BETA

31.12.2017

23:48

עודכן:

 WannaCry
WannaCry,
fotolia

מסכמים את 2017: מתקפות הסייבר הבולטות של השנה

שנת 2017 תזכר כשנה ובה כלי תקיפה שפותחו על ידי מדינות מצאו דרכם לארגוני פשיעה, וכשנה ובה תוכנות הכופר הפכו למגיפה עולמית בידי עבריינים ומדינות עוינות

 

לפי הדו"ח שפירסמו במעבדות קספרסקי, חברת אבטחת המידע הרוסית שעמדה בעצמה במוקד סערה לא קטנה השנה, הרי ש 26.2% מקורבנות תוכנות כופר ב-2017 היו משתמשים עסקיים, בהשוואה ל- 22.6% ב- 2016. על פי מומחי החבהר הרי שהדבר נובע בין היתר מ"מתקפות חסרות תקדים בהיקפן שנערכו על רשתות ארגוניות ואשר שינו לעד את אופק האיום ההולך ומתגבר הזה".

 

"ההתקפות שעלו לכותרות  ב-2017 היו דוגמה קיצונית לעניין הגובר של עבריינים במטרות ארגוניות. זיהינו את המגמה הזו ב- 2016, והיא האיצה לאורך 2017 מבלי שהיא מראה סימני האטה. קורבנות עסקיים הם פגיעים יותר, וניתן לגבות מהם כופר גבוה יותר מאשר אנשים פרטיים. לעיתים קרובות הם מוכנים לשלם כופר כדי להשאיר את העסק פעיל. לא מפתיע כי אפיקי תקיפה חדשים הממוקדים בעסקים, כגון התקפות דרך שולחנות עבודה מרוחקים, נמצאים בצמיחה", אמר פדור סינסטין, אנליסט קוד זדוני בכיר, מעבדת קספרסקי.

 

מגמות נוספות של תוכנות כופר ב-2017

  1. בסך הכל, קצת פחות מ- 950,000 משתמשים שונים הותקפו ב- 2017, בהשוואה לכ-1.5 מיליון ב- 2016 – ההבדל במספרים משקף בעיקר שיטות זיהוי וסיווג שונות (לדוגמא: מורידי הקוד הזדוני – downloaders – שלעיתים קרובות קשורים בהורדה של תוכנות כופר, מזוהים כיום טוב יותר על ידי טכנולוגיות היוריסטיות, כך שהם אינם מסווגים עוד כתוכנות כופר).

  2. כל שלוש ההתקפות הגדולות, וכן משפחות כופר ידועות פחות כגון AES-NI ו- Uiwix, משתמשות בכלי פריצה מתוחכמים שדלפו לרשת באביב 2017 על ידי הקבוצה המוכרת כ- Shadow Brokers.

  3. נרשמה ירידה בהופעה של משפחות תוכנות כופר חדשות: 38 ב- 2017, בהשוואה ל- 62 ב- 2016, אך חל גידול בגרסאות השונות של תוכנות כופר קיימות (למעלה מ-96,000 גרסאות חדשות שזוהו ב-2017, בהשוואה ל-54,000 ב-2016). העלייה במספר הגרסאות משקפת מצב שבו נאלצים התוקפים להסוות את תוכנות הכופר בשל הגידול בזיהוי שלהן על ידי פתרונות האבטחה.

  4. החל מהרבעון השני של 2017, מספר קבוצות סיימו את פעילות תוכנות הכופר שלהם ופרסמו את המפתחות הנדרשים לשחרור הקבצים. אלה כוללות את AES-NI, xdata, petya/Mischa/GoldenEye ו- Crysis. כש-Crysis מבצעת הופעה נוספת – כנראה הועלתה מן האוב על ידי קבוצה אחרת.

לפי קספרסקי, 2017 תיזכר כשנה בה איום תוכנות הכופר התפתח באופן פתאומי וחסר תקדים, כששחקני איום מתקדמים הפעילו סדרת התקפות מבוססות תולעים כנגד עסקים, כשהיעד הסופי שלהם נותר מסתורי. התקפות אלה כוללו את WannaCry ב- 12 במאי, ExPetr ב- 27 ביוני ואת BadRabbit בסוף אוקטובר. כל ההתקפות השתמשו בכלי פריצה שתוכננו כדי לפגוע ברשתות ארגוניות. עסקים קטנים הותקפו בתוכנות כופר אחרות. בסך הכל החברה מדווחת כי מנעה הדבקות מתוכנות כופר אצל יותר מ- 240 אלף משתמשים ארגוניים.

במקביל, במעבדת חברת אבטחת המידע הסלובקית ESET סיכמו את מתקפות הכופר המשמעותיות ביותר לשנת 2017 :

 

WannaCry

ב-12 במאי השתוללה ברחבי העולם מתקפת WannaCry, אחת ממתקפות הסייבר החמורות ביותר אי פעם אשר גרמה לנעילה של 230,000 מחשבים במעל ל-150מדינות בעולם – ארגונים, חברות ואנשים פרטיים – נדרשו לשלם מאות דולרים, כדי לקבל עליהם את השליטה חזרה. בין המטרות שהותקפו נמצאים בתי חולים של שירות הבריאות הלאומי הבריטי, חברת תקשורת ספרדית, חברת רכבות גרמנית ויותר מאלף מערכות ממשלתיות ברוסיה. התוכנה עשתה שימוש בחולשת EternalBlue שפותחה על ידי ה-NSA  ומנצלת פרצת אבטחה שקיימת במחשבים שמריצים גרסאות לא מעודכנות של מערכות הפעלה מבית מיקרוסופט.

 

Not Petya

פחות מחודשיים לאחר מכן, ב-27 ביוני, החלה מתקפת כופר גלובלית נוספת שכונתה ע"י התקשורת בשם Not Petya הודות לכך שתחילה חשבו שנוזקת הכופר שהופצה היא Petya אך לאחר חקירת האירוע התברר שהפוגען אינו כופרה, אלאWiper . בניגוד לנוזקת הכופר Petya שביצעה שינויים בדיסק וניתן היה לאחזר אותם במקרה של תשלום כופר, הפוגען הנוכחי גרם נזק קבוע לדיסק ולא שמר את המידע שהוצפן, כך שהוא לא ניתן לשחזור. הנוזקה הופצה באמצעות ניצול עדכון של תוכנה חשבונאית נפוצה באוקראינה. בין הארגונים שנפגעו מספר רב של גורמים באוקראינה, כולל בנקים, סופרמרקטים, חברות אספקת אנרגיה, שדה התעופה הבינלאומי של קייב, תחנת הכוח בצ'רנוביל, משרדי ממשלה ועוד. מחוץ לאוקראינה דווח על פגיעה בענק הספנות הדני מארסק, בחברת התרופות האמריקאית מרק, בחברת מדיה בריטית ועוד. סה"כ דווח על פגיעות באלפי מחשבים ברחבי העולם וגם בישראל דווחו מספר פגיעות.

 

Bad Rabbit

 

ב-24 באוקטובר נוזקת הכופר  Bad Rabbitתקפה מספר ארגוני תחבורה באוקראינה, כמו גם כמה ארגונים ממשלתיים סבלו ממתקפת סייבר, וכתוצאה מכך מחשבים הוצפנו. מקורות ציבוריים אישרו כי מערכות המחשוב במטרו של קייב, שדה התעופה אודסה וגם מספר ארגונים ברוסיה נפגעו מהמתקפה. במקרה זה לא היו דיווחים על פגיעות בישראל. חוקרי אבטחת המידע ב ESET מצאו קשר ישיר למתקפת הכופרNotPetya . עם זאת, שלא כמו במתקפה של NotPetya אשר התפשטה באמצעים אוטומטיים, במקרה של Bad Rabbit מסבירים מומחי האבטחה כי ההדבקה התבצעה באמצעות שליחת מיילים נגועים ודרך אתרים נגועים. פרט להצפנת הקבצים כמו כל נוזקת כופר, נעשה שימוש בכלי לגיטימי על מנת להצפין את ה-MBR  (הצפנה של הדיסק הקשיח כולו) והמשך ההפצה למחשבים נוספים ברשת באמצעות כלי פריצה. כמובן שעל מנת לשחרר את הקבצים והדיסק התוקפים דרשו כופר.

 

ומה לגבי ישראל?

בתחילת השנה ישראלים קיבלו מיילים שמתחזים למייל "סודי" מצה"ל, מבדיקה שערך מנהל הטכנולוגיות של חברת האבטחה ESET בישראל, אמיר כרמי, עלה כי הנוזקה מתוכננת להדביק מחשבים של ישראלים והיא יוצרת קשר עם שרת שנמצא בגרמניה. המייל כתוב בעברית ועושה שימוש בשירות העברת הקבצים הפופולרי Wetransfer כדי להתחזות למסמך סודי בעברית.

 

ב-29 ליוני השנה חוו מספר בתי חולים בישראל ניסיונות התקפה, ימים ספורים לאחר מכן, מחקר של מעבדת ESET חשף מי עומד מאחורי המתקפה ומה הייתה מטרתה. מהניתוח עולה כי הווירוס בו הודבקו עשרות מחשבים היה כלי ריגול שביכולתו לתעד צילומי מסך, הקלדות במחשב, לגנוב סיסמאות מהדפדפן ואף לאתר שימוש בשירותים פיננסיים כמו פרטי חשבונות בנק, eBey ו-PayPal.  הפרטים שנגנבו נשלחו לדומיין שנקרא Palestineop.com, מה שמרמז על זהות התוקף. במרבית המקרים בהם בוצעו מתקפות שמכוונות למוסדות ישראלים שהשתמשו בביטוי "פלסטין", עמדו מאחוריהן קבוצות הקשורות לארגונים כמו החמאס ואנונימוס.

 

ב ESET מסכמים את השנה ואומרים כי "2017 הייתה שנה מרתקת ששברה שיאים במובנים של מתקפות סייבר כלל עולמיות. לצערנו הצפי לשנת 2018 הוא שמתקפות סייבר מהסוג הזה הן כאן כדי להישאר. ככל שנהיה מודעים לסכנות הללו ונדע כיצד להתגונן מפניהן, כך נמזער את הסיכוי להיפגע".