Cybereason מישראל חשפה מתקפה מסיבית להפצה בעולם של תוכנת כופר
מאת:
מערכת Telecom News, 8.7.15, 17:31
המתקפה, שמכונה "מבצע כופר", יוצרת ומפיצה מוטציות של תוכנת כופר, שמאפשרות לה לחמוק מאמצעי זיהוי מבוססי חתימה ו-hash ברמת תחכום, שנצפתה עד כה רק בתקיפות סייבר בחסות מעצמות.
חברת
סייבריזון (
Cybereason), שהוקמה ע"י יוצאי יחידת המודיעין 8200
ליאור דיב, יונתן שטרים־עמית ו
יוסי נער, שיושבת בקיימברידג', מסצ'וסטס ולה משרדים בתל אביב, הודיעה היום על גילוי מתקפה מסיבית של תוכנת כופר. לאחר בחינת מספר דוגמאות של תוכנות זדוניות ממספר מקומות בעולם, קבעו חוקרי סייבר יזון, שתוכנות הכופר, שנבדקו, מכילות אריזה ומנגנון שליחה זהים יחד עם רכיבים שונים המורכבים יחד כדי ליצור צירוף ייחודי, שמאפשר לחמוק מזיהוי ע"י אנטי-וירוסים ומוצרי אבטחת מידע מסורתיים.
ממצאים אלה הובילו למסקנה, שמדובר בקבוצה אחת של תוכנות זדוניות, שעושה שימוש באלגוריתם, שמייצר גרסאות של הקוד הזדוני באופן אוטומטי. אלגוריתם זה מעניק לתוכנה יכולות התחמקות המזכירות
APT -
Advanced Persistent Threat, תקיפות סייבר בחסות מעצמות, שידועות ברמת מורכבותן.
אורי שטרנפלד, חוקר אבטחת מידע בכיר בסייבריזון: "אנו מאמינים, שגרסאות השונות של תוכנת הכופר הזדונית (
Ransomware) מגיעות כולן מאותו המקור, דבר המעיד על מסחור של תוכנות כופר בסדר גודל, שלא ראינו עד כה. הרצת גיבויים תכופים על כונן חיצוני וניטור קבוע של נקודות הקצה בארגון הן הדרך המומלצת לצמצום נזקי תוכנת הכופר והגבלת הנזק, שגורמות מתקפות אלו".
הדוגמאות, שנבדקו ב"מבצע כופר", היו בעלות מאפיינים ייחודיים, כגון:
Hashes וחתימות שונות, אך חלקו גם מספר מאפיינים משותפים, ביניהם: אייקונים מזויפים (לדוגמא, שימוש באייקון של מסמך
CSV או
PDF), שמות קבצים העוזרים לתוכנה להיראות תמימה (סימון בשמות דוגמת "קורות חיים" או "חשבון לתשלום"), ודפוס אריזה ייחודי.
דפוסים חוזרים אלה סייעו לקבוצת החוקרים בסייבריזון לקשור בין הדוגמאות ולייחס אותן למקור יחיד, על אף, שלכאורה נראו שונות. החוקרים גילו, שבנוסף למנגנון המסייע להתחמק מזיהוי ע"י תוכנות
Sandbox וכלי זיהוי דינמיים, הגרסאות השונות של התוכנה כוללות גם תוספות ו"קישוטים" רבים לקבצים, שנועדו להטעות את חוקרי התוכנות הזדוניות ולגרום לקוד ההדבקה להיראות תמים יותר.
"מבצע כופר" הוא כנראה מתקפת תוכנת הכופר הראשונה ברמת מורכבות של תקיפות סייבר בחסות מעצמות על, דבר המגביר את מידת האיום, שהיא מהווה על ארגונים.
Cybereason סבורה, שמבצע כופר התפשט כבר ברחבי אירופה. חוקרי החברה זיהו גרסאות של תוכנת הכופר הזדונית בתקיפות, שהתרחשו על ארגונים בספרד, פולין, שוויץ וטורקיה.
הדו"ח של סייבריזון, שנקרא "
Mutating Ransomware Enter the Fray", מספק ניתוח מלא של "מבצע כופר" לרבות הממצאים העיקריים, קווי דמיון והבדלים בין הדוגמאות והצעות לאיתור התוכנה וצמצום הנזקים, שהיא זורעת.
הדו"ח המלא – כאן.
לאחרונה השלימה החברה מחזור גיוס שני (
Round B) בגובה 25 מיליון דולרים בהובלת קרן ספארק קפיטל
Spark Capital, קרן ההשקעות
CRV וחברת לוקהיד מרטין
Lockheed Martin, שהצטרפה גם כשותפה אסטרטגית כפי שדיווחנו –
כאן.
עדכון 9.7.15, 12:50: להלן התייחסותו של ליאור דיב, מנכ"ל Cybereason, לגבי מתקפת הסייבר המתחוללת בשעות האחרונות:
"בשבועיים האחרונים אנו רואים עליית מדרגה משמעותית בתקיפות הסייבר בעולם. אנו מזהים עלייה במספר התקיפות ולצד זאת, אנחנו רואים עליה ניכרת באופי אמצעי התקיפה ועלייה ברמת המורכבות.שתי דוגמאות מהתקופה האחרונה:
הראשונה, מחקר "מבצע כופר" - מחקר שערכנו לאחרונה גילה כי כלי הכופר (Ransomware) ששימש בעבר פושעי סייבר קטנים לצרכי השתלטות על מחשבים אישיים ולקיחת כופר, משמש היום קבוצות האקרים מאורגנות, שאף הפכו את הכלי למתוחכם עוד יותר. למעשה כיום, כלי הכופר מאפשר לתוכנה הזדונית לחמוק מכלי זיהוי מתוחכמים כמו אנטי וירוס וחומת אש. בתקופה האחרונה גילינו עלייה במספר החברות המסחריות, שנפגעות מכלי זה, בעוד שבעבר סוג תקיפה מסוג זה היה מכוון לאנשים פרטיים.
השנייה, קשורה למתקפה על קבוצת ההאקרים Hacker Team. קבוצה זו עקבה לאורך זמן אחר אזרחים פרטיים, חברות ומוסדות מכל המגזרים (כולל הבטחוני וממשלתי) ברחבי העולם ופיתחה מאות כלי מעקב, פריצה וביון. הפריצה אליה, שיחררה לרשת את כל מאגרי המידע של הקבוצה, כולל שיטות הפעולה וכלי הפעולה שלהם.
המשמעות היא, שמעתה יכול כל אחד להכנס לאינטרנט ולהוריד לעצמו כלי פריצה ומעקב מתוחכמים מאד. בנוסף, המאגר מכיל רשימה אינסופית של 0DAYS (פרצות לא מוכרות בתוכנות, שמאפשרות להאקרים לפרוץ למחשבים).
המשמעות היא עצומה והיא פורצת את הסטטוס קוו המוכר לנו: עד היום יכלו רק מעצמות וצבאות לנהל פריצות סייבר מורכבות בקנה מידה שכזה, כיום, אנו רואים איך כלים מורכבים מאד משתחררים בין לילה, והאקרים יכולים לשדרג את עצמם ביכולות 'של הגדולים'.
אין ספק, שיקח זמן רב עד שהחברות הנפגעות תצלחנה לתקן ולסגור את הפרצות וייתכן מאד, שבזמן זה יוכלו גופים קטנים, כמו קבוצות טרור, לשדרג את עצמם לרמה, שקודם היתה רק בידי ארגוני ביון ומדינות. זהו מצב מסוכן מתמיד. אנו לא יודעים אם יש קשר בין המקרים, אבל ללא ספק זהו טרנד גובר".
עדכון 22.7.15, 12:12: להלן התייחסותו של ליאור דיב, מנכ"ל חברת הסייבר הישראלית Cybereason, על מתקפת הסייבר על JP Morgan Chase:
"מקרה התקיפה של JP Morgan Chase מראה כמה קל להאקרים להסתיר את עקבותיהם ולהטעות. בספטמבר 2014 הודיעה החברה בהצהרה תקשורתית, שמאחורי התקיפה עומדים גורמים ברוסיה ונתנה הוכחות של תקשורת מהבנק, שהופנתה לרוסיה.
עם המעצר של 4 החשודים בישראל ובארה"ב הולך ומתברר, שככל הנראה הם אלה העומדים מאחורי התקיפה וככל הנראה הם היו אלה, ששתלו בתקיפה אלמנטים, שיצביעו על רוסיה כמקור התקיפה.
הטעייה מכוונת והסתרת הזהות היא טריק נפוץ של האקרים, שגורמות לחברות הנפרצות, כמו גם לאמצעי התקשורת, למהר ולהפנות אצבע מאשימה כלפי גורמים, שאינם רלוונטיים ומוליכה אותם שולל.
למעשה, לצערנו בתקיפות סייבר, בשל טכניקות הסוואה והסתה, אין דרך ודאית לאתר ולזהות את מקור התקיפה, אלא אם כן מתחקים צעד אחר צעד אחר ההאקרים באופן פיזי".
