בערב שישי (שעון ישראל) מתקפת כופר מתואמת היטב זרעה חורבן במערכות מחשוב בכ-80 מדינות ברחבי העולם. המתקפה החלה באירופה, התפשטה לארה"ב ומשם למזרח הרחוק. המתקפה בוצעה באמצעות תוכנת כופר בשם WannaCry, שהושתלה במחשבים באמצעות פרצה במערכת ההפעלה ווינדוס. הכופרה נעלה את הקבצים במחשב או ברשת המחשבים תחת הצפנה והמשתמשים נדרשו לשלם כופר של 300-500 דולרים בביטקוין (מטבע דיגיטלי בלתי ניתן למעקב) כדי לקבל בחזרה גישה למערכת או לקבצים.
הגוף שככל הנראה נפגע הכי קשה במתקפה, לפי הדיווחים, הם שירותי הבריאות הלאומיים בבריטניה (NHS), ועשרות בתי חולים הושפעו ממתקפת הסייבר; לא ניתן היה לגשת לפרטים על חולים ומערכות תורים, קווי טלפון וחשבונות מייל קרסו. גם "טלפוניקה", חברת התקשורת הגדולה ביותר בספרד, נפגעה במתקפה במקביל לחברות מסחריות גדולות ואתרי ממשל רוסיים. אוניברסיטאות ומוסדות ציבור ברחבי העולם נפגעו גם, והכול תודות לסוכנות הביון האמריקנית , ה-NSA.
החדירה למערכות המחשוב התאפשרה תודות להדלפת כלי הפריצה של ה-NSA על ידי קבוצת האקרים בשם Shadow Brokers בתחילת חודש אפריל. לדברי מומחה אבטחת הסייבר, דורון סיון מנכ"ל Cronus Cyber Technologies, כל המחשבים שנדבקו נפלו קורבן לתרמית פישינג: "הנוזקה מגיעה כקובץ מצורף במייל, מתוך ציפייה שמשתמש יפעיל את הקובץ. מיד לאחר שהודלף המידע מה-NSA, פרסמה מיקרוסופט עדכון תוכנה (patch) שמספרו MS17-010, אולם ארגונים רבים לא התקינו אותו. הסיבה לכך היא שבמרבית הארגונים מבצעים עדכוני גרסה פעם בחודש, עקב נהלי עבודה ישנים והטרחה שקשורה בכך כגון, ביצוע אתחול למחשבים ושרתים. כך נוצר מצב שהפגיעות מופצת בעולם, ארגונים לא מתקינים את העדכון ולריק הזה מגיעים האקרים ששולחים קובץ שמנצל את הפגיעות לשם הצפנת המחשבים ובקשת כופר".
זה הזמן להזכיר לכולם לא ללחוץ על קישורים חשודים, ובטח שלא להתפתות למיילים מכתובות שאינכם מכירים. כדי לחדור למחשב צריך עזרה מהמשתמש וחוסר תשומת לב לרגע עלולה להביא לחסימה של כל הקבצים שלכם.
כלי הפריצה שדלפו מאפשרים להשתלט על כל מחשב המריץ את ווינדוס בגרסאות שיצאו עד שנת 2013: חלונות 7 ו-8, XP, וגם מהדורות מוקדמות יותר כגון Windows 2000 ו-NT. מיקרוסופט שחררה, כאמור, את עדכון האבטחה שתיקן את הפרצה עוד בחודש מרץ אך משתמשים רבים לא עדכנו את מערכת ההפעלה ונותרו חשופים. הכלים שהודלפו אינם רק אפקטיביים מאוד, אלא פשוטים להפעלה ומגיעים עם הוראות באנגלית. זה אומר שהאקרים בכל הרמות, ולא רק מומחי אבטחה מקצועיים, היו יכולים לנצלם.
ביום שבת, אחרי שדווח כי כ-75 אלף מחשבים נפגשו ברחבי העולם, האקר המכונה MalwareTech פרסם בבלוג שלו הסבר כיצד הצליח לעצור את המתקפה הגלובלית במקרה, על ידי רישום של דומיין בסכום של 10.69 דולרים (כ-38 שקלים).
"אחרי שקראתי את הכתבות על המתקפה מצאתי דוגמה של הנוזקה וראיתי שהיא מתקשרת עם דומיין (כתובת אינטרנט) ספציפי לא רשום, אז רשמתי אותו על שמי מבלי לדעת מה זה יעשה".
לדבריו, הדומיין היה מתג הכיבוי של הנוזקה ובקוד שלה התחבאה פקודה שאומרת שברגע שהדומיין הזה עולה לאוויר, צריך להפסיק את המתקפה.
"בהתחלה היו דיווחים הפוכים שאני גרמתי למתקפה והתחרפנתי קצת עד שהם הבינו שאני בעצם עצרתי את המתקפה". MalwareTech אמר שהוא מעדיף להישאר אנונימי וכי בכוונתו להחזיק את כתובת האתר ולהעביר לרשויות, יחד עם עמיתיו, כתובות IP של קורבנות שנפגעו מהנוזקה כדי שיוכלו להודיע לקורבנות שהמחשבים שלהם נגועים, מאחר ולא כל מי שנפגע מודע לזה עדיין.
בדומה למומחי אבטחה מסביב לעולם הוא הבהיר שהמתקפה הזו רק נבלמה ולא נעצרה לחלוטין וכי יש עדיין לעדכן את המחשבים בעדכוני האבטחה שהופצו, בעיקר מאז ההדלפה של כלי הפריצה המתוחכמים של ה-NSA.
אפשר להידבק גם מטוקבקים
ברגע שהחלו הדיווחים בכלי התקשורת בעולם על מתקפת הכופר הענקית, והגולשים נשלחו להתקין את עדכון האבטחה של מיקרוסופט לחסימת הפרצה במערכת ההפעלה, גם האקרים התאימו את עצמם והחלו לשלוח נוזקות במסווה של עדכון אבטחה.
לדברי הסטארט-אפ הישראלי, Spot.IM, המנהל את תיבות הטוקבקים באתרים גדולים בעולם, כחלק מהתקפת הסייבר בוצעו ניסיונות להפיץ תוכות כופר גם דרך טוקבקים שנראים תמימים. ההאקרים מנסים לנצל את הבהלה שיוצרים הדיווחים על המתקפה ושותלים בטוקבקים קישורים הממליצים על הורדת תוכנות הגנה, שלמעשה מובילים להידבקות בכופר. ניסיונות פישינג מהסוג הזה באתרי חדשות בינלאומיים יורטו ונבלמו על ידי החברה.
לדברי אדם פלד, מחברת Cybergrip, המספקת שירותי יעוץ והגנת סייבר מתקדמים: "בבדיקה שביצענו הבוקר הופתענו לגלות שלמרות כל הדיווחים והפניות האקטיביות, בישראל יש אלפי מחשבים ושרתים שחשופים לפרצת האבטחה הזו".
אביחי בן יוסף, CTO, בחברת Cymulate המפתחת כלים אוטומטיים לבדיקות חדירה והגנה מפני מגוון מתקפות סייבר ממליץ לכל מי שחושש מהדבקות לבחון את מצב מוכנות הרשת שלו באמצעות בדיקה אוטומטית המתאפשרת בשימוש בלינק הזה. גם חברת הסייבר הישראלית, סייבריזן, מציעה תוכנת חינמית המגנה מפני הנוזקה בלינק הזה.
לדברי משה אטיה, מנהל חטיבת מוצרים ב- Consist, שותפה עסקית של Reduxio: "מתקפת הסייבר האדירה המשתוללת בימים האחרונים משנה את כללי המשחק. ממתקפות נקודתיות זה עבר למתקפה כוללת על יותר מ- 70 מדינות. עד היום ארגונים שלא נפגעו העדיפו לטמון את הראש בחול, אבל החל מהיום זו הבעיה הטכנולוגית מספר אחת של כל הארגונים בעולם. אם בעבר מתקפות סייבר הטרידו את מנוחתם של אנשי ה-IT בארגון, מהיום זה מטריד כל מנכ"ל ואפילו ראש ממשלה, כי מתקפה ממוקדת על ארגונים מרכזיים יכולה להשבית גם מדינה שלמה".
אייל צפריר, סמנכ"ל לקוחות עסקיים של בזק בינלאומי, ציין כי
"במהלך היממה האחרונה איתרנו עשרות ארגונים גדולים - גופי אנטפרייז משמעותיים במשק, שנדבקו בנוזקת הכופר.
כדי לאתר גופים שנפגעו יצרנו קשר עם גורמים מקומיים ובינלאומיים והרמנו מאוד מהר פתרון ייחודי שאוסף סטטיסטיקות מהרשת ויודע לזהות משתמש שהתכנה חדרה אליו והותקף. מיד כשאיתרנו גופים שנדבקו, שלחנו להם התראה על כך ומנענו התפשטות נוספת".
אקורד סיום מביך
אחרי שהמתקפה נבלמה התברר כי מתוך מיליארד דולרים פוטנציאליים, שיכלו ההאקרים להרוויח - רק 33 אלף דולרים הופקדו בכמה חשבונות ביטקוין. רוב המשתמשים בחרו שלא לשלם את הכופר שנע בין 300 ל-500 דולרים. אבל זה לא אומר שנפסיק לראות מתקפות כאלה; להיפך, לדברי המומחים זו רק ההתחלה.
>> לעוד כתבות מעניינות - עקבו אחרינו גם בפייסבוק.