנע מעבודה על המחשב הנגוע ומניסיון פתיחה או מחיקת קבצים או סריקת וירוסים.
3.    להבין את היקף הפגיעה - האם רק המחשב נפגע? האם עוד מחשבים במשרד? להבין מה היה במחשב ומה יכול היה להידבק.
4.    לנסות לברר את שם וירוס הכופר - לרוב השם יהיה הסיומת של הקובץ שנפגע ולחפש מידע אודותיו ודרכי התמודדות. לרוב יהיה מידע על הווירוסים אלא אם מדובר ב-ZeroDay.
5.    להחליט מה עושים הלאה ואיך ממזערים נזקים וחוזרים לשגרה במהירות האפשרית.
 
אלו אפשרויות העומדות בפניכם:
1. שחזור מגיבוי - בין אם זה גיבוי ענן או גיבוי מקומי, יש לבדוק את תאריך השחזור האחרון הקיים ולבצע בדיקה האם הקבצים תקינים במלואם. בנוסף, קיים במערכות הפעלה מערך גיבוי מקומי (במידה והופעל מבעוד מועד) הנקרא Shadow Copy, ששומר את קבצי המערכת מוצפנים וניתן לשחזר משם את כלל הקבצים. כ"כ, ניתן לבצע שחזור לנקודת גיבוי אחרונה Restore Point של כלל המחשב.
2. ניסיון לפתוח את ההצפנה ע"י תוכנות ייעודיות או שירותים חיצוניים.
3. לא לבצע כלום - לשמור את הכונן הקשיח שנדבק "בצד" ולנסות לפענח ולשחזור ממנו קבצים בהמשך. בינתיים להחליף את אמצעי האחסון לחדש, ולבצע התקנה חדשה של מערכת ההפעלה. במידה ומצליחים למחוק את הווירוס ולשחזר את הקבצים, עדיף לא להמשיך להשתמש באותו אמצעי אחסון, שהיה נגוע ,אלא להשתמש בהתקן חדש. יש לזהות ולחקור את מקור הכניסה ולחסום אותו למניעת תקיפה חוזרת.

מאת: אלי לוין, דצמבר 2020.
מנכ"ל ומייסד חברת Elpc Networks