"התוקפים באמצעות כופרות הפכו לעוד יותר אגרסיביים – ויצירתיים"

"לאור ההצלחות שלהם, מפתחי ומשלחי הכופרות הפכו לעוד יותר אגרסיביים ויצירתיים. אף שלכאורה נדמה שחלה ירידה קלה בהיקף הכופרות, בין השאר כי מגיפת הקורונה השפיעה גם על ההאקרים, הרי שהם ממשיכים לפעול במלוא העוצמה", כך אמר אנדרה קובוביץ', מומחה למודעות לנושאי אבטחת מידע ב-ESET.

קובוביץ' דיבר בכנס InfoSec 2020, שהופק על ידי אנשים ומחשבים ונערך היום (ד') באופן וירטואלי. הוא ציין כי "הכופרה שהסבה הכי הרבה נזק היא WannaCry. גם כיום, שנתיים לאחר הופעתה בראשונה, היא ממשיכה לתקוף מחשבים שלא עודכנו ושווקים בלתי מפותחים. לעומת זאת, הכופרה Filecoder הפסיקה את פעולתה והמפתחים שלה שחררו לציבור 750 אלף מפתחות הצפנה".

בהיבט הגיאוגרפי, הוא אמר כי "התוקפים לא מחמיצים הזדמנות, הם תוקפים בכל העולם. המתקפות הרבות ביותר מוכוונות כלפי רוסיה, אוקראינה וטורקיה, אולם יש מתקפות רבות גם על מדינות מערב אירופה, ארצות הברית ופרו".

צילום ועריכת וידיאו: אורי אלון

"יש כמה דרכים לחשב כמה ההאקרים מרוויחים מדמי הכופר על שחרור הנעילה של הכופרות", הוסיף קובוביץ'. "האחת היא לשאול אותם, כי הם אוהבים להתרברב. אחת הקבוצות, GandCrab, טענה שעשתה מהמתקפות האלה מיליארד דולרים. אלא שאנשי ה-FBI עברו על כל מטבעות הביטקוין המשמשות לתשלום עבור כופרות בשבע השנים האחרונות וגילו כי הנתון עומד על 144 מיליון דולר. אבל, אלה רק ארנקים מוכרים, ויש עוד רבים שהם בלתי מוכרים. מיזם NoMoreRansom, שהוא שיתוף פעולה של היורופול ו-150 חברות אבטחה, ש-ESET ביניהן, חסך לארגונים ויחידים 108 מיליון דולר".

הוא הדגיש כי "הנתון החשוב הוא הנזק שהכופרות מסבות לתעשייה ולקורבנות. כופרת NotPetya הייתה הכי הרסנית וגרמה לנזק כספי של 10 מיליארד דולר. עיריית בולטימור ספגה נזק ישיר של 10 מיליון דולר מנוזקת רובין הוד ונזק עקיף של שמונה מיליון נוספים. רשויות עירוניות, אוניברסיטאות, שדות תעופה, ובתי חולים – כל אחד מהם ניזוק בהיקף של מאות אלפי דולרים או יותר. כמובן שהסכומים האמיתיים הם גבוהים יותר, כי יש אזור אפור: חברות לא מדווחות על ששילמו דמי כופר, כי הן חוששות מקנסות מצד הרגולטור, מאובדן לקוחות, מאובדן אמון הלקוחות ומירידת הערך שלהן".

האסטרטגיה החדשה של ההאקרים

"שיטות ההדבקה השתנו", אמר קובוביץ'. "התוקפים שינו אסטרטגיה, והם ממוקדים בארגון ובפרט. הם מתבססים על רשתות בוטים להפצת הכופרות, כי זה יעיל יותר. בעבר, הם שלחו מכתב קצר: 'תשלם בביטקוין', ואילו כיום הם מפנים לדף בדארקנט, כדי שיוכלו להתמקח. יש שם גם מדריכים איך לפתוח את ההצפנה".

הוא סיפר גם על טכניקת Doxing, שהכופרה Maze, שהחלה לתקוף חברות אמריקניות בסוף 2018, משתמשת בה. "זו פעולה שבה הם גונבים מידע רגיש, שמוגן על ידי חוקי הגנת הפרטיות. הם מאיימים לפרסם, וכך הלחץ על הקורבן גדל עוד יותר. לרוע המזל, כנופיות מעתיקות הצלחות האחת מהשנייה".

אז מה עושים?

"כדי להישאר בטוחים בעידן הכופרות", אמר קובוביץ', "עלינו להבין להיכן התוקפים מכוונים את המתקפות, מה הנקודות הרגישות. למשל, ה-FBI קבע כי סיסמה חלשה לשולחן עבודה מרחוק היא להיט בקרב ההאקרים. אם שירותים רבים פתוחים לרשת, התוקפים יסרקו שירות אחר שירות עד שימצאו את הדרך לפרוץ לרשת הארגונית. חברות רבות לא מעדכנות את התוכנות שלהן ולא מטליאות טלאי אבטחה. לעתים יש להן פתרונות אבטחה ישנים. בחברות רבות אין כלי ניטור דוגמת EDR".

יש לקובוביץ' כמה עצות מה ניתן לעשות כדי למנוע מתקפות שכאלה: "הגנו על הגישה לשולחנות עבודה מרוחקים (RDP) עם סיסמאות חזקות; השתמשו באימות דו שלבי או רב שלבי; שימרו את ה-RDP סגור ככל הניתן; טפלו בחינוך ובמודעות העובדים לתחום; וערכו תרגולים".

כמו כן, אמר, "יש הטוענים ש-Doxing הופך את הגיבויים ללא רלוונטיים. זה לא נכון. גיבוי הוא רכיב מפתח בהגנה והדבר הראשון שיש לעשות. נדרש לשמור את הגיבויים בתשתיות נפרדות. אל תשכחו לעדכן את מערכת ההפעלה ואת פתרונות האבטחה שלכם".

הוא סיים באומרו: "השתמשו בפתרון אבטחה מהימן, עוצמתי ורב שכבתי, שיוכל להגן עליכם מפני כנופיות האקרים חדשניות, שמנצלות טכניקות תקיפה חדשות ומפגינות נחישות ויצירתיות. הישארו בטוחים, ממוקדים ועדכנו כל דבר שזז. מתקפות הכופרה נמצאות פה והן פה כדי להישאר. הן רק משתכללות".

רונן מואס, מנכ"ל ESET ישראל. צילום: יח"צ

רונן מואס, מנכ"ל ESET ישראל, דיבר אף הוא בכנס ואמר כי "המוטיבציה למתקפות הכופרה היא כסף, הרבה מאוד כסף. בשנים האחרונות, מתקפות הכופרה הולכות ומתגברות, והן גם משתכללות בלא הרף ומסבות נזק כלכלי אדיר לקורבנות".

הוא ציין כי "אנחנו, ב-ESET, מתמקדים בזיהוי, מניעה והגנה על חברות, עם מתן המשכיות עסקית, תוך מינימום צריכה של משאבים".