בתוך ארבעה ימים – פי עשרה ניסיונות למתקפות על שרתי אקסצ'יינג'

על פי חוקרי צ'ק פוינט, מנהלי אבטחה נמצאים באחרונה במירוץ עם שחקנים זדוניים, כדי לסכל מתקפות נגד שרתי אקסצ'יינג' ברישוי מקומי – לא בענן – שלא הוטלאו

סליחה, תקלה. Exchange

זה היה רק עניין של זמן עד שתוקפים יתחילו לנצל את הפירצה: מספר ניסיונות ההתקפה שנצפו נגד שרתי מיקרוסופט (Microsoft Exchange) שהתגלו בהן חולשות, נסק פי 10 בתוך ארבעה ימים, כך לפי חוקרי צ'ק פוינט. בעוד שביום ה' האחרון הנתון עמד על 700 מתקפות ביום, הרי שאתמול (ב') המספר עמד על 7,200 ביום.

על פי חוקרי ענקית הגנת הסייבר הישראלית, מנהלי אבטחה נמצאים באחרונה במירוץ עם שחקנים זדוניים, כדי לסכל מתקפות נגד שרתי אקסצ'יינג' ברישוי מקומי – לא בענן – שלא הוטלאו. ארה"ב היא המדינה המושפעת ביותר, והיא חווה 17% מכלל ניסיונות התקיפה, ולאחריה – גרמניה, בריטניה, הולנד ורוסיה. הארגונים שחווים הכי הרבה מתקפות הם ממגזרי הביטחון והממשלה – 23% כל אחד מהם, ולאחריהם ייצור (15%), בנקים ושירותים פיננסיים (14%), ספקיות תוכנה (7%) ובריאות (6%).

לבצע פעולות מניעה לא רק על שרתי האקסצ'יינג'

"שרתים המכילים את הפגיעויות יכולים לאפשר לתוקף לא מורשה לחלץ את הודעות הדוא"ל הארגוניות שלך ולהחדיר נוזקה לארגון שלך – עם הרשאות ברמה גבוהה", אמר לוטם פינקלשטיין, מנהל מודיעין האיומים של צ'ק פוינט. "ארגונים הנמצאים בסיכון צריכים לבצע פעולות מניעה לא רק על שרתי האקסצ'יינג' שלהם, אלא גם לסרוק את הרשתות שלהם לאיתור איומים בזמן אמת ולהעריך את כל הנכסים שלהם".

דמיון אליה. WannaCry. אילוסטרציה: פאנג רום, BigStock

דמיון אליה. WannaCry. אילוסטרציה: פאנג רום, BigStock

על פי סופוס, התוקפים כבר מנצלים את פירצת Exchange/ProxyLogon באמצעות הכופרה DearCry. לדברי מארק לומן, מומחה כופרות בסופוס, "DearCry הוא כופרה 'מעתיקה': היא יוצרת עותקים מוצפנים של הקבצים המותקפים ומוחקת את המקור. כך, הקבצים המוצפנים מאוחסנים באזור לוגי נפרד, והוא יכול לאפשר לקורבן לאחזר חלק מהנתונים. כופרות תוקפניות יותר, המופעלות על ידי גורם אנושי, כגון Ryuk, , REvil BitPaymer, Maze ו-Clop, משתמשות בהצפנה 'בו-במקום'. התקפות אלו מותירות את הקבצים המוצפנים באותו אזור לוגי, וכך אינן מאפשרות אחזור שלהם באמצעות כלים לביטול מחיקה".

לומן הוסיף כי "הצפנת DearCry מבוססת על מערכת הצפנה עם מפתח ציבורי. המפתח הציבורי מוטמע בתוך הקוד הבינארי של הכופרה, והמשמעות היא שהתוכנה אינה צריכה ליצור קשר עם שרת הפיקוד והשליטה כדי להצפין את הקבצים. שרתי Exchange, המוגדרים כדי לאפשר גישה מהאינטרנט רק לשירותי ה-Exchange, עדיין יהפכו למוצפנים. בלא מפתח ההצפנה, הנמצא בבעלות התוקף – שחרור ההצפנה אינו אפשרי". הוא סיכם באומרו כי "מעניין לראות כי גם WannaCry היתה כופרה 'מעתיקה', ו-DearCry לא רק שחולקת עימה שם דומה, אלא גם פתיח קובץ דומה".

פריצה עולמית הרסנית

מה שהחל כקמפיין ריגול סיני חשאי, המכוון לקורבנות ספציפיים באמצעות ניצול פגיעויות בתוכנת הדואר האלקטרוני של מיקרוסופט, עלה מדרגה לפריצה עולמית הרסנית, שפגעה – או תפגע – במאות אלפי קורבנות, עסקים וגופים במגזר הציבורי בארה"ב ומחוצה לה, כך העריכו השבוע מומחי אבטחה.

המומחים אמרו, כי מאז שהענקית מרדמונד הסבה את תשומת הלב לפגיעויות, "נוצר שיטפון" של מתקפות, חלקן מגיע לא מהאקרים שלוחי מדינה, כי אם מקבוצות פשיעה – הממהרות לפגוע בקורבנות לפני שהם מאבטחים את מערכותיהם. מקצועני אבטחה העריכו, כי ארגונים שלא התקינו את הטלאים שמיקרוסופט הנפיקה בשבוע עבר "כבר נפגעו על ידי שחקן איום אחד או יותר".

אנשי Unit 42, גוף המחקר של פאלו אלטו, העריכו כי "יותר מ-20,000 ארגונים בארצות הברית ועשרות אלפי ארגונים באירופה ובאסיה נפגעו מהנוזקה שהוטמנה בעדכון התוכנה של מיקרוסופט. יש כבר כאלה המתארים אותה כ-SolarWinds הבאה.

מחקר של ESET העלה, כי יותר מעשר קבוצות תקיפה שונות מנצלות את הפגיעויות כדי לתקוף את שרתי הדוא"ל. החוקרים זיהו יותר מ-5,000 שרתי דוא"ל שהושפעו מהפעילות הזדונית הקשורה לאירוע. השרתים שייכים לארגונים – עסקיים וממשלות כאחד, מרחבי העולם, כולל פרופילים גבוהים: "לפיכך, האיום אינו מוגבל רק לקבוצת התקיפה שעליה דווח כמנצלת העיקרית של הפגיעות, הפניום (Hafnium)".

חוקרי הענקית מרדמונד ציינו, שהקבוצה "מיומנת ומתוחכמת מאוד", ושהיא ניסתה לגנוב מידע מכמה יעדים אמריקניים, בהם אוניברסיטאות, קבלני ביטחון, משרדי עורכי דין וחוקרי מחלות זיהומיות. מומחי אבטחה ציינו, שגופים נוספים כוללים ארגוני סיוע ופיתוח בינלאומיים, פורומים וגופי חשיבה לא ממשלתיים ומכוני מחקר בנושאים שונים.

לפי החברה, קבוצת הפריצה, שלה העניקה את הכינוי הפיניום, הצליחה להערים על שרתי ה-Exchange כדי לקבל גישה אליהם. לאחר מכן התחזו ההאקרים כמי שאמורה להיות להם גישה, ואז הם יצרו דרך לשלוט בשרת מרחוק, כדי לגנוב נתונים מרשת הארגון. מהענקית מרדמונד נמסר, כי קבוצת ההאקרים ממוקמת בסין, אולם היא פועלת באמצעות שרתים פרטיים וירטואליים מושכרים בארצות הברית – מה שעוזר לה להימנע מזיהוי.

 

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים