בקצרה: כל מה שצריך לדעת על מתקפת הסייבר הענקית

      ישראל המדינה השלישית בעולם שהכי נפגעה במתקפת הסייבר אמש | חברות ישראליות עם מאות משתמשים כבר נפגעו מתוכנת הכופר | ניתוח של הווירוס מראה שתשלום הכופר לא משיב את הגישה למחשב

      אורן דותן
      צילום: רויטרס

      פחות מחודשיים לאחר שמתקפת סייבר רחבת היקף שיתקה מערכות מחשוב ענקיות במדינות רבות ברחבי העולם, תוכנת כופר נוספת תוקפת בקנה מידה עצום משעות הערב אתמול. כדי לא לטבוע בים המושגים והדיווחים - קבלו תקציר פשוט מפי מומחי הסייבר הישראלים, עם כל מה שצריך לדעת על המתקפה.

      מי הותקף?
      אתמול בשעות הערב החלו מחשבים רבים באוקראינה להינעל ולהציג הודעה הדורשת כופר. המתקפה החלה באוקראינה, אך מאוד מהר התפשטה והדביקה מחשבים רבים במדינות נוספות, מסביר דורון סיון, מנכ"ל Cronus Cyber Technologies. לדברי עידו נאור, חוקר בכיר במעבדת קספרסקי, הותקפו אלפי עסקים, מוסדות וארגונים, בעיקר באוקראינה ורוסיה, אבל גם בגרמניה, איטליה, בריטניה, פולין, צרפת, ארה"ב וישראל. מומחי האבטחה של חברת האבטחה ESET מדווחים כי "ישראל במקום השלישי בעולם בזיהוי המתקפות אחרי אוקראינה ואיטליה". מומחי ESET יודעים לומר כי חברות ישראליות עם מאות משתמשים כבר נפגעו מתוכנת הכופר. באוקראינה דיווחה הממשלה כי מחשביה נפלו קורבן למתקפת סייבר "ענקית וחסרת תקדים", במקביל למחשבי בנקים ונמל התעופה המרכזי בבירה קייב. בנמל התעופה בקייב עדכנו כי בשל המתקפה, ייתכנו שיבושים בלוח הטיסות.

      מה עשתה המתקפה?
      המתקפה מצפינה את הכוננים הקשיחים במחשבים ודורשת כופר של 300 דולרים בביטקוין (מטבע דיגיטלי בלתי ניתן למעקב) תמורת שחרור המחשב, מסביר דורון סיון. לדבריו, "מתקפת הסייבר מצליחה לשבש את הפעילות העסקית גם בחברות שלא נפגעו, מאחר וחברות חוששות מהנזק הם מחליטות לסגור את השאלטר עד לקבלת החלטות חדשות. התוצאה היא שמשרדי ממשלה וחברות סוגרים את כל הגישות לאינטרנט ובכך יוצרות מצב ששירותים חיוניים נפגעים, כמו גם קשר עם לקוחות רבים ברחבי העולם". עוד הוסיף עדי נאה גמליאל, CTO ב- 2BSecure, חברת אבטחת המידע והסייבר של מטריקס: "בניגוד ל-WannaCry, הוירוס החדש לא רק מצפין את הקבצים ודורש עבורם כופר אלא גם מונע ממערכת ההפעלה לעלות באמצעות כתיבה מחדש של ה-Master Boot Recorded ובכך לא מאפשר את ניסיונות התיקון".

      לדברי מומחי קספרסקי, נכון לשעה חצות, שולם כופר על ידי 24 קורבנות בלבד, המסתכמים ב-2.54 ביטקוין או קצת פחות מ-6,000 דולרים. נציין גם כי השבוע הביטקוין רשם ירידה ראשונה בערך שלו מזה חודש, כך שהתזמון של המתקפה מבחינה עסקית היה די גרוע.

      (תוכן מקודם)

      פיתוח מהפכני לטיפולי אנטי אייג'ינג בבית יחולל שינוי בעור הפנים שלך

      בשיתוף נומייר פלוס
      לכתבה המלאה
      הווירוס נועל את הכוננים הקשיחים. ההודעה שמופיעה על המחשבים הנגועים (צילום: חברת אבטחת המידע ESET ישראל)

      איך ביצעו את המתקפה?
      לדברי עידו נאור מקספרסקי, "למרות הדיווחים הרבים כי מדובר בגרסה של תוכנת הכופר המוכרת Petya, מדובר בתוכנת כופר חדשה שטרם ראינו עד כה". לפי מומחי ESET, ההדבקה ככל הנראה מתבצעת באמצעות קובץ המצורף למייל. לאחר פתיחת המייל המחשב נדבק והכוננים שלו מוצפנים. עוד הוסיף עידו נאור כי חברות באוקראינה שמשתמשות בתוכנת חישוב מיסים בשם MeDoc, הפופולרית מאוד באוקראינה, קיבלו עדכון שמראש הוטמעה בו תוכנת הכופר. מרגע עדכון התוכנה, הופעלה תוכנת הכופר ללא ידיעת המשתמשים.

      לדברי סנז ישר, ראש קבוצת המודיעין של חברת סייבריזן הישראלית, שפיצחה את מרבית מהקוד של הווירוס, גם אם תשלמו דמי כופר לשחרור המחשב התוקפים לא יפתחו אותו. מאחר וכתובת המייל של התוקפים נחסמה ולכן אי אפשר לתקשר איתם לאחר העברת התשלום.

      בנוסף לפישינג במייל, המתקפה הזו, כמו המתקפה הקודמת, התאפשרה תודות להדלפה של כלי פריצה שפותחו על ידי סוכנות הביון האמריקנית, ה-NSA. "היא עושה שימוש בטכנולוגיה זהה לטכנולוגיית WANNACRY שמשתמשת בכלים שדלפו מה-NSA ונמצאים בדארקנט כבר מספר חודשים", הבהיר אלי כהן, מנכ"ל EXPERIS CYBER. שני הכלים הרלוונטיים, לפי דוח קודם של חברת רדוור, הם EternalBlue ו-DoublePulsar; אחד הכלים משמש לחדירה לרשתות מחשוב והשני משמש להפצת הכופרה בתוך הרשת. הכלים הודלפו בתחילת השנה על ידי קבוצת האקרים מסתורית בשם The Shadow Brokers והם כנראה יגרמו לעוד הרבה מאוד נזק.

      מי ההאקרים מאחורי המתקפה?
      עד כה אין עדויות ברורות לגבי זהות התוקפים. לא ברור האם מדובר באותם האקרים שאחראים למתקפה בחודש מאי אולם יו"ר המועצה לביטחון לאומי באוקראינה, אלכסנדר טורצ'ינוב, אמר כי ישנם סימנים לכך שרוסיה מעורבת במתקפה, למרות שהיא גם נפגעה ממנה.

      כך נראתה מתקפת הסייבר הענקית הקודמת בחודש מאי. (צילום מסך)

      איך בולמים את המתקפה?
      עמית פרבר, חוקר סייבר מסייברזין הישראלית פיתח כלי לבלימת מתקפת הסייבר העולמית שמונע מהתוכנה התוקפת לפעול ולהפיץ את עצמה. לדברי החברה, מערכת ההגנה הישראלית הופעלה בהצלחה משעות הבוקר במדינות רבות בעולם. עוד אומרים בסייבריזן כי טרם דווחו על התקפות במחשבי מק; משתמשי ווינדוס מתבקשים להוריד את עדכון MS17-010 למערכת ההפעלה, גם אם התוכנה שברשותם אינה חוקית. כמו כן, ארגונים שלא נפגעו נדרשים לשמור על עירנות מרבית ולהקפיד שהעובדים לא יפתחו קבצים חשודים שמגיעים במייל.

      מה קרה במתקפה הקודמת?
      לפני כחודש וחצי תוכנת כופר זדונית בשם WannaCry זרעה חורבן במערכות מחשוב בכ-80 מדינות ברחבי העולם. המתקפה החלה באירופה, התפשטה לארה"ב ומשם למזרח הרחוק. המתקפה בוצעה באמצעות תוכנת כופר בשם WannaCry, שהושתלה במחשבים באמצעות פרצה במערכת ההפעלה ווינדוס. הכופרה נעלה את הקבצים במחשב או ברשת המחשבים תחת הצפנה והמשתמשים נדרשו לשלם כופר של 300-500 דולרים בביטקוין. אחרי שהמתקפה נבלמה התברר כי מתוך מיליארד דולרים פוטנציאליים, שיכלו ההאקרים להרוויח - רק 33 אלף דולרים הופקדו בכמה חשבונות ביטקוין. רוב המשתמשים בחרו שלא לשלם את הכופר שנע בין 300 ל-500 דולרים.

      מה הסיכוי שזה יקרה שוב?
      כמעט ודאי. למעשה, לפי מומחי סייבר מתקפות כופר בהיקפים גלובליים זו תופעה שרק תגבר ותהפוך לנפוצה ומסוכנת יותר. "אנחנו עדים ליותר ויותר גלים של מתקפות כופר וככל הנראה נמשיך לראות מתקפות שעושות שימוש בכלים שדלפו מה-NSA. אנחנו ממליצים לחדד את ההוראות בארגונים, לעדכן את מערכות ההפעלה ולא לפתוח קבצים מכתובות מייל לא מוכרות", אומר אמיר כרמי מ-ESET.

      >> לעוד כתבות מעניינות - עקבו אחרינו גם בפייסבוק.

      ישראל - שלישית ברשימה

      טרם התפרסמו תגובות

      הוסף תגובה חדשה

      בשליחת תגובה אני מסכים/ה
        לוגו - פיקוד העורףפיקוד העורף

        התרעות פיקוד העורף

          walla_ssr_page_has_been_loaded_successfully