VNDirect הותקף: עד כמה מסוכנת תוכנת הכופר?

מקרה VNDirect ומה הופך את תוכנת הכופר למסוכנת?

ב-24 במרץ 2024, חברת ניירות הערך VNDirect בווייטנאם הפכה למוקד החם האחרון במפת מתקפות הכופר הבינלאומיות. מתקפה זו אינה מקרה בודד.

תוכנות כופר, סוג של תוכנה זדונית שנועדה להצפין נתונים במערכת של קורבן ולדרוש כופר כדי לפענח אותם, הפכה לאחד מאיומי אבטחת הסייבר הנפוצים והמסוכנים ביותר בעולם כיום. התלות הגוברת בנתונים דיגיטליים ובטכנולוגיית מידע בכל תחומי החיים החברתיים הופכת ארגונים ואנשים פרטיים לפגיעים להתקפות אלו.

הסכנה של תוכנות כופר טמונה לא רק ביכולתן להצפין נתונים, אלא גם באופן שבו הן מתפשטות ודורש כופר, ויוצרות ערוץ עסקאות פיננסיות שדרכו האקרים יכולים להפיק רווחים בלתי חוקיים. התחכום וחוסר הוודאות של מתקפות כופר הופכים אותן לאחד האתגרים הגדולים ביותר העומדים בפני אבטחת הסייבר כיום.

מתקפת VNDirect היא תזכורת חדה לחשיבות ההבנה והמניעה של תוכנות כופר. רק על ידי הבנת אופן פעולתן של תוכנות כופר והאיום שהיא מהווה, נוכל ליישם אמצעי הגנה יעילים, החל מחינוך משתמשים, יישום פתרונות טכניים ועד בניית אסטרטגיית מניעה מקיפה להגנה על נתונים ומערכות מידע קריטיות.

כיצד פועלת תוכנת כופר

תוכנות כופר, איום מפחיד בעולם אבטחת הסייבר, פועלות באופן מתוחכם ורב-גוני, וגורמות להשלכות חמורות על הקורבנות. כדי להבין טוב יותר כיצד פועלות תוכנות כופר, עלינו להתעמק בכל שלב בתהליך ההתקפה.

הַדבָּקָה

ההתקפה מתחילה כאשר תוכנת כופר מדביקה מערכת. ישנן מספר דרכים נפוצות בהן תוכנת כופר יכולה לחדור למערכת של קורבן, כולל:

הודעות דיוג: הודעות דוא"ל מזויפות עם קבצים מצורפים זדוניים או קישורים לאתרי אינטרנט המכילים קוד זדוני; ניצול פגיעויות אבטחה: ניצול פגיעויות בתוכנה שלא תוקנה כדי להתקין אוטומטית תוכנות כופר ללא התערבות המשתמש; פרסום זדוני: שימוש בפרסומות באינטרנט להפצת תוכנות זדוניות; הורדות מאתרים זדוניים: משתמשים מורידים תוכנה או תוכן מאתרים לא מהימנים.

הצפנה

לאחר ההדבקה, תוכנת כופר מתחילה בתהליך הצפנת נתונים במערכת של הקורבן. הצפנה היא תהליך של המרת נתונים לפורמט שלא ניתן לקרוא ללא מפתח הפענוח. תוכנות כופר משתמשות לעתים קרובות באלגוריתמי הצפנה חזקים, המבטיחים שלא ניתן לשחזר נתונים מוצפנים ללא המפתח הספציפי.

דרישת כופר

לאחר הצפנת הנתונים, תוכנת הכופר מציגה הודעה על מסך הקורבן, הדורשת כופר כדי לפענח את הנתונים. הודעה זו מכילה בדרך כלל הוראות כיצד לשלם (בדרך כלל באמצעות ביטקוין או מטבעות קריפטוגרפיים אחרים כדי להסתיר את זהות הפושע), וכן מועד אחרון לתשלום. גרסאות מסוימות של תוכנת הכופר מאיימות גם למחוק את הנתונים או לפרסם אותם אם הכופר לא ישולם.

עסקאות ופענוח (או לא)

הקורבן ניצב בפני החלטה קשה: לשלם את הכופר ולקוות לקבל בחזרה את הנתונים שלו, או לסרב ולאבד אותם לתמיד. עם זאת, תשלום אינו מבטיח שהנתונים יפוענחו. למעשה, הוא עשוי לעודד את הפושעים להמשיך במעשיהם.

האופן שבו תוכנות כופר פועלות לא רק מדגים תחכום טכני, אלא גם מציאות עצובה: הנכונות לנצל את תמימותם ובורותם של המשתמשים. עובדה זו מדגישה את החשיבות של הגברת המודעות והידע בתחום אבטחת הסייבר, החל מזיהוי הודעות דוא"ל פישינג ועד לתחזוקת תוכנות אבטחה עדכניות. עם איום מתפתח ללא הרף כמו תוכנות כופר, חינוך ומניעה חשובים מתמיד.

גרסאות נפוצות של תוכנות כופר

בעולם המתפתח ללא הרף של איומי כופר, כמה גרסאות בולטות בתחכום שלהן, ביכולתן להתפשט ובהשפעתן הרצינית על ארגונים ברחבי העולם. להלן תיאורים של שבעה גרסאות פופולריות וכיצד הן פועלות.

REvil (ידוע גם בשם סודינוקיבי)

מאפיינים: REvil היא גרסה של Ransomware-as-a-Service (RaaS), המאפשרת לפושעי סייבר "לשכור" אותה כדי לבצע את התקפותיהם. זה מגדיל משמעותית את יכולת התפשטותה של תוכנת הכופר ואת מספר הקורבנות.

שיטות הפצה: הפצה באמצעות פגיעויות אבטחה, דוא"ל פישינג וכלי תקיפה מרחוק. REvil משתמשת גם בשיטות תקיפה כדי להצפין או לגנוב נתונים באופן אוטומטי.

ריוק

מאפיינים: Ryuk מכוון בעיקר לארגונים גדולים כדי למקסם את תשלומי הכופר. יש לו את היכולת להתאים את עצמו לכל התקפה, מה שמקשה על זיהויו והסרתו.

שיטת הפצה: באמצעות הודעות דוא"ל של פישינג ורשתות נגועות בתוכנות זדוניות אחרות, כגון Trickbot ו-Emotet, Ryuk מפיצה ומצפינה נתוני רשת.

רובין הוד

מאפיינים: רובין הוד ידועה ביכולתה לתקוף מערכות ממשלתיות וארגונים גדולים, תוך שימוש בטקטיקת הצפנה מתוחכמת כדי לנעול קבצים ולדרוש סכומי כופר גדולים.

שיטת הפצה: התפשטות באמצעות קמפיינים של פישינג וכן ניצול פגיעויות אבטחה בתוכנה.

דופלפיימר

מאפיינים: DoppelPaymer היא גרסה עצמאית של תוכנת כופר עם היכולת לגרום נזק חמור על ידי הצפנת נתונים ואיום לשחרר מידע אם לא ישולם כופר.

שיטת הפצה: מופצת באמצעות כלי תקיפה מרחוק ודוא"ל פישינג, במיוחד במיקוד פגיעויות בתוכנה שלא תוקנה.

נחש (ידוע גם בשם אקנס)

מאפיינים: SNAKE נועד לתקוף מערכות בקרה תעשייתיות (ICS). הוא לא רק מצפין נתונים אלא גם יכול לשבש תהליכים תעשייתיים.

שיטת הפצה: באמצעות קמפיינים של פישינג וניצול לרעה, עם דגש על מיקוד במערכות תעשייתיות ספציפיות.

פובוס

מאפיינים: לפובוס יש קווי דמיון רבים עם דהרמה, גרסה נוספת של תוכנת כופר, ולעתים קרובות משמשת לתקיפת עסקים קטנים באמצעות RDP (פרוטוקול שולחן עבודה מרוחק).

שיטת הפצה: בעיקר באמצעות RDP חשוף או פגיע, המאפשר לתוקפים גישה מרחוק ולפרוס תוכנות כופר.

לוקביט

LockBit היא גרסה פופולרית נוספת של תוכנת כופר הפועלת תחת מודל Ransomware-as-a-Service (RaaS) וידועה בהתקפותיה על עסקים וארגונים ממשלתיים. LockBit מבצעת את התקפותיה בשלושה שלבים עיקריים: ניצול פגיעויות, חדירה עמוקה למערכת ופריסת מטען ההצפנה.

שלב 1 - ניצול: LockBit מנצלת פגיעויות ברשת באמצעות טכניקות כגון הנדסה חברתית, כגון באמצעות דוא"ל פישינג, או התקפות Brute Force על שרתי אינטרא-נט ומערכות רשת.

שלב 2 - חדירה: לאחר החדירה, LockBit משתמשת בכלי "לאחר ניצול" כדי להגדיל את רמת הגישה שלה ולהכין את המערכת למתקפת ההצפנה.

שלב 3 - פריסה: LockBit פורסת את המטען המוצפן על כל מכשיר נגיש ברשת, מצפינה את כל קבצי המערכת ומשאירה פתק כופר.

LockBit משתמשת גם במספר כלים חינמיים וקוד פתוח בתהליך הפריצה שלה, החל מסורקי רשת ועד תוכנות ניהול מרחוק, כדי לבצע סיור רשת, גישה מרחוק, גניבת אישורים וחילוץ נתונים. במקרים מסוימים, LockBit אף מאיימת לשחרר את הנתונים האישיים של הקורבן אם דרישות הכופר לא ייענו.

עם מורכבותה ויכולתה להתפשט באופן נרחב, LockBit מייצגת את אחד האיומים הגדולים ביותר בעולם הכופר המודרני. ארגונים צריכים לאמץ מערך מקיף של אמצעי אבטחה כדי להגן על עצמם מפני כופר זה והווריאציות שלו.

דאו טרונג טאנה

שיעור 2: מהתקפת VNDirect לאסטרטגיה נגד תוכנות כופר