WCRY – מאחורי הקלעים של התקפת הכופר הגדולה בהיסטוריה
לימור קסם
| 16/05/2017
לימור קסם יועצת אבטחה בכירה ב ibm
ביום שישי, ה-12 למאי 2017 התגלתה ברחבי העולם התקפת סייבר רבת נפגעים שאיננה פחותה בממדיה ממגפה טכנולוגית. ההתקפה, אשר עשתה שימוש בתוכנת כופר, הדביקה בצורה ויראלית מאות אלפי נקודות קצה בעולם, פרצה ביותר מ-100 מדינות ופגעה משמעותית בפעילותם של בתי חולים, חברות טלפוניה ותשתיות קריטיות נוספות.
תוכנת הכופרWcry/WannaCry מצפינה מעל 160 סוגי קבצים על המחשבים או השרתים עליהם היא נוחתת והופכת אותם ללא שמישים עד לתשלום כופר בעבורם. התוצאות התפעוליות של ההדבקה היו הרסניות: שיתוק מוחלט של כל נקודת קצה שנפגעה עד לתשלום כופר במטבעות ביטקוין בסך $300 אשר עולה תוך שעתיים ל$400, וממשיך לעלות עד למקסימום של $600 (נכון לזמן כתיבת מאמר זה). באם לא יתבצע תשלום תוך 24 שעות – סיכוי סביר שהאיום יתממש ולא תתאפשר יותר כל גישה למידע המוצפן.
איך זה קרה?
הסיבה המרכזית להתפשטות היא נקודות קצה פגיעות בהן חסר עדכון קריטי של מערכת ההפעלה. מה שמייחד מתקפה ענקית זו הוא שיטת ההגעה שלה לנקודות קצה פגיעות, שיטת ההתפשטות, והאינטרס הלא ברור של מפעיליה, שטרם אותרו.
לרוב התקפות כופר המופעלות על ידי גורמי פשע הן מתקפות ממניעים פיננסיים – מטרתן היא כסף מהיר. אי לכך, הן תגענה לרוב באימייל למשתמשי קצה, תצפין קבציהם, ותמתין לתשלום, כאשר לאחריו לרוב ישוחררו הקבצים בחזרה לבעליהם המקורי. כאן, ראינו התקפה שכפי הידוע כרגע לא הגיעה באימייל.
שיטת ההפצה הראשונית היא כנראה ע"י סריקה נרחבת אחר נקודות קצה פגיעות אשר לא קיבלו עדכון תוכנה קריטי למערכת התפעול WINDOWS. ברגע שנמצאה פרצה, הופעלו שני אקספלוייטים ידועים אשר הודלפו, כביכול, מסוכנות הביון האמריקאית באפריל 2017. הפוגענים האלו אפשרו החדרה של תוכנת הכופרה לרשתות ארגוניות, וזו פשטה בהן כאש בשדה קוצים בשיטה הידועה כ"תולעת" תוך ניצול פגיעות בפרוטוקול תקשורת הרשת SMB המשמש לשיתוף משאבים בין המשתמשים.
כל התהליך הזה כלל לא היה אמור לקרות. לו היו כל הנקודות מעודכנות כנדרש, הן לא היו נפגעות. מדוע לא עודכנו? לרוב בהליכי ניהול סיכונים בארגונים ישנם שיקולים עסקיים ותקציביים שיכולים לדחות עדכון כזה או אחר, כולל שדרוג של מערכת הפעלה שכבר אבד עליה הכלח. זה בדיוק מה שקרה כאן. ארגונים רבים הודו כי עודם משתמשים ב-WINDOWS XP כאשר מערכת זו כבר איננה נתמכת, קרי איננה מעודכנת, ע"י מיקרוסופט מזה שלוש שנים.
מה קורה עכשיו?
- כרגע לא ידועים ארגונים ישראליים שנפגעו, אך מכיוון שלא כל המקרים מדווחים, אין לשלול פגיעה בישראל שעוד עלולה להתגלות.
- ההתקפה עדיין בעיצומה. למרות שנודע על דרך לנטרל את הכופרה והאטה בהידבקות בשלב כלשהו, כבר יצאו מוטציות שלא ניתן לנטרל. כרגע כל מערכת שאיננה מעודכנת מהווה סיכון גבוה לארגונים ומשתמשים וחובה לעדכן מיידית.
- תוכנת הכופר כבר התחילה לייצר מוטציות שככל הנראה נוצרו ע"י מפעילים אחרים, ממניעים של רווח או סתם כדי להעצים את הכאוס.
- עד כתיבת מאמר זה (בבוקר שלישי 16.5.17) צברו התוקפים כ-37 ביטקוין. ערכו של הביטקוין הוא כ-6,200 ₪ לכל מטבע, לצבירה של 230 אלף ₪ לערך. הנתקפים ששילמו, לרוב שילמו את הכופר כאשר עמד על $300, אך חוקרי חטיבת האבטחה של IBM המנטרים את ארנקי הביטקוין של התוקפים מציינים כי כבר ראו גם תשלומים של $600 נכנסים. מה שמוזר הוא שהתוקפים לא יוכלו להזיז את הביטקוין הלאה מכיוון שברור שעיני החוק מנטרות אותם מקרוב – מה שהופך את מניעי התוקפים לשאלה רלוונטית לשלטונות החוק בעולם.
מה ניתן לעשות כרגע?
התקפת Wcry שינתה את פני עולם הסייבר ואת המודעות לניהול סיכונים בסיסי. מה לעשות כרגע על מנת להיות בטוחים יותר?
- לעדכן, לעדכן, לעדכן!
- צרו גיבויים תכופים למידע שלכם, לפי סיווגו ופוליסות אבטחת המידע של הארגון, והבטיחו את ניתוקם מהרשת הארגונית על מנת להגן עליהם.
- צפו להמשך ההתקפה ולעוד חקיינים שיצוצו בהמשך. בהתחשב בעובדה שפוגענים (אקספלויטים) ברמה של סוכנויות ביון מודלפים לבקרים, התקפות ברמה עולמית כנראה תחזורנה על עצמן עוד לפני תום השנה הנוכחית.
מידע מתעדכן אודות המתקפה וההתפתחויות ניתן למצוא בחמ"ל האבטחה של IBM, הזמין לכל בפלטפורמת X-Force Exchange.
הכותבת היא לימור קסם יועצת אבטחה בכירה ב ibm.
לימור קסם יועצת אבטחה בכירה ב ibm
ביום שישי, ה-12 למאי 2017 התגלתה ברחבי העולם התקפת סייבר רבת נפגעים שאיננה פחותה בממדיה ממגפה טכנולוגית. ההתקפה, אשר עשתה שימוש בתוכנת כופר, הדביקה בצורה ויראלית מאות אלפי נקודות קצה בעולם, פרצה ביותר מ-100 מדינות ופגעה משמעותית בפעילותם של בתי חולים, חברות טלפוניה ותשתיות קריטיות נוספות.
תוכנת הכופרWcry/WannaCry מצפינה מעל 160 סוגי קבצים על המחשבים או השרתים עליהם היא נוחתת והופכת אותם ללא שמישים עד לתשלום כופר בעבורם. התוצאות התפעוליות של ההדבקה היו הרסניות: שיתוק מוחלט של כל נקודת קצה שנפגעה עד לתשלום כופר במטבעות ביטקוין בסך $300 אשר עולה תוך שעתיים ל$400, וממשיך לעלות עד למקסימום של $600 (נכון לזמן כתיבת מאמר זה). באם לא יתבצע תשלום תוך 24 שעות – סיכוי סביר שהאיום יתממש ולא תתאפשר יותר כל גישה למידע המוצפן.
איך זה קרה?
הסיבה המרכזית להתפשטות היא נקודות קצה פגיעות בהן חסר עדכון קריטי של מערכת ההפעלה. מה שמייחד מתקפה ענקית זו הוא שיטת ההגעה שלה לנקודות קצה פגיעות, שיטת ההתפשטות, והאינטרס הלא ברור של מפעיליה, שטרם אותרו.
לרוב התקפות כופר המופעלות על ידי גורמי פשע הן מתקפות ממניעים פיננסיים – מטרתן היא כסף מהיר. אי לכך, הן תגענה לרוב באימייל למשתמשי קצה, תצפין קבציהם, ותמתין לתשלום, כאשר לאחריו לרוב ישוחררו הקבצים בחזרה לבעליהם המקורי. כאן, ראינו התקפה שכפי הידוע כרגע לא הגיעה באימייל.
שיטת ההפצה הראשונית היא כנראה ע"י סריקה נרחבת אחר נקודות קצה פגיעות אשר לא קיבלו עדכון תוכנה קריטי למערכת התפעול WINDOWS. ברגע שנמצאה פרצה, הופעלו שני אקספלוייטים ידועים אשר הודלפו, כביכול, מסוכנות הביון האמריקאית באפריל 2017. הפוגענים האלו אפשרו החדרה של תוכנת הכופרה לרשתות ארגוניות, וזו פשטה בהן כאש בשדה קוצים בשיטה הידועה כ"תולעת" תוך ניצול פגיעות בפרוטוקול תקשורת הרשת SMB המשמש לשיתוף משאבים בין המשתמשים.
כל התהליך הזה כלל לא היה אמור לקרות. לו היו כל הנקודות מעודכנות כנדרש, הן לא היו נפגעות. מדוע לא עודכנו? לרוב בהליכי ניהול סיכונים בארגונים ישנם שיקולים עסקיים ותקציביים שיכולים לדחות עדכון כזה או אחר, כולל שדרוג של מערכת הפעלה שכבר אבד עליה הכלח. זה בדיוק מה שקרה כאן. ארגונים רבים הודו כי עודם משתמשים ב-WINDOWS XP כאשר מערכת זו כבר איננה נתמכת, קרי איננה מעודכנת, ע"י מיקרוסופט מזה שלוש שנים.
מה קורה עכשיו?
- כרגע לא ידועים ארגונים ישראליים שנפגעו, אך מכיוון שלא כל המקרים מדווחים, אין לשלול פגיעה בישראל שעוד עלולה להתגלות.
- ההתקפה עדיין בעיצומה. למרות שנודע על דרך לנטרל את הכופרה והאטה בהידבקות בשלב כלשהו, כבר יצאו מוטציות שלא ניתן לנטרל. כרגע כל מערכת שאיננה מעודכנת מהווה סיכון גבוה לארגונים ומשתמשים וחובה לעדכן מיידית.
- תוכנת הכופר כבר התחילה לייצר מוטציות שככל הנראה נוצרו ע"י מפעילים אחרים, ממניעים של רווח או סתם כדי להעצים את הכאוס.
- עד כתיבת מאמר זה (בבוקר שלישי 16.5.17) צברו התוקפים כ-37 ביטקוין. ערכו של הביטקוין הוא כ-6,200 ₪ לכל מטבע, לצבירה של 230 אלף ₪ לערך. הנתקפים ששילמו, לרוב שילמו את הכופר כאשר עמד על $300, אך חוקרי חטיבת האבטחה של IBM המנטרים את ארנקי הביטקוין של התוקפים מציינים כי כבר ראו גם תשלומים של $600 נכנסים. מה שמוזר הוא שהתוקפים לא יוכלו להזיז את הביטקוין הלאה מכיוון שברור שעיני החוק מנטרות אותם מקרוב – מה שהופך את מניעי התוקפים לשאלה רלוונטית לשלטונות החוק בעולם.
מה ניתן לעשות כרגע?
התקפת Wcry שינתה את פני עולם הסייבר ואת המודעות לניהול סיכונים בסיסי. מה לעשות כרגע על מנת להיות בטוחים יותר?
- לעדכן, לעדכן, לעדכן!
- צרו גיבויים תכופים למידע שלכם, לפי סיווגו ופוליסות אבטחת המידע של הארגון, והבטיחו את ניתוקם מהרשת הארגונית על מנת להגן עליהם.
- צפו להמשך ההתקפה ולעוד חקיינים שיצוצו בהמשך. בהתחשב בעובדה שפוגענים (אקספלויטים) ברמה של סוכנויות ביון מודלפים לבקרים, התקפות ברמה עולמית כנראה תחזורנה על עצמן עוד לפני תום השנה הנוכחית.
מידע מתעדכן אודות המתקפה וההתפתחויות ניתן למצוא בחמ"ל האבטחה של IBM, הזמין לכל בפלטפורמת X-Force Exchange.
הכותבת היא לימור קסם יועצת אבטחה בכירה ב ibm.
