כופרה Ransomware

מה המשותף למשטרת ניו יורק,  חברת מוצרי הניווט Garmin, חברת הסייבר הישראלית ורינט, שירות הבריאות הלאומי של בריטניה NHS וחברת הפארמה  Reckitt Benckiser? עפ”י פרסומים גלויים כולם נפגעו בשנים האחרונות ממתקפת Ransomware (כופרה) וחלקן אף שילמו את דמי הכופר. ארגונים אלו הם רק דוגמא קטנה לאלפי אנשים וארגונים מכל גודל ומגזר שנפגעו מכופרה. הכופרה הנה מגפה עולמית שכסף גדול מניע אותה ונזקיה לארגון הנפגע אדירי ממדים, החל מהשבתת הפעילות עד שחזור המערכות, אובדן הכנסות, עלות השחזור וכלה בפגיעה במוניטין. גיליון אוגוסט של HandsOn יעסוק הפעם בתופעת הכופרה, המגמות בתחום, איך נמנעים והכי חשוב מה עושים אם חלילה נפגעים.
הכופרה הנה הפשע \ העסק (תלוי באיזה צד אתם) המשתלם ביותר במרחב הקיברנטי! במאמץ לא גדול ועם אמצעים סטנדרטיים ניתן להזניק קמפיין שמטרתו הדבקת אלפי מחשבים \ שרתים בקוד זדוני. הקוד בתורו מצפין את קבצי המידע במחשב ואלו ישוחררו רק עם תשלום כופר במטבע דיגיטלי שלא ניתן למעקב. היום עברייני הסייבר אף לא נדרשים לגלות מומחיות גדולה בניצול פרצות אבטחה ויכולת הצפנה מתוחכמות, בהשקעה קטנה יחסית ניתן לרכוש קמפיין כופרה מוגדר היטב, מנוהל עם יעדים ומטרות כשירות ((RaaS Ransomware-as-a-Service.
מחקר שנערך בתחילת השנה (טרם מגפת הקורונה) על ידי חברת הסייבר Sophos מגלה מספר עובדות ומגמות מפתיעות. המחקר כלל 5,000 מנהלי IT ב-26 מדינות מאירופה, אסיה, בריטניה, דרום אמריקה וארה”ב, להלן מספר נתונים מהמחקר:
  • עברייני הסייבר מכוונים למגזר העסקי , 55% מהארגונים שהותקפו לעומת 45% מהמגזר הציבורי.
  • 51% מהארגונים שהשתתפו במחקר נפגעו מכופרה בשנה האחרונה.
  • 73% מהארגונים שנפגעו, המידע אכן הוצפן.
  • 25% מהארגונים הצליחו לחשוף את השלבים הראשונים של ההתקפה ולעצור אותה.
  • 26% מהארגונים שנפגעו, שילמו את דמי הכופר וקיבלו את המידע חזרה.
  • 1% מהארגונים שנפגעו, שילמו את דמי הכופר ולא קיבלו את המידע חזרה.
  • 56% מהארגונים שנפגעו הצליחו להתאושש באמצעות שחזור מגיבוי.
  • תשלום הכופר מכפיל את עלות השחזור (נלקח בחשבון עלות השבתה, שעות עבודה, עלות ציוד, אובדן הכנסות ותשלום הכופר).
  • עלות ההתאוששות ללא תשלום הכופר עמד על כ-730 אלף דולר.
  • עלות ההתאוששות עם תשלום הכופר עמד  על כ-1.4 מיליון דולר.

איך הכופרה פועלת?

קיימים סוגים רבים של כופרה וכל אחת פועלת ומזיקה בדרכה אולם ככלל ניתן לזהות שישה שלבים בהתקפת כופרה.
  1. Campaign – הפצה. התוקף מנסה לגרום לקורבן ללחוץ על קישור שנשלח איליו במייל.
  2. Infection – הדבקה. הלחיצה על הקישור מפעילה Dropper הגורם להורדת קוד זדוני למחשב, בשלב זה נוצרת תקשורת למרכז השליטה והבקרה של התוקף (C&C).
  3. Staging – ייצוב. בשלב זה מתבצעת התקנה שקטה והסתרה של הקוד על מנת לשרוד הפעלה מחדש.
  4. Scanning – סריקה. הכופרה מחפשת קבצי מידע להצפנה במחשב המקומי וברשת.
  5. Encryption – הצפנה. הכופרה מצפינה את הקבצים שנתגלו בשלב הסריקה.
  6. Payday – יום התשלום. הכופרה מציגה את הודעת התשלום לקורבן, התוקף ממתין לתשלום.

איך נמנעים?

מודעות, מודעות, מודעות
הגורם האנושי הנו נקודת התורפה או החוזקה של הארגון במניעת התקפות כופרה. הדרכת מודעות שנתית לכל העובדים בכל הדרגים , כדאי ורצוי בשיתוף חברה חיצונית המתמחה בנושא. מינוי ממונה מודעות ארגוני וגיבוש תוכנית מודעות שנתית בגיבוי ההנהלה, התוכנית תעדכן ותחדד מסרים באופן שוטף כל השנה לגבי התנהגות מאובטחת בגלישה באתרים, עבודה עם דואר אלקטרוני וזיהוי ניסיונות תקיפה במיוחד על רקע מגפת הקורונה.
גיבוי, גיבוי, גיבוי
אי אפשר להגזים בחשיבות הגיבוי, אולם מערכת גיבוי תקינה ומתפקדת היטב הנה האסטרטגיה היחידה בהתאוששות ממתקפת כופר. יש לפתח אסטרטגיית גיבוי ארגונית הכוללת רישום מדויק של כל נכסי המידע בארגון ובחירת מערכת גיבוי מתאימה לנכסי המידע הקיימים בארגון. גיבוש תוכנית גיבוי על בסיס מצאי נכסי המידע הכוללת ביצוע גיבויים שוטפים וגיבויים ארוכי טווח. התוכנית תכלול במינימום גיבוי יומי, גיבוי שבועי, גיבוי חודשי וגיבוי שנתי יחד עם זמן השמירה (Retention) עבור כל אחד מגיבויים אלו. ניהול קפדני יומי יחד עם בדיקות תקופתיות יוודאו שקבצי הגיבוי תקינים וניתנים לשחזור ביום פקודה.
החוק 3 > 2 >1 (שלוש, שתיים, אחד) יכול לשמש כמסגרת להשגת מטרה זו:
3 – יצירת שלושה עותקים של המידע המגובה, לדוגמא: גיבוי לכונן דיסק  מקומי, גיבוי לענן
      ורפליקציה לאתר DR).
2 – שמירת קבצי הגיבוי על גבי שני סוגי מדיה, לדוגמא: גיבוי לדיסק וגיבוי לקלטת.
1– שמירת עותק אחד של הגיבוי מחוץ לאתר, לדוגמא: שמירת קלטת גיבוי שבועי באמצעות
     שירות שמירת קלטות.
הגבלת הרשאות 
התקפות כופרה בנויות במידה רבה על ניצול הרשאות גישה גבוהות, המאפשרות את הפעלת הקוד הזדוני והתפשטות ברשת. זה הזמן לבדוק מי מחזיק בהרשאות administrator שלא לצורך, מי מוגדר כ-Local admin ומי חבר בקבוצות Domain admins. בכל הקשור בניהול הרשאות יש לפעול עפ”י עקרון יסוד באבטחת מידע Least Privilege . משתמש יקבל הרשאות גישה המספיקות בדיוק לביצוע תפקידו, ולא מעבר. טעות רווחת בלא מעט ארגונים, לתת הרשאות admin לדרגי הנהלה, מנכ”ל מנהל כספים וכו’. תפקידים אלו רגישים מטבעם והם מטרות נחשקות לפושעי הסייבר, מתן הרשאות שלא לצורך חושפת את הארגון לסיכונים משמעותיים.
הגנת רשת
ניהול ותחזוקה של Firewall מעודכן תמיד יחד עם הגנות מתקדמות כמו:
Anti-virus, IPS, , Web filtering, SSL Deep Inspection .  הקפדה על הגדרת חוקי תעבורה עם יעד ומקור מוגדרים, בצירוף שירותים נחוצים בלבד והגבלת גישה לשעות העבודה. הגדרת סינון תעבורה מהעולם פנימה ומהארגון החוצה לשירותים ופורטים נדרשים בלבד.
הגנת יחידות הקצה – תוכנת אנטי וירוס ברמה עסקית, מנוהלת מרכזית מותקנת על כל יחידת קצה (מחשבים נייחים, ניידים ושרתים), עדכוני חתימות אוטומטיים באופן שוטף, הגדרת סריקות יזומות. הקפדה על עדכוני תוכנה ואבטחה שוטפים בכל המערכות והאפליקציות הארגוניות. יצירה ואכיפת רשימת White list של תוכנה מותרת בארגון, כל השאר אסורה. עבודה עם דפדפנים עדכניים, שימוש בחוסמי פרסומות והודעות קופצות.
סינון והלבנה 
סינון תעבורת הדואר הנכנס והיוצא מהארגון. הגבלת קפדנית של סוגי הקבצים מותרים המצורפים לדואר. הגבלת גישה לחיבורי מדיה נתיקה. הגבלת גישה לדואר אלקטרוני פרטי (Gmail, Walla וכו’). הגבלת גישה לכונני אחסון פרטיים (Google drive, OneDrive, DropBox וכו’). בדיקה והלבנת כל הקבצים הנכנסים לארגון בכל אמצעי (דואר אלקטרוני, מדיה, Internet).

מה עושים במקרה של פגיעה?

  • נתקו את החיבור של הארגון לאינטרנט.
  • עשו הערכת נזק ראשונית ,בדקו אלו תחנות או שרתים נפגעו ונתקו אותם פיזית מהרשת.
  • בצעו סריקה לאיתור הקוד הזדוני על כל המחשבים והשרתים ברשת.
  • אל תעבדו לבד! דווחו לרשות הסייבר הלאומי ,העזרו במומחים לנושא.
  • בקרו באתר https://www.nomoreransom.org/ לעיתים ניתן למצוא כלים ומידע להסרת ההצפנה ללא עלות
  • עדכנו את מערכת ה-Firewall.
  • שחזרו מידע מגיבויים \ בצעו התקנות מחדש של תחנות עבודה ככל שנדרש.

לשלם או לא לשלם?

זו כמובן שאלת מיליון הדולר (1.4 מיליון אם לדייק) ועל כל ארגון לשקול אותה בכובד ראש. אולם יש לקחת בחשבון את העובדות הבאות:
  • תשלום הכופר לא מאיץ את תהליך השחזור שכן תוקפים מיומנים עושים שימוש במספר מפתחות הצפנה והשחזור לוקח זמן רב.
  • מעבר לשאלה המוסרית (כניעה לסחיטה, ועידוד פושעי הסייבר) ייתכן שגם לאחר התשלום המידע לא יוחזר אליכם.
  • לעיתים התוקפים ממשכים לסחוט את הקורבן גם לאחר תשלום הכופר ומנסים לתקוף שוב את אותו הארגון.
  • במספר מדיניות קיימת יוזמת חקיקה הרואה בתשלום הכופר כעבירה פלילית.
  • רשויות המס נוטות שלא להכיר בתשלום הכופר כהוצאה לגיטימית לחישוב המס.