יומיים לאחר שמתקפת הסייבר הענקית הדביקה כ-200 אלף מחשבים ב-150 מדינות ברחבי העולם, וזרעה הרס במערכות ציבוריות באירופה, ארה"ב ובמזרח הרחוק, בראד סמית' נשיא מיקרוסופט הגיב בפוסט ארוך בבלוג של החברה על חלקה הגדול של מיקרוסופט בתקיפה.
"כחברת טכנולוגיה, לנו במיקרוסופט יש את האחריות הראשונית לטפל בבעיות אלה", הוא כתב בהתייחס כמובן לפרצה במערכת ההפעלה ווינדוס שאפשרה לפורצים להחדיר את תוכנת הכופר WannaCry. "יש לנו יותר מ-3,500 מומחי אבטחה בחברה, ואנחנו עובדים באופן מקיף כדי לטפל באיומי סייבר. זה כולל עדכוני אבטחה שוטפים כמו העדכון שיצא בחודש מרץ".
ואכן, קשה לבוא למיקרוסופט בטענות הפעם מאחר והחברה זיהתה את הפרצה ושחררה עדכון אבטחה חודש לפני שכלי הפריצה עצמם דלפו לרשת וכחודשיים לפני המתקפה עצמה. החדירה למערכות המחשוב התאפשרה תודות להדלפת כלי הפריצה של ה-NSA על ידי קבוצת האקרים בשם Shadow Brokers בתחילת חודש אפריל.
לדברי מומחה אבטחת הסייבר, דורון סיון מנכ"ל Cronus Cyber Technologies, כל המחשבים שנדבקו נפלו קורבן לתרמית פישינג: "הנוזקה מגיעה כקובץ מצורף במייל, מתוך ציפייה שמשתמש יפעיל את הקובץ. מיד לאחר שהודלף המידע מה-NSA, פרסמה מיקרוסופט עדכון תוכנה (patch) שמספרו MS17-010, אולם ארגונים רבים לא התקינו אותו. הסיבה לכך היא שבמרבית הארגונים מבצעים עדכוני גרסה פעם בחודש, עקב נהלי עבודה ישנים והטרחה שקשורה בכך כגון, ביצוע אתחול למחשבים ושרתים. כך נוצר מצב שהפגיעות מופצת בעולם, ארגונים לא מתקינים את העדכון ולריק הזה מגיעים האקרים ששולחים קובץ שמנצל את הפגיעות לשם הצפנת המחשבים ובקשת כופר".
כלי הפריצה שדלפו מאפשרים להשתלט על כל מחשב המריץ את ווינדוס בגרסאות שיצאו עד שנת 2013: חלונות 7 ו-8, XP, וגם מהדורות מוקדמות יותר כגון Windows 2000 ו-NT. מיקרוסופט שחררה, כאמור, את עדכון האבטחה שתיקן את הפרצה עוד בחודש מרץ אך משתמשים רבים לא עדכנו את מערכת ההפעלה ונותרו חשופים. הכלים שהודלפו אינם רק אפקטיביים מאוד, אלא פשוטים להפעלה ומגיעים עם הוראות באנגלית. זה אומר שהאקרים בכל הרמות, ולא רק מומחי אבטחה מקצועיים, היו יכולים לנצלם.
"נצטרך ללמוד את המתקפה הזאת, להפיק לקחים וליישם אותם כדי לחזק את היכולות שלנו", אמר סמית' והפנה אצבע מאשימה דווקא למי שמראש ניצל את הפרצה ההיא במערכות ווינדוס - סוכנות הביון, ה-NSA.
"המתקפה הזו מספקת דוגמה נוספת למה לממשלות אסור לאגור מידע על פרצות ונקודות תורפה. זה דפוס שחוזר על עצמו - ראינו פרצות שגילו ה-CIA שפורסמו בוויקיליקס ועכשיו הפרצות שנוצלו על ידי ה-NSA פגעו במשתמשים ברחבי העולם".
לדברי סמית', "שוב ושוב, פרצות שמנוצלות על ידי ממשלות דולפות למרחב הציבורי וגורמות לנזק נרחב. תרחיש מקביל עם נשק קונבנציונלי יהיה שצבא ארה"ב יאבד כמה טילי טומהוק. המתקפה האחרונה מדגימה שילוב של שני איומי הסייבר הגדולים ביותר כיום - פעילות סייבר של מדינות ופעילות פלילית מאורגנת ברשת. זוהי קריאת השכמה לממשלות העולם לנקוט בגישה שונה במרחב הקיברנטי"
38 השקלים שעצרו את המתקפה
ביום שבת, אחרי שדווח כי כ-75 אלף מחשבים נפגשו ברחבי העולם, האקר המכונה MalwareTech פרסם בבלוג שלו הסבר כיצד הצליח לעצור את המתקפה הגלובלית במקרה, על ידי רישום של דומיין בסכום של 10.69 דולרים (כ-38 שקלים).
"אחרי שקראתי את הכתבות על המתקפה מצאתי דוגמה של הנוזקה וראיתי שהיא מתקשרת עם דומיין (כתובת אינטרנט) ספציפי לא רשום, אז רשמתי אותו על שמי מבלי לדעת מה זה יעשה".
לדבריו, הדומיין היה מתג הכיבוי של הנוזקה ובקוד שלה התחבאה פקודה שאומרת שברגע שהדומיין הזה עולה לאוויר, צריך להפסיק את המתקפה.
"בהתחלה היו דיווחים הפוכים שאני גרמתי למתקפה והתחרפנתי קצת עד שהם הבינו שאני בעצם עצרתי את המתקפה". MalwareTech אמר שהוא מעדיף להישאר אנונימי וכי בכוונתו להחזיק את כתובת האתר ולהעביר לרשויות, יחד עם עמיתיו, כתובות IP של קורבנות שנפגעו מהנוזקה כדי שיוכלו להודיע לקורבנות שהמחשבים שלהם נגועים, מאחר ולא כל מי שנפגע מודע לזה עדיין.
בדומה למומחי אבטחה מסביב לעולם הוא הבהיר שהמתקפה הזו רק נבלמה ולא נעצרה לחלוטין וכי יש עדיין לעדכן את המחשבים בעדכוני האבטחה שהופצו, בעיקר מאז ההדלפה של כלי הפריצה המתוחכמים של ה-NSA.
זה עוד לא נגמר
לדברי חברת רדוור, בשלב הזה ידוע על שתי מוטציות של הווירוס, שמתקשרות עם הדומיין ולכן נבלמו, אבל מוטציה שלישית לא מכילה מתג כיבוי כמו האחרות (או שלא גילו אותו עדיין). לפי הערכות המומחים, מאחר שהמתקפה בוצעה בסוף השבוע, עובדים רבים עדיין לא הגיעו למשרד והדליקו את המחשב שלהם, ולכן עדיין לא ברור האם נראה את הגל השני השבוע או שניאלץ להמתין לפרצה הבאה שתנוצל באופן דומה.
ברגע שהחלו הדיווחים בכלי התקשורת בעולם על מתקפת הכופר הענקית, והגולשים נשלחו להתקין את עדכון האבטחה של מיקרוסופט לחסימת הפרצה במערכת ההפעלה, גם האקרים התאימו את עצמם והחלו לשלוח נוזקות במסווה של עדכון אבטחה. לדברי הסטארט-אפ הישראלי, Spot.IM, המנהל את תיבות הטוקבקים באתרים גדולים בעולם, כחלק מהתקפת הסייבר בוצעו ניסיונות להפיץ תוכות כופר גם דרך טוקבקים שנראים תמימים. ההאקרים מנסים לנצל את הבהלה שיוצרים הדיווחים על המתקפה ושותלים בטוקבקים קישורים הממליצים על הורדת תוכנות הגנה, שלמעשה מובילים להידבקות בכופר. ניסיונות פישינג מהסוג הזה באתרי חדשות בינלאומיים יורטו ונבלמו על ידי החברה.
זה הזמן להזכיר לכולם לא ללחוץ על קישורים חשודים, ובטח שלא להתפתות למיילים מכתובות שאינכם מכירים. כדי לחדור למחשב צריך עזרה מהמשתמש וחוסר תשומת לב לרגע עלולה להביא לחסימה של כל הקבצים שלכם. כמו כן, מומלץ לעדכן את ווינדוס על ידי חיפוש Windows Update בלוח הבקרה ולעקוב אחר ההנחיות.
>> לעוד כתבות מעניינות - עקבו אחרינו גם בפייסבוק.