ה-"ברכה" של ההאקרים הרוסים ל-4 ביולי: מתקפת כופרה על ארה"ב
קבוצת REvil חדרה לכלי לניהול מרחוק של רשתות בשם קסייה ותקפה מאות חברות שמשתמשות בו * מומחי אבטחה ציינו שעיתוי המתקפה – בסמיכות ליום העצמאות של ארצות הברית - לא מקרי
ברוסיה לא חוגגים את ה-4 ביולי: קבוצת ההאקרים REvil, שמקורה במדינה, תקפה ביום ו' במתקפת כופרה מאות חברות ברחבי העולם, רבות מהן בארצות הברית. היקף הנפגעים מהמתקפה לא ידוע והוא מוערך בעשרות אלפים. מומחים ציינו כי תזמון המתקפה, יומיים לפני יום העצמאות האמריקני – לא מקרי.
במסגרת המתקפה, ההאקרים השביתו חלק ממערכות ה-IT של הקורבנות, ודרשו דמי כופר לשחרור נעילת המחשבים בסך 50 אלף דולר בכל אחד מהמקרים. המתקפה הפילה קורבנות בכמה מדינות, בהן ארצות הברית, בריטניה, גרמניה, דרום אפריקה, קנדה, גרמניה וקולומביה. היא בוצעה באמצעות חדירה לכלי לניהול מרחוק של רשתות בשם קסייה (Kaseya).
מומחי אבטחה העריכו כי זו אחת המתקפות הגדולות ביותר על שרשרת האספקה, שנזקה עלול להיות רב כמו המתקפה שאירעה על סולארווינדס.
היקף הנזק יתגלה, ככל הנראה, רק בהמשך השבוע
REvil עלתה באחרונה, שוב, לתודעה הציבורית כמי שתקפה את ספקית הבשר הענקית JBS, ודרשה ממנה – וקיבלה – דמי כופר בסך 11 מיליון דולר.
נראה כי המתקפה על הכלי של קסייה התפשטה למאות משתמשי הקצה שלה, אבל מאחר שהיא בוצעה ביום ו', ייתכן שהיקף הנזק לא יתגלה במלואו עד מתישהו במרוצת השבוע הנוכחי, בתום החופשה בארצות הברית לרגל יום העצמאות.
לאחר שנודע על המתקפה סגרה קסייה את השרתים והחלה להזהיר את לקוחותיה. החברה ניסתה למזער את הסיפור באומרה כי "האינדיקטורים המוקדמים שלנו מצביעים שרק מספר קטן מאוד של לקוחות מקומיים הושפעו מהמתקפה. נקטנו גישה שמרנית והשבתנו את שרתי התוכנה כשירות (SaaS) שלנו כדי להבטיח שאנחנו מגנים על יותר מ-36 אלף לקוחותינו כמיטב יכולתנו". לטענת קסייה, פחות מ-40 מלקוחותיה הושפעו מהמתקפה, אולם אנליסטים ציינו שהנתון האמיתי גבוה יותר וכי "רבים מלקוחות קסייה הם נותני שירות, שעלולים להדביק בכופרה את לקוחותיהם. כש-MSP יחיד נפגע, זה עלול להשפיע על מאות משתמשי קצה, ובמקרה זה נראה שכמה MSPs נפגעו".
"ההאקרים ניצלו את האמון במוצר"
חברת משברי הסייבר הישראלית פרופרו (Profero) מטפלת בכמה חברות שנפגעו מהמתקפה. לדברי גיא ברנהרט מגן, סמנכ"ל הטכנולוגיות של פרופרו, "זו מתקפה קלאסית שבה התוקפים משתמשים בספק כדי להגיע להיקפי וממדי נזק נרחבים. קסייה מעניקה שירותים לחברות ענק ועד עסקים קטנים. ההאקרים ניצלו את האמון שיש במוצר כי הם ידעו שכך הם יוכלו להפיץ את הכופרה לכמה שיותר חברות ברחבי העולם. חברות שמנהלות מרחוק מחשבים של מספר רב של לקוחות במקביל הן מטרה רבת ערך לתוקפים".
אלרואי מרום, מנכ"ל לינווייט, שמתמחה בבנייה ובתחזוקה של סביבות ענן לארגונים, אמר כי "הכופרות הן המחלה של עידן האינטרנט. הכנה של ארגון להתאוששות ממתקפת כופרה היא כמו כיסוח דשא – זה סיזיפי ומשעמם, אבל לפחות כך לא יגדלו קוצים שעלולים להבעיר את הבית על יושביו".
מרום ציין כי "הביטוי הנכון והמעודכן הוא 'לי זה כן יקרה'. חשוב שארגונים יבינו שזה עומד לקרות להם. לא משנה מה נעשה – סביר להניח שמישהו, מתישהו, ינסה לפרוץ ולהצפין את הקבצים. לכן, חייבים להתארגן, עם תוכנית התאוששות מאסון, עם יצירת גיבויים מנותקים ועם שמירתם – גם ברשת האלטרנטיבית, ועם תמונת מצב (Snapshot), כדי שנוכל לשחזר גרסה שלא נפגעה מהמתקפה, ולחזור אחורה בזמן".
הוא הוסיף ש-"הרוב המכריע של המתקפות מתבצעות על ידי פושעי סייבר פשוטים למדי, שמשתמשים בכופרות שעושות שימוש בפרצות ידועות ופשוטות, שיצאו להן תיקונים וטלאי אבטחה. הבעיה היא שמערכות המחשוב נעשו כל כך מסובכות. לכן, ארגונים חייבים להפעיל מערכות ניטור שיבדקו באופן עקבי, קפדני ומשעמם להחריד האם הותקנו תוספים אבטחה, מי לא עדכן, מי החליף סיסמה ועוד. עדיף לפעול לפני מאשר לשלם אחר כך – וביוקר".
איסור מוחלט על שימוש במטבעות קריפטו בארה"ב, באיחוד האירופי וכמובן בישראל הוא הפתרון היחידי למתקפות הכופרה, כל דבר אחר פטפטת חסרת תכלית.