Cybereason הישראלית חשפה הפצה מסיבית של תוכנות כופר

המתקפה, המכונה "מבצע כופר", יוצרת ומפיצה מוטציות של תוכנת כופר המאפשרות לה לחמוק מאמצעי זיהוי מבוססי חתימה ו-hash – ברמת תחכום שנצפתה עד כה רק בתקיפות סייבר בחסות מעצמות

Cybereason הישראלית חשפה הפצה מסיבית של תוכנות כופר

bigstockphoto.com

חברת סייבריזון (Cybereason) מודיעה היום על גילוי מתקפה מסיבית של תוכנת כופר. לאחר בחינת מספר דוגמאות של תוכנות זדוניות ממספר מקומות בעולם, קבעו חוקרי סייבריזון שתוכנות הכופר שנבדקו, מכילות אריזה ומנגנון שליחה זהים, יחד עם רכיבים שונים המורכבים יחד על מנת ליצור צירוף ייחודי, המאפשר לחמוק מזיהוי על ידי אנטי-וירוסים ומוצרי אבטחת מידע מסורתיים. ממצאים אלו הובילו למסקנה שמדובר בקבוצה אחת של תוכנות זדוניות, העושה שימוש באלגוריתם, המייצר גרסאות של הקוד הזדוני באופן אוטומטי. אלגוריתם זה מעניק לתוכנה יכולות התחמקות המזכירות APT (Advanced Persistent Threat), תקיפות סייבר בחסות מעצמות הידועות ברמת מורכבותן.

לדברי אורי שטרנפלד, חוקר אבטחת מידע בכיר בסייבריזון: "אנו מאמינים כי הגרסאות השונות של תוכנת הכופר הזדונית (Ransomware), מגיעות כולן מאותו המקור, דבר המעיד על מסחור של תוכנות כופר בסדר גודל שלא ראינו עד כה. הרצת גיבויים תכופים על כונן חיצוני וניטור קבוע של נקודות הקצה בארגון היא הדרך המומלצת לצמצום נזקי תוכנת הכופר והגבלת הנזק שגורמות מתקפות אלו".

הדוגמאות שנבדקו ב"מבצע כופר" היו בעלות מאפיינים ייחודיים, כגון: Hashes וחתימות שונות, אך חלקו גם מספר מאפיינים משותפים, ביניהם: אייקונים מזויפים (לדוגמא, שימוש באייקון של מסמך CSV או PDF), שמות קבצים העוזרים לתוכנה להיראות תמימה (סימון בשמות דוגמת "קורות חיים" או "חשבון לתשלום"), ודפוס אריזה ייחודי. דפוסים חוזרים אלה סייעו לקבוצת החוקרים בסייבריזון לקשור בין הדוגמאות ולייחס אותן למקור יחיד, על אף שלכאורה נראו שונות. החוקרים גילו כי בנוסף למנגנון המסייע להתחמק מזיהוי על-ידי תוכנות Sandbox וכלי זיהוי דינמיים, הגרסאות השונות של התוכנה כוללות גם תוספות ו"קישוטים" רבים לקבצים שנועדו להטעות את חוקרי התוכנות הזדוניות ולגרום לקוד ההדבקה להיראות תמים יותר.

"מבצע כופר" הוא כנראה מתקפת תוכנת הכופר הראשונה ברמת מורכבות של תקיפות סייבר בחסות מעצמות על, דבר המגביר את מידת האיום שהיא מהווה על ארגונים. Cybereason סבורה שמבצע כופר התפשט כבר ברחבי אירופה. חוקרי החברה זיהו גרסאות של תוכנת הכופר הזדונית בתקיפות שהתרחשו על ארגונים בספרד, פולין, שוויץ וטורקיה.

הדו"ח של סייבריזון הנקרא "Mutating Ransomware Enter the Fray" מספק ניתוח מלא של "מבצע כופר" לרבות הממצאים העיקריים, קווי דמיון והבדלים בין הדוגמאות, והצעות לאיתור התוכנה וצמצום הנזקים שהיא זורעת.

למידע נוסף בקרו באתר – Operation Kofer.

אולי יעניין אותך גם