Telecom News - מערך הסייבר הלאומי: כופרה - זה העסק שלך! האם אתה מוגן?

מערך הסייבר הלאומי: כופרה - זה העסק שלך! האם אתה מוגן?
מאת: מערכת Telecom News, 14.7.21, 10:39 מערך הסייבר מ-GOV

מערך הסייבר השיק קמפיין ופרסם לציבור ובעיקר לבעלי/יות עסקים ולארגונים 5 צעדים פשוטים, שיסיעו להיערך ולהפחית סיכוי למתקפת כופר. יותר ויותר תשתיות מוצעות היום למכירה ברשתות האפלות, של "שירותי תקיפת כופרה למכירה", מה שמצריך הבנה בסיסית עד בינונית להוציא לפועל מתקפות מתוחכמות והרסניות באמצעות אותו שירות מדף.

תקיפות כופרה הפכו בתקופה האחרונה למתקפות הסייבר הפופולריות והנפוצות ביותר בעולם כנגד ארגונים וחברות, כשמטרות אטרקטיביות במיוחד הן עסקים קטנים וחברות טכנולוגיה. בעקבות העלייה בהיקף ובחומרת המתקפות, השיק מערך הסייבר הלאומי קמפיין להעלאת המודעות של הציבור, ובעיקר של ארגונים ובעלי/ות עסקים, למשמעויות התקיפה ולדרכים להתגונן מפניה.

הקמפיין מבוסס על עדויות ומקרים אמיתיים של עסקים, שהותקפו במתקפת כופרה וחוו נזקים משמעותיים - אובדן ימי עסקים, עלויות שחזור, אובדן מידע על לקוחות ואי יכולת לחייב תשלומים. בעלי העסקים, שהשתתפו בתשדיר, חלקם בשמם המלא, הסכימו לחשוף את הסיפור שלהם כדי לסייע לעסקים אחרים להיערך מראש ולהתגונן מבעוד מועד.

מתקפת כופרה, לרוב למטרות סחיטה פיננסיות, נועלת ומצפינה את המידע על מערכות המחשב ודורשת סכום לשחרורו. מניתוח מתקפות הכופרה, שדווחו למערך, עולה, שהן החלו לרוב באמצעות שליחת דוא"ל עם הודעת דיוג או באמצעות חדירה דרך ממשקים חשופים לרשת האינטרנט, בפרט ממשקי גישה מרחוק כגון RDP או ציוד VPN ארגוני, וכן שרתיWeb . שיטה נוספת שנצפתה היא ניצול נקודת תורפה בספק המחובר ללקוחותיו והתפשטות ממנו הלאה.

המגמה הרווחת בשנה האחרונה היא שיטת הפעולה של מיקסום הזדמנויות: תוקפים פועלים בשלב ראשון מול מספר גדול של חברות ומתוך אלו, שהצליחו לחדור אליהן, בוחרים את ה"דגים השמנים" ומולם מפעילים את מתקפת הכופרה.

בנוסף, במערך מזהים יותר ויותר תשתיות, שמוצעות למכירה ברשתות האפלות, של "שירותי תקיפת כופרה למכירה" Ransomware as a service - מה שמצריך הבנה בסיסית עד בינונית בלבד, להוציא לפועל מתקפות טכנולוגיות מתוחכמות יחסית ואף הרסניות, באמצעות אותו שירות מדף.

לא רק קלות התקיפה השתנתה, אלא גם קיצור הזמן מרגע החדירה לארגון ועד להצפנת הקבצים, מה שמקשה לעיתים לזהות את התקיפה ולעצור אותה מבעוד מועד. במקרים שנצפו בעולם, הצליחו תוקפים להשמיש חולשה מסוימת ולהצפין ארגונים בתוך 5 שעות בלבד, במקום מספר ימים.המענה למתקפות מסוג זה הוא בעיקר ביצוע גיבויים עיתיים וסגירת חולשות, אך לא רק.

במערך פרסמו מדריך ייעודי לאזרח, לעסקים קטנים ולארגונים גדולים. במערך ממליצים להיעזר באיש/אשת מקצוע וחברות סייבר לתכנון ולהטמעת שיטות ההגנה המתאימות לארגון.

בתור התחלה, ניתן לבצע 5 צעדים פשוטים להגנה מבעוד מועד ולצמצום הסיכוי להיפגע ממתקפת כופרה:

1) צמצום משטח חשיפה וסגירת ממשקים לא נחוצים: מומלץ להשתמש בממשקים מאובטחים לגישה מרחוק - טכנולוגיית VPN משולבת במנגנוני הזדהות חזקה - דו שלבי ואף רב שלבי - במיוחד לאור המעבר לעבודה מרחוק.

2) לשים לב למתחזים בדוא"ל ולהודעות דיוג: אם יש ספק, צרו קשר ישירות עם השולח באמצעי תקשורת אחר. כדאי לשים לב גם לקבצים המצורפים בדוא"ל, במקרה שהיישום או מערכת ההפעלה מתריעים מפני חשד לשימוש לא ראוי בצרופות, לא לאשר את פתיחת הקובץ ובמיוחד בסיומות הבאות EXE, .VBS, SCR. כ"כ, יש להיזהר מסיומות כפולות כגון AVI.EXE, DOC.SCR, המנסה להסוות קבצים זדוניים.

3) תוכנות הגנה בסיסיות וסגירת חולשות: התקינו תוכנות אנטי וירוס ו"חומת אש" והגדרת עדכוני תוכנה אוטומטיים לכל המערכות הטכנולוגיות בארגון. מומלץ לתעדף במיוחד סגירת חולשות חמורות ונפוצות, שעליהן מתריע מערך הסייבר.

4) גיבויים: בתקיפה מסוג כופרה, שחזור המידע מגיבוי יסייע להתאושש במהירות יחסית ולחזור לתפקוד. גיבוי הוא עותק המידע הדיגיטלי, שאינו מאוחסן על המחשב אלא במיקום נפרד. בגיבוי בתוכנת ענן, מומלץ להגדיר אימות דו שלבי.

5) הכנת תוכנית פעולה למקרה של תקיפה: הערכות מבעוד מועד תסייע בצמצום וניהול נכון בעת משבר ובכלל זה התקשרות עם חברתIR (חברה לטיפול באירוע), שתאפשר לזהות את נתיב התקיפה ולנקות את רשת המחשוב או התשתיות שהודבקו לפני העלייה מגיבויים כדי למנוע הישנות התקיפה לאחר ההתאוששות.

יובל שגב, ראש מרכז טכנולוגיות מתקדמות במערך הסייבר הלאומי: לא רק שתקיפות כופרה הפכו נפוצות יותר, הן גם נהיו בוטות ונועזות יותר. תוקפים לא רק מצפינים את מערכות המחשוב הארגוניות, אלא גם גונבים את המסמכים והמידע ומאיימים לפרסמם ברשת. ארגון, שכבר הותקף ולא נערך מראש עם גיבוי יעיל, יתקשה מאוד להתאושש. בנוסף, רוב מתקפות הכופרה, שראינו בארץ, היו יכולות להימנע באמצעות פעולות הגנה בסיסיות".

ארז תדהר, מנהל אגף CERT במערך הסייבר הלאומי: "מאירועי הכופרה, שהתקבלו אצלנו, ניתן לראות, שחברות המסתמכות על גיבויים בלבד, ללא סיוע של חברות לטיפול באירוע (IR) , מוצאות עצמן מתגלגלות בתוך תקיפת כופרה זמן ממושך יותר, דבר המוביל להפסד כספי אדיר."