כיצד נוזקות כופר עובדות?
ישנן מספר טכניקות בהן משתמשים יוצרי תוכנות הכופר, ביניהן:
- נעילת מסך חוסמת את הגישה למסך המכשיר ומאפשרת גישה רק לממשק המשתמש של הכופרה.
- נעילת קוד אישי משנה את הקוד האישי של המכשיר, מה שהופך את התוכן של המכשיר ואת המכשיר עצמו לבלתי-נגישים.
- הצפנת כונן מצפינות את ה-MBR (Master Boot Record, סקטור האתחול) ו/או מבנים חשובים של מערכת הקבצים, ובכך מונעים מהמשתמש לגשת למערכת ההפעלה.
- הצפנה מצפינות את הנתונים המאוחסנים על הכונן הקשיח.
אזהרה
ברוב המקרים, נוזקות מסוג זה דורשות תשלום, כשבדרך כלל התשלום מתבצע באמצעות ביטקוין, מונרו או מטבעות דיגיטליים דומים שקשה לעקוב אחריהם. בתמורה, התוקפים טוענים שהם ישחזרו את הצפנת הנתונים ו/או את הגישה למכשיר המותקף. עם זאת, אף אחד לא יכול להבטיח שפושעי הסייבר ימלאו את הצד שלהם בעסקה (ולעיתים הם אפילו לא מסוגלים לעשות זאת, בין אם בכוונה ובין אם כתבו קוד גרוע). לכן, ESET ממליצה שלא לשלם את הסכום הנדרש – לפחות לא לפני יצירת קשר עם מחלקת השירות של ESET, כדי לבדוק אם ישנן אפשרויות נוספות לשחרור ההצפנה.
מדוע עסקים קטנים-בינוניים צריכים לחשוש ממתקפות כופרות?
על פי הסקר משנת 2017 של חברת Ponemon, שנקרא "מצב אבטחת הסייבר בעסקים קטנים ובינוניים, כל אחת מהחברות שהשתתפו בסקר חוו מתקפת כופר במהלך 12 החודשים שקדמו לעריכת הסקר, חלקן אף מספר פעמים. רוב המשתתפים (79%) חזו בפריצה למערכותיהם כתוצאה מטכניקות של הנדסה חברתית.
הסטטיסטיקות האלה מצביעות על שני דברים:
1. בניגוד לאמונה הרווחת, עסקים קטנים-בינוניים הופכים למטרה מעניינת באופן הולך וגובר עבור עברייני הסייבר.
2. עסקים קטנים-בינוניים מהווים מטרה בעלת ערך גדול יותר מזה של משתמשים פרטיים, אך הם פגיעים יותר מחברות גדולות, שכן ברוב המקרים לעסקים קטנים-בינוניים אין את הידע והמשאבים הכספיים להגנת סייבר כפי שיש לעמיתיהם הגדולים. השילוב הזה בין חשיבות המידע המאוחסן והפער באבטחת הסייבר הופך את העסקים קטנים-בינוניים למטרה מפתה לתוקפים.
קרא עוד
אותו הדוח מצביע על כך שמחשבים נייחים הם המטרה העיקרית למתקפות כופר (78%), כשאחריהם באו מכשירים ניידים וטאבלטים (%37) ושרתי החברה (%34). אם מתקפת הכופר הצליחה, מרבית הקורבנות (%60) שילמו את הכופר הנדרש. בממוצע, הסכום אותו שילמו העסקים עמד על יותר מ-2150 דולרים. עם זאת, ישנן דרכים טובות יותר להתמודד עם איום הכופר וזאת באמצעות התמקדות במניעה ובשחזור.
כיצד תוכלו להגן על הארגון שלכם?
צעדי מניעה ושחזור בסיסיים:
- גבו את הנתונים באופן קבוע ושמרו על גיבוי מלא אחד לפחות, שכולל את כל המידע החשוב ואינו מחובר לאף רשת.
- שימו לב לכך שכל התוכנות – כולל מערכות ההפעלה – יקבלו את כל העדכונים ועדכוני האבטחה
- השתמשו בפתרון אבטחה מהימן ורב-שכבתי ודאגו שיקבל את כל העדכונים
צעדי הגנה נוספים
- הקטינו את שטח פני ההתקפה באמצעות כיבוי או הסרה של כל השירותים והתוכנות שאינם נחוצים
- סרקו את הרשתות וחפשו אחר חשבונות מסוכנים שמשתמשים בסיסמאות חלשות, ובדקו שהם משפרים את אותן הסיסמאות
- הגבילו או מנעו את השימוש בפרוטוקול שליטה מרחוק (RDP) מחוץ לרשת, או אפשרו אימות ברמת הרשת (Network Level Authentication).
- השתמשו ברשת וירטואלית פרטית (VPN) עבור עובדים הניגשים מרחוק למערכות החברה
- בדקו את הגדרות חומת האש וסגרו כל פורט לא-חיוני שעשוי להוביל להדבקה
- בדקו את הכללים והמדיניות הנוגעים לתעבורה בין המערכות הפנימיות של החברה ובין רשתות חיצוניות
- חלקו את הרשת המקומית לסאבנטים (Subnet) וחברו אותם לחומות אש על מנת להגביל את התנועה של מתקפות כופרה ומתקפות אחרות בתוך הרשת
- הגנו על הגיבויים שלכם באמצעות אימות דו-שלבי
- למדו את הצוות שלכם באופן קבוע כיצד לזהות איומי סייבר וכיצד להתמודד עם מתקפות הנדסה חברתית
- הגבילו את הגישה לקבצים ולתיקיות רק לאלו הזקוקים להם. כחלק מצעד זה, הפכו את הרשאות הגישה לכל התוכן להרשאות קריאה בלבד, ושנו הגדרה זו רק עבור חברי צוות שחייבים לכתוב ולשנות קבצים.
- אפשרו זיהוי של תוכנות לא בטוחות / לא רצויות אפשריות (PUSA/PUA) כדי לאתר ולחסום כלים שעשויים לסייע לתוקפים לכבות את פתרון האבטחה.
אף עסק לא מוגן באופן מושלם מפני כופרות
אם החברה שלך לא נפגעה ממתקפת כופר, כנראה תתפתו לחשוב שהאיום הזה נוגע בעיקר לארגונים גדולים יותר, אך הסטטיסטיקות מראות שזאת תהיה טעות. בנוסף, גם מתקפה ממוקדת עשויה לצאת משליטה ולגרום לנזק עצום, אפילו בקנה מידה עולמי. ביוני 2017, מתקפת נוזקות שהתרחשה באוקראינה וזוהתה ע"י ESET בשם Diskcoder.C (מוכר גם בשם Petya או NotPetya) החלה לצאת מגבולות המדינה אחרי זמן מה. לאחר מכן התברר כי היה מדובר במתקפת שרשרת-אספקה מתוכננת היטב שפלשה לתוכנת חשבונאות פופולרית כדי לתקוף ארגונים באוקראינה ולפגוע בהם, אך יצאה מכלל שליטה ופגעה בחברות גלובליות ובחברות קטנות רבות, מה שגרם לנזק של מאות מיליוני דולרים.
עוד תולעת כופר, שזוהתה ע"י ESET בשם WannaCryptor.D (מוכר גם בשם WannaCry) התפשטה במהירות. תולעת זו השתמשה בכלי EternalBlue שדלף מה-NSA, וניצלה פרצה בפרוטוקול SMB (Server Message Block), שמשמש בעיקר למתן גישה משותפת לקבצים ולמדפסות. למרות שמיקרוסופט שחררה טלאי אבטחה לפרצה לרוב מערכות Windows הפגיעות כמעט חודשיים לפני המתקפה, WannaCryptor.D הסתננה לרשתות באלפי ארגונים ברחבי העולם. עלות הנזק הנובעת ממתקפת הסייבר הזו מוערכת בכמה מיליארדי דולרים.
הפתרון של ESET מגן עליכם מפני כופרות
ESET PROTECT
Advanced
הגנו על מחשבי החברה והמכשירי המובייל באמצעות מוצרי אבטחה המנוהלים באמצעות ממשק ניהול מבוסס-ענן. הפתרון כולל טכנולוגיית Sandbox בענן, המונעת איומי Zero Day ומתקפות כופרה, ומאפשר הצפנה דיסק מלאה המגנה על הנתונים הרגישים בארגון בצורה טובה יותר.
