תולדות מלחמות הסייבר רצופות באירועי כופרה, עם אירועים מעוררי פאניקה כמו מתקפת WannaCry שפגעה ב-300 אלף מחשבים ב-2017, מתקפות הקריפטולוקר, שהיתה הכופרה הראשונה שגבתה את דמי הכופר בביטקוין, וכופרות זכורות לשמצה נוספות כמו Ryuk, BitPaymer , ו-MegaCortex.
דו"ח של חברת הגנת הסייבר CrowdStrike מציין כי 36% מהאירועים שנחקרו על ידה בשנת 2019 היו קשורים להתקפות כופרה כשהמסקנה היא שבמרבית המקרים המטרה העיקרית של התוקפים היא שיבוש עסקי החברה הנתקפת. חברת Eset מצאה שמעל ל-60% מהנוזקות עלולות לשמש למתקפת כופר. לפי דו"ח האיומים לשנת 2020 של חברת הגנת הסייבר סופוס, מספר הנפגעים מהתקפות כופרה הולך וגדל במהירות בשנים האחרונות, ככל שהשיטות של התוקפים הולכות ומשתכללות.
האם מתקפות כופרה הופכות לבעיה לאומית? מערך הסייבר הלאומי מדווח כי בשנה האחרונה הגיעו אליו כ-200 דיווחים על מתקפות כופרה על ידי הקורבנות - חברות ואנשים פרטיים. עם זה מעריכים במערך הסייבר, שמספר מתקפות כופרה גדול הרבה יותר, ורובן לא דווחו. לפי נתונים שמציג המערך, עלות הנזק החציוני לחברות קטנות עד בינוניות ממתקפות סייבר מגיע ל-170 אלף דולר לארגון.
חומרת הבעיה הביאה את מערך הסייבר הלאומי להגדיר שורת כללי עשה ואל-תעשה, אם ברצונך להימנע ממצב פושע סייבר אנונימי מחזיק בידיו את המפתח לעסק שלך.
איך להיערך מראש למתקפת כופרה?
- גיבוי, גיבוי ועוד גיבוי - בתקיפה מסוג כופרה, שחזור המידע מגיבוי יסייע להתאושש במהירות יחסית ולחזור לתפקוד. גיבוי שמאוחסן במיקום נפרד הוא לעיתים הפתרון היחיד להתאוששות ממתקפת כופרה. ניתן לגבות בהתקן אחסון נתיק ומיד לאחר מכן לנתקו ולשמרו במקום מאובטח. ניתן לגבות גם בענן, באמצעות שירותים מקוונים ומוצפנים. יש לוודא שהגישה לגיבוי נעשית באמצעות אימות דו-שלבי. אין צורך לגבות את כל הקבצים – ניתן לבחור לגבות רק קבצים ונתונים חשובים. מומלץ לגבות את כל המכשירים שכוללים מידע דיגיטלי.
- תוכנות הגנה - יש להתקין תוכנות אנטי-וירוס ו"חומת אש" על כל המכשירים. תוכנות אנטי-וירוס מצריכות עדכוני תוכנה וסריקה על בסיס קבוע כדי להישאר יעילות. מומלץ להגדיר התקנת עדכונים אוטומטית בתוכנות אלו.
- עדכוני תוכנה - יש להקפיד על עדכון מערכת ההפעלה והתוכנות, זוהי אחת הדרכים היעילות ביותר למנוע מתקפת סייבר. הגדירו עדכונים אוטומטיים אחת ליום.
- מתחזים בדוא"ל – בעת קבלת דוא"ל, יש לבדוק האם כתובת הדוא"ל מוכרת, האם אפשר לסמוך על השולח, האם סביר שהשולח הזה שלח את הקובץ הזה? אם יש ספק, יש ליצור קשר ישיר עם השולח, לא באמצעות כתובת המייל החשודה.
- קבצים מסוכנים – אל תפתחו קבצים חשודים, אל תפתחו קבצים שהתוכנה מתריעה שהם מסוכנים, היזהרו בקבצים עם הסיומות .EXE, .VBS, SCR. וגם מסיומות כפולות כמו AVI.EXE, DOC.SCR, שמשמשות מסווה לקבצים זדוניים.
- מה הם קופצים - מומלץ להימנע מחלונות קופצים (Pop-Up), שעלולים להיות נגועים בתוכנות מזיקות. אפשר לחסום אותם על ידי הדפדפן או תוסף לדפדפן.
ואלה ההמלצות של חברת סופוס:
- ודאו שיש לכם רשימת מצאי מלאה של כל המכשירים המחוברים לרשת שלכם, ושכל תוכנות האבטחה מעודכנות.
- שמרו על גיבוי קבוע של הנתונים החשובים והעדכניים באחסון מנותק מהרשת. זו הדרך הטובה ביותר להימנע מהצורך לשלם כופר כאשר נפגעים מתוכנת כופר.
- מנהלים צריכים לאפשר אימות רב-שלבי עבור כל מערכות הניהול, כדי למנוע מתוקפים לנטרל מוצרי אבטחה במהלך ההתקפה.
- אין "פתרון זהב" לאבטחה, ומודל של הגנה שכבתית הוא הדרך הטובה ביותר עבור עסקים.
הצילו, תקפו אותי ודורשים כופר, מה לעשות?
הנחיות מערך הסייבר הלאומי:
- ניתוק מהרשת - יש לנתק מיידית את המחשב מרשת התקשורת, לרבות רשת האינטרנט ואמצעי הגיבוי ולהימנע מהמשך עבודה על המחשב עד להסרה מלאה של הכופרה או הסרת החשד לקיומה.
- וידוא אי נגישות קבצים - ודאו כי הקבצים הדיגיטליים אינם נגישים כתוצאה מפעילות כופרה, ולא מתקלה טכנית. בדקו האם סיומת הקובץ השתנתה וכי אכן הקבצים "אינם קריאים", על ידי שימוש בתוכנות העריכה הסטנדרטיות (דוגמת Word).
- החלפת סיסמאות - החליפו מיידית את סיסמאות הגישה לכל החשבונות שלכם, לשירותי ענן ולמערכות פיננסיות באמצעות מחשב או סלולרי שלא נפגע מהכופרה.
- מניעת חיבור התקנים - אל תחברו למחשב התקנים חיצונים, אמצעי מחשוב וציוד היקפי נוסף. הכופרה עשויה להתפשט אליהם או למנוע גישה לקבצים הדיגיטליים שבהם.
- בדיקת תקינות התקנים חיצוניים - (למתקדמים) בדקו את תקינות תוכנם של אמצעי אחסון חיצוניים על ידי בדיקה מקדימה של תוכנם באמצעות אמצעי עדכני לזיהוי נוזקות כגון אנטי וירוס אשר יופעל על מחשב ייעודי בנפרד ובמנותק מנותק מהרשת שנפגעה מהכופרה.
- הנחיות להסרת הכופרה - בדקו האם ישנם הנחיות פרטניות להסרת ההצפנה באמצעות גלישה לאתר www.nomoreransom.org. אתר זה הוקם על-ידי רשויות אכיפת חוק וחברות אבטחת מידע בכדי לסכל את פעילותם של האקרים, המעורבים בהפצת כופרות. גם אם לא איתרתם הנחיות מתאימות, מומלץ שלא למחוק את הקבצים שהוצפנו, כיוון שיתכן שהנחיות מתאימות יפורסמו בהמשך.
- המחשב שהותקף משמש לצרכי עבודה? דווחו על האירוע לגורם מקצועי רלוונטי בארגון. אל תקבלו החלטות מהותיות ללא ייעוץ מקצועי הולם. בדקו מול הלשכה המשפטית את החובות כלפי גורמי צד-שלישי (רגולטורים ולקוחות לדוגמה), לרבות חובת דיווח. בדקו האם פוליסות הביטוח הקיימות ברשותך מספקות מענה לאירועי סייבר, לרבות קיומה של כופרה. צרו קשר עם המרכז המבצעי של מערך הסייבר הלאומי הזמין 24/7 בחיוג ישיר 119.
מומחי חברת ESET מוסיפים:
איתור הוראות תשלום הכופר - יש לבדוק מהו המחשב הנגוע, שממנו קודדו הקבצים. במרבית המקרים יתגלה קובץ TXT או HTML המכיל את ההנחיות לתשלום בשם "How to decrypt" בתיקיות המשותפות או בכוננים שהוצפנו. יש ללחוץ לחיצה ימנית על הקובץ > Properties > לשונית Details ולאתר בשדה Owner את המשתמש שממנו בוצעה ההצפנה. במידה וה–Owner הוא Administrators, זה לרוב יצביע על פריצה דרך RDP או Privilege Escalation.
ניתוק וכיבוי - בנוסף לניתוק של המחשב והמשתמש מהרשת, אם הקבצים במחשב הוצפנו חלקית, יש לכבות מיידית את המחשב.
סגירת RDP - יש לוודא שה-RDP סגור בכל הרשת, במידה ויש צורך בגישה מרחוק יש להשתמש ב–VPN. סגירת ה–RDP ברשת תנתק חיבור פעיל של תוקף במידה ועדיין מחובר.
בידוד שרתים - אם התוקפים טרם הצפינו את הקבצים מומלץ לבודד שרתים קריטיים כמו שרתי קבצים, SQL, דואר או IIS. בעדיפות גבוהה יש לטפל בשרתי גיבוי, גיבויים שרצים לענן, או NAS הקיימים ברשת, לנתקם או לבטל את הגיבוי האוטומטי כדי שלא יסונכרנו קבצים מוצפנים.
סריקה ידנית - יש לוודא שמותקנת הגירסה העדכנית של תוכנת אבטחה בכל התחנות ברשת כי יתכן והכופרה ממשיכה לתקוף תחנות נוספות. אם הגירסה אינה עדכנית או אין חתימות עדכניות, מומלץ לבצע סריקה עם כלי ניקוי משלימים, כמו למשל סריקת אבטחה במצב בטוח או סריקה מתוך התקן USB Bootable עליו שמים סורק כלשהו.
שחזור - רק לאחר שוידאנו שלא קיימים העתקים של הכופרה בשום תחנה, ניתן לשחזר את הקבצים מהגיבוי.
עותק צל - לא עשיתם גיבוי מסודר? קבצי הגיבוי שלכם ננעלו על ידי הכופרה? ניתן לנסות לשחזר את הקבצים מתוך Shadow Copy, בהנחה שהכופרה לא הצליחה למחוק את ה–Shadow Copy.