דיגיטל וטק

מתקפת סייבר היא רק שאלה של זמן? "מבנה נתונים ייחודי"

קבוצת הכופר Play היא בין ארגוני מתקפות הכופר המצליחים בעולם, עם מאות קורבנות שנפלו ברשתם ונזק של מיליוני דולרים לארגונים. חוקרי מעבדות סייברארק מצאו באג בקוד הנוזקה של קבוצת הכופר Play, ואפילו בנו כלי שמאפשר להציל חלק מהמידע שהוצפן. חוקר המעבדה ארי נוביק הסביר: "מפתחי הנוזקה לא סנכרנו טוב בין הפעולות השונות"

מערכת ice | 
האקר-אילוסטרציה (צילום shutterstock)
קבוצת הכופר Play היא בין ארגוני מתקפות הכופר המצליחים בעולם, עם מאות קורבנות שנפלו ברשתם ונזק של מיליוני דולרים לארגונים, בהן כמה מתקפות מפורסמות (כגון התקיפה על ספקים של הצבא השוויצרי ועוד גורמים ממשלתיים שוויצריים ביוני האחרון). נכון לסוף 2023, הקבוצה נחשבה לאחת מחמש קבוצות הכופר הגדולות לפי מספר הקורבנות המופיעים באתר ההדלפות שלה. 
הקבוצה לא משתמשת במודל ה-Ransomeware-as-a-Service (RaaS) שנחשב לטרנד פופולרי, במקום זאת היא מעדיפה לטרגט את הקורבנות עצמם כדי לזכות במירב כספי הכופר ישירות. גם זה משקף את הביטחון של חברי הקבוצה ביכולותיהם המקצועיות.
למרות כל זאת, מסתבר שגם את המשחק של Play אפשר לנצח לפעמים, כי אפילו ההאקרים הבכירים והטובים ביותר עושים טעויות או נופלים בקטנות.
אז לפני שאתם שוקלים לשלם לתוקפים, כדאי להכיר את נקודות החולשה שלהם ומה אפשר לעשות כדי להתגונן. חוקרי מעבדות סייברארק מצאו באג בקוד הנוזקה של פליי, שגורם לה לקרוס בזמן שהיא מנסה להצפין תיקיות רשת של הקורבן. ארי נוביק, חוקר מעבדת סייברארק מסביר על התהליך: "כדי להצפין תיקיות רשת, הנוזקה מבצעת אנומרציה לרשת על מנת למצוא את כל תיקיות הרשת הנגישות לה".
"האנומרציה מתחילה עם ping לכל כתובת ברשת הלוקאלית, ולאחר מכן לכל כתובת שהגיבה הנוזקה מנסה לפתוח socket לבדוק אם המכונה שהגיבה פתוחה לתקשורת smb. מכל המכונות שפתוחות לתקשורות smb הנוזקה בודקת איזה תיקיות רשת נגישות על אותם מכונות ומצפינה אותם. לאורך כל השלבים האלה, הנוזקה מבצעת מעקב אחר התגובות של המחשבים השונים ברשת בעזרת מבנה נתונים ייחודי שנשמר בזיכרון אך לאחר הסיום של ההצפנה אותו מבנה נמחק. 
 
"משיקולי יעילות, הבדיקות באנומרציה נעשים במקביל (multithreaded), אך המפתחים של הנוזקה לא סנכרנו טוב בין הפעולות (threads) השונות. חוסר הסנכרון יוצר מצב שלפעמים הנוזקה מוחקת את המבנה נתונים מהזכרון עוד לפני שהיא סיימה לבדוק באמצעות ping איזה מחשבים קיימים ברשת. לאחר מכן, כשהבדיקה באמצעות ping מסתיימת, הנוזקה מנסה לשמור את התוצאות של הבדיקה במבנה נתונים שנמחק ומכיוון שהוא כבר איננו קיים נוצרת שגיאה שגורמת לנוזקה לקרוס".
בנוסף למציאת הבאג, החוקרים ניתחו את טכניקות התקיפה שפיתחה הקבוצה כדי להתחמק מתוכנות אנטי וירוס, כאשר אחת מהן היא הצפנה למקוטעין (partial\intermittent encryption). גם כאן, יש אפשרות לארגונים לשחזר את המידע (לפחות חלקו) ולהינצל מנזקי מתקפת הכופר.
 
לטובת עזרה לארגונים בשחזור מידע, החוקרים במעבדות סייברארק פיתחו כלי שחזור חינמי בשם 'White Phoenix', הכלי כתוב בקוד פתוח ומטרתו לשחזר מידע מתוך קבצים שהוצפנו חלקית. הכלי שעד היום היה זמין רק דרך GitHub כפרויקט של Python, עכשיו זמין בגרסה מקוונת SaaS עבור נפגעי תוכנות הכופר שאינם מתמצאים בטכנולוגיה ועבודה עם קוד. 
השימוש באתר המקוון של White Phoenix פשוט ונדרש רק לעלות את הקבצים שהוצפנו חלקית, ללחוץ על כפתור ה"שחזור" ואז הכלי משחזר את כל מה שהוא יכול מהקבצים שהוצפנו חלקית על ידי ההאקרים. נכון לעכשיו, הכלי תומך בקבצי PDF, בקבצי מסמכים של Word ו-Excel, ZIP ו-PowerPoint.
תגובות לכתבה(0):

נותרו 55 תווים

נותרו 1000 תווים

הוסף תגובה

תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה