התקיפות הולכות ומתעצמות ותופעת תוכנות הכופר חיה ובועטת, רק לאחרונה נמצאה חברת הביטוח שירביט תחת מתקפת כופרה מהגדולות שידעה ישראל שבה האקרים פרצו לשרתי החברה. הנזק הוא עצום והערכות מדברות על חשיפת מידע של עשרות אלפי מבוטחים. נראה כי האקרים ממשיכים לחגוג והם תמיד יהיו צעד אחד מלפנינו וכל ארגון גדול או קטן עלול להיות מותקף.
לאור המציאות החדשה הדורשת גם עבודה מהבית, עסקים רבים צריכים להתאים את האסטרטגיה שלהם על מנת לשפר את ההגנה ואת ניהול סיכוני הסייבר. תוכנות כופר אשר הדביקו מחשב בבית עסק עלולות להתפשט גם רוחבית בפני מחלקות נוספות או מערכות קריטיות וחשבונאיות חשובות.
זה עלול להיות הסיוט של כל אחד מאיתנו, קיבלנו מייל למחשב, הורדנו קובץ או חיברנו USB למחשב והדבקנו את המחשב באופן שמונע מהמשתמש גישה לקבצים או למערכות ליבה שברשותו, באמצעות הצפנת המידע ונעילת הגישה אליו.
בכל זאת מספר המלצות שניתן ליישם במהירות:
- תתארגנו מראש- התוו מדיניות של התמודדות בזמן מתקפת סייבר
- סדרי עדיפות- כבר ברור שסייבר זה לא בזבוז כסף, אל תהיו שאננים והשקיעו באבטחת המידע. בזבוז כסף זה ליפול לידיו של האקר
- הדרכות עובדים- במסגרת העבודה היומיומית כדי להעלות למודעות תדרכו את העובדים באופן קבוע והסבירו להם מה אפשר לעשות כדי להימנע מפישינג או מתקפת סייבר
- פיטורים או עובד שעזב- הקפידו לסגור לו את היוזר
- ענן- העלו הכל לתשתית ענן
- מחשוב- תנו לנו מקום של כבוד והקפידו להיפטר מהשרתים המקומיים, הקפידו על עדכונים ותאפשרו לאנשי מקצוע לטפל בכל נושא המחשוב
- גיבויים- תעשו גיבויים, הארד דיסק חיצוני לא מספיק.
- תעשו TFO – , אמנם זה מציק אבל זה מה שיש, תתקינו טוקנים בvpn, ואל תחפשו קיצורי דרך.
באיזה אופן אפשר לפרוץ למחשב האישי או לטלפון הנייד:
- דואר אלקטרוני – רוב הפעילות העסקית המתבצעת בחברות כיום היא דרך האימייל, כך הפורצים יודעים כי לרוב המשתמש לא ישים לב למשהו חריג או קובץ שלכאורה נראה תמים ויפתח אותו.
- הורדת קבצים למחשב – הורדות חינמיות של תוכנות או קבצים למחשב המציעים בדיוק – את מה שחיפשת ובחינם ועל ידי כך מצליחים להחדיר את הנוזקה ע”י הרשאת התקנה.
- חיבור באמצעות שולחן עבודה מרוחק – השתלטות באמצעות פרוטוקול RDP הפתוח לעולם ישירות לתחנות העבודה או השרתים יאפשרו סריקה רובוטית של המחשבים והשתלת הקבצים באותם התחנות הפתוחות. או אפילו העברת הנוזקה בין משתמשים בעובדים בצורת חיבור זו ללא ידיעת המשתמש כלל ביון שהוירוס “דוגר” באחד המחשבים וממתין להתפשטות.
- קבצי PDF המכיליםJavaScript או- VBS, אשר שותלים תוכנות זדוניות במסמכים ללא ידיעתנו.
- שימוש בהתקנים חיצוניים מסוג USB של חברות או אנשים לא מוכרים.
- הרבה לא יודעים אבל נוזקות כופר יכולים לפגוע גם בטלפונים ניידים, ניתן להידבק בקלות בוירוס כופר ע”י הורדת אפליקציות חינמיות או כאילו שהגיעו מפרסומות “מפתות” ומעבירות להורדת אפליקציות לא מורשות, או שלא מחנויות האפליקציה.
במידה ונדבקתם מה מומלץ לעשות באופן מיידי?
- ניתוק מיידי של המחשב מכל מדיה המאפשרת את פיזור המידע אל מחוץ למחשב: כבל רשת, כרטיס/התקן BT, אמצעי אינטרנט אלחוטי, התקן חיצוני USB, תיקיות משותפות, אחסון בענן ובדיקה אם האמצעים המשותפים נדבקו גם כן.
- הימנעות מעבודה על המחשב הנגוע וניסיון פתיחה או מחיקת קבצים או סריקת וירוסים.
- להבין את היקף הפגיעה – האם רק המחשב שלכם נפגע, האם עוד מחשבים במשרד, להבין מה היה במחשב ומה יכול היה להידבק.
- נסו לברר את שם וירוס הכופר – לרוב השם יהיה הסיומת של הקובץ שנפגע ולחפש מידע אודותיו ודרכי התמודדות, לרוב יהיה מידע על הוירוסים אלא אם מדובר עם ZeroDay.
- החליטו מה עושים הלאה ואיך ממזערים נזקים וחוזרים לשגרה במהירות האפשרית.
אלו אפשרויות העומדות בפניכם:
- שחזור מגיבוי – בין אם זה גיבוי ענן או גיבוי מקומי, יש לבדוק את תאריך השחזור האחרון הקיים לכם ולבצע בדיקה האם הקבצים שם תקינים במלואה. בנוסף קיימת במערכות הפעלה מערך גיבוי מקומית
(במידה והופעלה מבעוד מועד) הנקראת Shadow Copy, אשר שומרת את קבצי המערכת שלכם מוצפנים וניתן לשחזר משם את כלל הקבצים. כמו כן, ניתן לבצע שחזור לנקודת גיבוי אחרונה Restore Point של כלל המחשב. - ניסיון לפתוח את ההצפנה על ידי תוכנות ייעודיות או שירותים חיצוניים.
- לא לבצע כלום – לשמור את הכונן הקשיח שנדבק “בצד” ולנסות לפענח ולשחזור ממנו קבצים בהמשך, בינתיים להחליף את אמצעי האחסון לחדש ולבצע התקנה חדשה של מערכת ההפעלה.
במידה והצלחתם למחוק את הוירוס ולשחזור את הקבצים. עדיף לא להמשיך להשתמש באותו אמצעי אחסון אשר היה נגוע אלא שימוש בהתקן חדש. יש לזהות ולחקור את מקור הכניסה ולחסום אותו למניעת תקיפה חוזרת.
אלי לוין, מנכ”ל ומייסד
חברת Elpc Networks
