דיגיטל וטק
מערך הסייבר הלאומי מתריע: כך תתגוננו מפני תקיפות כופרה
כחלק מהמאבק הבינלאומי נגד מתקפות ברשת, עלה קמפיין חדש, שהושק ברדיו ובדיגיטל, מבוסס על עדויות ומקרים אמיתיים של עסקים שהותקפו במתקפת כופרה וחוו נזקים משמעותיים במטרה לסייע לעסקים אחרים להיערך מראש ולהתגונן מבעוד מועד
תקיפות כופרה הפכו בתקופה האחרונה למתקפות הסייבר הפופולריות והנפוצות ביותר בעולם כנגד ארגונים וחברות, כשמטרות אטרקטיביות במיוחד הן עסקים קטנים וחברות טכנולוגיה. בעקבות העלייה בהיקף ובחומרת המתקפות, השיק היום מערך הסייבר הלאומי קמפיין נרחב להעלאת המודעות של הציבור, ובעיקר של עסקים, למשמעויות התקיפה ולדרכים להתגונן מפניה.
הקמפיין, שהושק היום ברדיו ובדיגיטל, מבוסס על עדויות ומקרים אמיתיים של עסקים שהותקפו במתקפת כופרה וחוו נזקים משמעותיים – אובדן ימי עסקים, עלויות שחזור, אובדן מידע על לקוחות ואי יכולת לחייב תשלומים. בעלי העסקים שהשתתפו בתשדיר, חלקם בשמם המלא, הסכימו לחשוף את הסיפור שלהם כדי לסייע לעסקים אחרים להיערך מראש ולהתגונן מבעוד מועד.
מתקפת כופרה, לרוב למטרות סחיטה פיננסיות, נועלת ומצפינה את המידע על מערכות המחשב ודורשת סכום לשחרורו. מניתוח מתקפות הכופרה שדווחו למערך עולה כי הן החלו לרוב באמצעות שליחת דוא"ל עם הודעת דיוג או באמצעות חדירה דרך ממשקים חשופים לרשת האינטרנט, בפרט ממשקי גישה מרחוק כגון RDP או ציודVPN ארגוני, וכן שרתי Web. שיטות נוספות שנצפו היא ניצול נקודת תורפה בספק שמחובר ללקוחותיו והתפשטות ממנו הלאה.
"לא רק שתקיפות כופרה הפכו נפוצות יותר, הן גם נהיו בוטות ונועזות יותר", מסביר יובל שגב ראש מרכז טכנולוגיות מתקדמות במערך הסייבר הלאומי. "תוקפים לא רק מצפינים את מערכות המחשוב הארגוניות, אלא גם גונבים את המסמכים והמידע ומאיימים לפרסמם ברשת. ארגון שכבר הותקף ולא נערך מראש עם גיבוי יעיל, יתקשה מאוד להתאושש. בנוסף, רוב מתקפות הכופרה שראינו בארץ היו יכולות להימנע באמצעות פעולות הגנה בסיסיות".
המגמה הרווחת בשנה האחרונה היא שיטת הפעולה של מיקסום הזדמנויות: תוקפים פועלים בשלב ראשון מול מספר גדול של חברות ומתוך אלו שהצליחו לחדור אליהן, בוחרים את ה"דגים השמנים" ומולם מפעילים את מתקפת הכופרה. בנוסף, במערך מזהים יותר ויותר תשתיות שמוצעות למכירה ברשתות האפלות, של "שירותי תקיפת כופרה למכירה Ransomware as a service - מה שמצריך הבנה בסיסית עד בינונית בלבד, להוציא לפועל מתקפות טכנולוגיות מתוחכמות יחסית ואף הרסניות, באמצעות אותו שירות מדף.
לא רק קלות התקיפה השתנתה, אלא גם קיצור הזמן מרגע החדירה לארגון ועד להצפנת הקבצים, מה שמקשה לעיתים לזהות את התקיפה ולעצור אותה מבעוד מועד. במקרים שנצפו בעולם, הצליחו תוקפים להשמיש חולשה מסויימת ולהצפין ארגונים בתוך חמש שעות בלבד, במקום מספר ימים.
המענה למתקפות מסוג זה הוא בעיקר ביצוע גיבויים עיתיים וסגירת חולשות, אך לא רק. לדברי ארז תדהר מנהל אגף CERT במערך הסייבר הלאומי, "מאירועי הכופרה שהתקבלו אצלנו ניתן לראות כי חברות המסתמכות על גיבויים בלבד, ללא סיוע של חברות לטיפול באירוע (IR), מוצאות עצמן מתגלגלות בתוך תקיפת כופרה זמן ממושך יותר, דבר המוביל להפסד כספי אדיר".
במערך פרסמו מדריך ייעודי לאזרח, לעסקים קטנים ולארגונים גדולים וכן מעמיד מענה לציבור בחיוג ישיר 119. במערך ממליצים להיעזר באיש/אשת מקצוע וחברות סייבר לתכנון ולהטמעת שיטות ההגנה המתאימות לארגון. בתור התחלה, ניתן לבצע חמישה צעדים פשוטים להגנה מבעוד מועד ולצמצום הסיכוי להיפגע ממתקפת כופרה:
1. צמצום משטח חשיפה וסגירת ממשקים לא נחוצים: מומלץ להשתמש בממשקים מאובטחים לגישה מרחוק -טכנולוגיית VPN משולבת במנגנוני הזדהות חזקה – דו שלבי ואף רב שלבי - במיוחד לאור המעבר לעבודה מרחוק.
2. לשים לב למתחזים בדוא"ל ולהודעות דיוג: אם יש לכם ספק, צרו קשר ישירות עם השולח באמצעי תקשורת אחר. כדאי לשים לב גם לקבצים המצורפים בדוא"ל, במקרה שהיישום או מערכת ההפעלה מתריעים מפני חשד לשימוש לא ראוי בצרופות, לא לאשר את פתיחת הקובץ ובמיוחד בסיומות הבאות: EXE, .VBS, SCR. כמו כן יש להיזהר מסיומות כפולות כגון AVI.EXE, DOC.SCR, המנסה להסוות קבצים זדוניים.
3. תוכנות הגנה בסיסיות וסגירת חולשות: התקינו תוכנות אנטי וירוס ו"חומת אש" והגדרת עדכוני תוכנה אוטומטיים לכל המערכות הטכנולוגיות בארגון. מומלץ לתעדף במיוחד סגירת חולשות חמורות ונפוצות שעליהן מתריע מערך הסייבר.
4. גיבויים: בתקיפה מסוג כופרה, שחזור המידע מגיבוי יסייע להתאושש במהירות יחסית ולחזור לתפקוד. גיבוי הוא עותק המידע הדיגיטלי שאינו מאוחסן על המחשב אלא במיקום נפרד. בגיבוי בתוכנת ענן, מומלץ להגדיר אימות דו שלבי.
5. הכנת תוכנית פעולה למקרה של תקיפה: הערכות מבעוד מועד יסייע בצמצום וניהול נכון בעת משבר ובכלל זה התקשרות עם חברת IR שתאפשר לזהות את נתיב התקיפה ולנקות את רשת המחשוב או התשתיות שהודבקו לפני העלייה מגיבויים כדי למנוע הישנות התקיפה לאחר ההתאוששות.
הכתבות החמות
תגובות לכתבה(2):
תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה
חזור לתגובה
-
2.אם כבר, עדיף שכל הניהול יהיה בענןגל 07/2021/28הגב לתגובה זו0 0הכל ב VDI ולא ב RDP, אלא דרך פורטל כלשהו, בשרת החברה, דרך יישומי SaaS (כמו שירות אכסון, מסמכים, לדוג' Google Drive), כי כל נושא הכופרה הוא מהפעלה ידנית של משתמש על גבי המחשב, מה שלא יכול לקרות כשמקבלים את השירות והמידע משרת, בטח כשזה בלינוקס, אז לא רק שקובץ רנדומלי שנמצא שם בכלל לא יגיע (אולי כן, אם זה דרך אימייל) ולא יופעל, אלא שגם לא יוכל מראש לרוץ (גם בגלל אבטחה והרשאות וגם בגלל אי תאימות).סגור
-
1.התגוננות מפני כופרהגבריאל 07/2021/14הגב לתגובה זו0 0חשוב בסעיף הגיבויים להוסיף שאין להשאיר את כונן הגיבוי מחובר למחשב שכן במידה והמחשב נדבק בכופר כך גם הכונן גיבוי שמחובר למחשב. זאת הטעות שבה רוב האנשים והחברות נופלים. עשיתם גיבוי נתקו את כונן הגיבוי מהמחשב. סייברוורלדסגור