עבריינים גונבים קוד זדוני מחבריהם למקצוע

יום ב', 20 במרץ 2017

 

הקוד הזדוני החדש מבצע התקפות כופר ממוקדות כנגד חברות

 

חוקרי מעבדת קספרסקי חשפו את PetrWrap, משפחה חדשה של קוד זדוני המשתמשת במודול המקורי להצפנה של תוכנת הכופר Petya, המופץ באמצעות פלטפורמת תוכנת כופר-כשירות, כדי לבצע התקפות כנגד ארגונים.

היוצרים של PetWrap יצרו מודול מיוחד המשנה את תוכנת הכופר המקורית של Petya תוך כדי תנועה, כשהוא מותיר את הכותבים המקוריים חסרי אונים ונטולי הכנסה. הגילוי החדש משקף את התחרותיות הגוברת בשוק העולם התחתון לתוכנות כופר.

 

במאי 2016, חשפה מעבדת קספרסקי את תוכנת הכופר Petya, שלא רק מצפינה את הנתונים המאוחסנים במחשב, אלא גם מוחקת את רשומת המאסטר לאתחול בדיסק הקשיח, מה שלא מאפשר לקורבנות לאתחל את מערכת ההפעלה. 

Petya מהווה דוגמא מובהקת למודל תוכנת כופר-כשירות, בו היוצרים של קוד זדוני מציעים מוצר זדוני "על פי דרישה", ומקדמים אותו באמצעות  מספר מפיצים תוך קבלת נתח מסוים מהרווחים. במטרה לקבל את חלקם ברווח, כותבי Petya הכניסו בקוד הזדוני "מנגנוני הגנה" מסוימים, שאינם מאפשרים שימוש בלתי מורשה בגרסאות של Petya.

הכותבים של הטרויאני PetrWrap, שפעילותו הראשונה זוהתה בתחילת 2017, הצליחו להתגבר על מנגנונים אלה ומצאו דרך להשתמש ב- Petya ללא תשלום של אגורה שחוקה לכותבים המקוריים.

 

לא ברור עדיין כיצד PetrWrap מופץ. לאחר ההדבקה, PetrWrap מפעיל את המודול של Petya כדי להצפין את נתוני הקורבן ולדרוש כופר. כותבי PetrWrap משתמשים במפתחות הצפנה פרטיים וציבוריים משלהם במקום אלה שמגיעים "ארוזים" עם גרסאות Petya. כך הם יכולים לפעול ללא צורך בקבלת מפתח פרטי ממפעילי Petya כדי לשחרר את מכונת הקורבן במקרה והכופר שולם.

 

נראה כי אין זו מקריות כי המפתחים של PetrWrap בחרו ב- Petya לצורך הפעילות הזדונית שלהם: משפחת תוכנות הכופר הזו מחזיקה כיום באלגוריתם קריפטוגרפי כמעט מושלם וקשה לפיצוח – החלק החשוב ביותר בכל תוכנת כופר מצפינה. במספר מקרים  בעבר, טעויות בתהליך ההצפנה אפשרו לחוקרי אבטחה למצוא דרך לשחרר את הקבצים, כשהם הורסים את כל המאמץ שהשקיעו העבריינים בפעילות הזדונית שלהם. הדבר קרה גם בגרסאות שונות של Petya, ומאז הכותבים שלה תיקנו את כל הטעויות כמעט.

מסיבה זו, מחשב שהותקף בגרסאות אחרונות של Petya מוצפן בצורה חזקה – וזוהי גם הסיבה לכך שהעבריינים שמאחורי PetrWrap החליטו להשתמש ב-Petya. יתרה מכך, מסך הנעילה המוצג לקורבנות PetrWrap אינו מסגיר כל קשר ל-Petya, דבר המקשה על מומחי אבטחה לבצע הערכת מצב ולזהות במהירות באיזו משפחת תוכנות כופר נעשה שימוש.

 

"אנו רואים סימנים לתחרות גוברת בין כנופיות כופר. באופן תיאורטי זה טוב, מכיוון שככל שעבריינים משקיעים יותר זמן במלחמה ביניהם, כך הם מאורגנים פחות והקמפיינים שלהם יהיו פחות יעילים. הדבר המדאיג הוא העובדה כי PetrWrap משמש בהתקפות ממוקדות. זהו אינו המקרה הראשונה של התקפות כופר ממוקדות ולרוע המזל גם לא האחרון. אנו קוראים לארגונים להעניק תשומת לב רבה ככל הניתן להגנה על רשתות מסוג זה של איום, מכיוון שהתוצאות יכולות להיות הרסניות", אמר נעם פרוימוביץ, מנכ"ל קספרסקי ישראל.

 

כדי להגן על ארגונים מפני התקפות שכאלה, מומחי מעבדת קספרסקי מייעצים על הצעדים הבאים:

·         ביצוע גיבוי קבוע ומלא של הנתונים כך שניתן יהיה להשתמש בו כדי לאחזר את הקבצים המקוריים במקרה של אובדן נתונים.

·         שימוש בפתרון אבטחה עם טכנולוגיות זיהוי מבוססות התנהגות. טכנולוגיות אלה יכולות ללכוד קוד זדוני, כולל תוכנות כופר, באמצעות התבוננות בדרך בה הן פועלות במערכת המותקפת, והן מאפשרות לזהות דוגמיות חדשות של תוכנות כופר שעדיין לא מוכרות.

·         ביצוע סקירת אבטחה על רשת השליטה (כגון בקרת אבטחה, בדיקות חדירה, ניתוח פערים) כדי לזהות ולהסיר כל חור באבטחה. מומלץ גם לבצע סקירה של מדיניות האבטחה של ספקים חיצוניים ושותפים במקרה שיש להם גישה ישירה לרשת הבקרה.

·         איסוף מודיעין חיצוני: מודיעין הנאסף על ידי ספקים בעלי מוניטין מסייע לארגונים לצפות התקפות עתידיות על החברה.

·         תדרוך ואימון העובדים, עם דגש מיוחד על צוותי תפעול והנדסה והגברת המודעות שלהם לגבי איומים והתקפות עדכניים.

·         הגברת ההגנה בתוך הרשת ההיקפית ומחוצה לה. אסטרטגיית אבטחה מתאימה מקדישה משאבים מספיקים לזיהוי ותגובה כדי לחסום התקפה לפני שהיא מגיעה ליעדים חשובים.