דרכי ההתקפה של תוכנות הכופר

יום ה', 21 בנובמבר 2019
חברת סופוס, הפעילה באבטחת סייבר של הדור הבא, פרסמה את How Ransomware Attacks, מדריך אבטחה המסביר כיצד גרסאות שונות של תוכנות כופר תוקפות ופוגעות בקורבנות.
 
המדריך, המשלים את דוח האיומים לשנת 2020 שפורסם באחרונה, מציג ניתוח מפורט של 11 המשפחות התוקפניות והנפוצות ביותר של תוכנות כופר, כולל Ryuk, BitPaymer ו- MegaCortex. 
 
המחקר באמצעות SophosLabs, מציג כיצד תוכנות כופר מנסות לחלוף על פני בקרי האבטחה מבלי שיבחינו בהן, כשהן מנצלות תהליכי מחשוב לגיטימיים ואמינים. לאחר מכן הן רותמות מערכות פנימיות כדי להצפין במהירות את מרב הקבצים ולנטרל תהליכים של גיבוי ואחזור, בטרם צוות אבטחת ה- IT מספיק להגיב.
 
הכלים והטכניקות המפורטים במדריך כוללים:
דרכי ההפצה של משפחות תוכנות הכופר המרכזיות. תוכנות כופר בדרך כלל מופצות באחת משלוש דרכים: כ-cryptoworm, אשר משכפל את עצמו במהירות למחשבים אחרים לצורך יצירת התקפה נרחבת ככל הניתן (כגון WannaCry); כתוכנת כופר כשירות (RaaS), הנמכרת ברשת האפילה כערכה להפצת קוד זדוני (כגון Sodinokibi); או באמצעות התקפות אוטומטיות פעילות (automated active adversary attack), במסגרתן תוקפים מפעילים באופן ידני את תוכנות הכופר, לאחר שביצעו סריקה אוטומטית של רשתות כדי לאתר מערכות עם הגנה חלשה. סוג זה של התקפות הוא הנפוץ ביותר בקרב המשפחות המובילות שמפורטות בדוח.
 
תוכנת כופר עם חתימה קריפטוגרפית של תעודה דיגיטלית לגיטימית שנרכשה או נגנבה. תעודה זו מסייעת לשכנע חלק מתוכנות האבטחה כי הקוד הוא אמין ואינו דורש ניתוח.
 
אסקלציה של הרשאות באמצעות כלי פריצה מוכנים, כגון EternalBlue. הדבר מאפשר לתוקף להתקין תוכנות שליטה מרחוק (RTA) על מנת לצפות, לשנות או למחוק נתונים, ליצור חשבונות חדשים עם הרשאות מלאות, ולנטרל תוכנות אבטחה.
 
תנועה רוחבית וצייד ברשת אחר קבצים או שרתי גיבוי, וכל זאת כשהכל נעשה מתחת לרדאר, ובמטרה לייצר את אפקט הפגיעה הרחב ביותר במהלך מתקפת הכופר. בתוך שעה, תוקפים יכולים ליצור קוד שיעתיק ויפעיל את תוכנת הכופר בנקודות הקצה ובשרתים, וכדי להאיץ עוד יותר את המתקפה, תוכנות הכופר יכולות לבצע תיעדוף של נתונים הנמצאים בכוננים משותפים או מרוחקים, לתת עדיפות לקבצים קטנים, ולהריץ מספר תהליכי הצפנה במקביל. 
 
התקפות מרחוק. לעיתים קרובות, שרתי הקבצים בעצמם אינם נפגעים מתוכנות הכופר. במקום זאת, האיום מופעל בדרך כלל על נקודת קצה אחת או יותר שנפרצו, ומשם הוא מנצל הרשאות משתמש כדי לבצע תקיפה מרחוק. לעיתים הדבר מבוצע באמצעות פרוקוטול RDP-Remote Desktop Protocol, ולעיתים באמצעות תקיפה של פתרונות RMM המשמשים ספקי שירותים (MSP) כדי לנהל את תשתיות ה-IT של לקוחות ומשתמשי קצה. 
 
הצפנת ושינוי שם קבצים. ישנן מספר שיטות שונות להצפנת קבצים, כולל שימוש בכתיבה מחדש על גבי מסמך. אבל רוב ההתקפות משלבות גם מחיקה של קובץ המקור ועותק הגיבוי כדי לפגוע בנסיונות האחזור.