|
העולם סבל אמש מעוד סיוט של תוכנות כופר, כשחברות תרופות, מערכת גילוי הקרינה בצ'רנוביל, המטרו של קייב, שדה תעופה אחד ומספר בנקים הושפעו ונפגעו ממנה. גם בית חולים אחד בארצות הברית כנראה נפל קורבן של המתקפה. ניתן לצפות לגרוע מכל, הודות לכמה מהמאפיינים ההרסניים שניתן לזהות בכופרה הזו.
התפיסה הרחבה היא כי הנוזקה שאחראית על המתקפה היא גרסה מסוימת של התוכנה Petya, שחוקרי ביטחון נוהגים לכנותה "NotPetya". הגרסה הזו דומה ל-Petya, אבל השוני ביניהן בולט מספיק כדי שניתן יהיה לומר שהיא מהווה סוג חדש לחלוטין של תוכנת כופר. NotPetya היא שיטה נצלנית ששאולה מכלי סייבר של ה-NSA שהודלף לרשת מוקדם יותר השנה (בשם EternalBlue), אותה תוכנה שבה גם WannaCry השתמשה על מנת לזהם מאות אלפי מחשבים ברחבי העולם ולהשבית רשתות של בתי חולים. אלא שעם הזן החדש, רק מחשבים שמחוברים לרשת האזורית נסרקים על ידי התוכנה, ולא כל האינטרנט, כמו שה-WannaCry ניסה לעשות.
הנוזקות נעשות מתוחכמות יותר ויותר, ולא כל החברות מתגוננות | צילום: Fotolia
והנה סיבה למבוכה עבור החברות שנפגעו: מייקרוסופט שחררה תיקון מוקדם יותר השנה שמנע כל פריצה שתתבסס על ה-EternalBlue, והיא אפילו דוחפת עדכוני תוכנה לגרסאות ישנות של חלונות, שלא תומכות בעדכון הזה, כמו XP. העסקים השונים היו צריכים לעבור את התיקון הזה עד עכשיו, במיוחד לאור הטבח שגרמה מתקפת ה-WannaCry.
כוחות עודפים
ל-NotPetya יש כמה כוחות עודפים, שלפי מומחי ביטחון, הופכים אותה לקטלנית יותר מה- WannaCry. בעוד שה-EternalBlue מאפשר לה להתפשט באמצעות חולשה בפרוטוקול ה-SMB של חלונות, יש לה כלים נוספים שמאפשרים לה לנוע במהירות בין רשתות. לדוגמא, לפי מה שמספר לנו דיוויד קנדי, אנליסט לשעבר ב-NSA ויזם בתחום אבטחת הסייבר, תוכנת הכופר מוצאת סיסמאות על המחשב הנגוע על מנת להתקדם ממנו למערכות אחרות. היא עושה זאת באמצעות משיכה של הסיסמאות מהזיכרון של המחשב, או ממערכת הקבצים המקומית.
"זו הולכת להיות אחת גדולה. אחת ממש גדולה", אומר לנו קנדי על המתקפה שנודעה אמש.
שיטת התפשטות נוספת של NotPetya היא הניצול שהיא עושה בכלי אחר בחלונות – PsExec. הכלי הזה תוכנן כדי לבצע פעולות מוגבלות על גבי מערכות אחרות, אלא שבמקרה הזה הוא עוזר לכופרה להרחיב את ההדבקה על ידי כך שהוא מוציא אל הפועל את הקוד הזדוני שלה גם על גבי מחשבים אחרים. לדוגמא, אם למחשב הנגוע יש הרשאות אדמיניסטרטור של גישה לרשת, כל מחשב שמחובר אליה יכול להידבק. שימוש דומה מאוד עושה ה-NotPetya בכלי ניהול המכשור של חלונות (WMI), כפי שמספר מומחה האבטחה קווין ביומונט.
"השילוב המסוכן הזה עשוי להיות הסיבה לכך שהפריצה התפשטה במהירות ברחבי העולם, אפילו לאחר שהפריצות הקודמות יצרו כותרות בכלי התקשורת וגרמו לכך שרוב נקודות התורפה, למרבה המזל, טופלו", אומר רוברט ליפובסקי, חוקר ב-ESET. "יש צורך רק במחשב אחד שלא תוקנו בו הליקויים בכדי לחדור אל הרשת, והכופרה יכולה להשיג הרשאות של אדמיניסטרור ולהתפשט למחשבים נוספים".
הודות לכל המאפיינים הנוספים הללו של התוכנה, הדבר הקריטי ביותר הוא היכולת של הזן החדש להשפיע גם על מחשבים שכן תוקנו בהם הליקויים בחלונות, לרבות כאלו שמצוידים ב"חלונות 10", כמו שציין למשל מומחה IT אחד בבלוג שלו אמש, בעוד שה-WannaCry פעלה בעיקר על מערכות ישנות יחסית.
דובר מטעם מייקרוסופט מסר שהחברה הייתה ערה לדיווחים וביצעה חקירה בנושא, והוסיף: "הניתוח הראשוני שלנו העלה כי הכופרה משתמשת בטכניקות מרובות על מנת להתפשט, לרבות אחת שאליה דווקא התייחס עדכון אבטחה שסיפקנו בעבר לכל הפלטפורמות של חלונות, מ-XP ועד 'חלונות 10' [אותה נקודת תורפה שמנצל ה-EternalBlue, ה-MS17-010]. היות שתוכנות כופר מופצות בדרך כלל גם באמצעות דואר אלקטרוני, על הלקוחות לנקוט משנה זהירות כשהם פותחים קבצים בלתי מוכרים. אנו ממשיכים לחקור וננקוט את הפעולות הראויות בכדי להגן על לקוחותינו". מייקרוסופט גם טענה שהמוצר שלה שנלחם בתוכנות כופר, Windows Defender, הצליח לזהות ולחסום את הנוזקה הזו.
תוכנות כופר ידידותיות לתוקף
המתקפה החדשה הזו נדמית כעבודתה של קבוצה מקצוענית מאוד, שלא כמו במתקפת ה- WannaCry, שהייתה מלאה בבאגים והיה בה גם מתג כיבוי פנימי, שחוקר אבטחת מידע בריטי אחד הצליח לגשת אליו ולכבותו (למרות שהידבקויות נוספות ב-WannaCry אירעו רק בשבוע שעבר). ב-NotPetya אין מתג כיבוי מובנה שניתן לזהות נכון לעכשיו. חברת אבטחת המידע הרוסית קספרסקי אמרה כי התוכנה הדביקה לפחות 2,000 ארגונים ברחבי העולם, במדינות שכוללות את אוקראינה, רוסיה, בריטניה וארה"ב.
"ל-WannaCry יש כל מני סוגים של בעיות ובאגים מטופשים (כמו מתג להשמדה עצמית). לזו אין שום מתג כזה, וזה נראה כאילו יש להם [לתוקפים] תקציב לפיתוח". כתב אמש קווין ביומונט.
כך זה נראה – ה-Petya בפעולה | צילום מסך: יוטיוב
יתכן שרמת המקצוענות הגבוהה של NotPetya מקורה במחתרת הסואנת והמאוד טכנית שהולידה את Petya. ג'ייקוב קרוסטק, ראש צוות במעבדת האיומים של חברת Avast אמר: "אחד המאפיינים הבוגדניים של תוכנת הכופר של Petya הוא שיוצריה מציעים אותה ברחבי הדרק-נט תחת מודל שותפות, שמעניק למי שיפיץ אותה נתח של עד 85% מסכום הכופר שישולם, בעוד ש-15% יישארו בידי מחברי הנוזקה". סוג כזה של "שירות תוכנות כופר" הפך לאחרונה לדאגה גדלה והולכת, בהתחשב בעובדה שזה פותח צוהר לפשעים כאלו גם לקהלים לא טכנולוגיים.
לא משנה באיזו רמה קרימינלית מדורגים התוקפים שמאחורי גל הפריצות אמש, היה להם יום טוב מבחינת הכנסות, גם אם לא מדהים. נכון למועד פרסום שורות אלו, 22 תשלומי כופר העבירו סכום של 2.39818893 מטבעות ביטקוין, ששוויים כ-5,515 דולר.
כל מי שאי פעם שקל לשלם להאקרים כדי שיתירו את הנעילה ממחשבו צריך לחשב מסלול מחדש. אמש, חשבון הדוא"ל שהוקם על מנת לספק למי ששילמו את מפתחות ההתרה של המידע שלהם, נסגר על ידי התוקפים עצמם, ובשל כך אין שום דרך הגיונית לשחזר את הקבצים אם הם לא גובו.
|
