איך תקפה תוכנת כופר את מערכות "הישרדות" ו"המירוץ למיליון"?
מאת:
מערכת Telecom News, 25.3.19, 17:02
בהמשך לדיווחים על מתקפת כופר בחדרי העריכה של התוכניות של ערוץ רשת 13, איך עובדת מתקפת כופר? מה קרה במקרה הזה? והאם יש סכנה לדליפה של ספוילרים?
מה זו בעצם מתקפת כופר?
אמיר כרמי, מנהל הטכנולוגיות בחברת אבטחת המידע
ESET בישראל: "במתקפת כופר מופעל קוד זדוני על המחשב או המכשיר המנצל פרצה כלשהי במערכת ההפעלה או באחת התוכנות המותקנות עליה. הקוד סורק את המחשב ומחשבים או תיקיות נוספים במידה והוא מחובר לרשת משרדית, ומאתר קבצים חיוניים עבור המשתמשים כגון מסמכי אופיס,
PDF, סרטונים, תמונות וכו'.
לאחר שהוא מאתר את הקבצים החיוניים מתחיל הליך של הצפנה של אותם קבצים, שיכול לקחת מספר דקות או מספר שעות בהתאם לכמות המידע. בסופו של התהליך תוצג הודעה הדורשת תשלום כופר בצורה של מטבעות וירטואליים תמורת מפתח ההצפנה, שיפתח בחזרה את הגישה לקבצים הנעולים שהוצפנו".
כיצד במקרה הזה הצליחו לחדור למחשבים של ערוץ 13?
אמיר כרמי: "אין לנו את המידע המדויק על המתקפה הזאת. אבל מרבית נוזקות הכופר חודרות לארגונים דרך קבצים המצורפים למיילים או אתרים זדוניים, שמפעילים פרצות שונות כדי לבצע את החדירה הראשונית, כאשר משתמשים בהנדסה חברתית כדי לגרום לעובדי הארגון לפתוח את הקובץ או להיכנס לאתר.
בד"כ לאחר שלב ההדבקה הראשוני, מבצעת הנוזקה סריקה של הרשת כדי לראות מהן שעות העבודה באותה החברה כדי לבצע את ההצפנה בשעות בהן יש כמה שפחות עובדים והסיכוי לגלות את הליך ההצפנה של הקבצים לפני שיסתיים גבוה יותר.
במהלך 3 השנים האחרונות, הדרך הנפוצה ביותר לחדירה של נוזקות כופר לארגונים
בישראל הוא חיבור מרחוק (
RDP או
Remote Desktop Protocol) המאפשר גישה לרשת או למחשבים מסוימים מבחוץ.
התוקפים תוקפים את החיבור ב-
RDP באמצעות התקפה, שמנסה צירופי סיסמאות רבים, עד שהם מגלים את הסיסמה, או שמשתמשים בסיסמה של משתמשים, שדלפה או נגנבה בעבר.
ניתן לשער, שהיו לרשת כל אמצעי ההגנה הנדרשים, אולם הם לא תמיד מוגדרים בצורה נכונה או מלאה, וגם כאשר כל האמצעים מותקנים ומוגדרים כראוי עלולה להתבצע פריצה לרשת".
האם במתקפות כופר יש חשש לדליפת מידע וספויילרים לצופים?
אמיר כרמי: "ברוב המקרים של כופר מתבצעת הצפנה של המידע ללא הדלפה או גניבה של המידע הנמצא במחשבים שהותקפו. כמובן שגם כאן קיימים יוצאי דופן, אולם הזמן שנדרש ,כדי להוציא את המידע בלי שגורמים של אבטחת מידע של החברה עולים על זה, הוא ארוך יחסית. לכן, אני מניח, שזה לא המקרה ואין חשש ,שיעשו לנו ספוילרים למנצחים של הישרדות או המירוץ למיליון".
