סופוס: תוקפים מנצלים את הפירצה בשרתי הדוא״ל של מיקרוסופט להשתיל תוכנת כופר

זה היה רק עניין של זמן עד שתוקפים יתחילו לנצל את פרצת ה-Exchange/ProxyLogon, וההתקפה הראשונה - כך מגלים חוקרי סופוס - היא DearCry

מארק לומן. צילום: סופוס

זה היה רק עניין של זמן עד שתוקפים יתחילו לנצל את פרצת ה-Exchange/ProxyLogon, וההתקפה הראשונה - כך מגלים חוקרי סופוס - היא DearCry, תוכנת כופר חדשה שחוקרי סופוס מנתחים את דרך הפעולה שלה.  

לדברי מארק לומן, מומחה תוכנות כופר בסופוס, "מנקודת מבט של התנהגות ההצפנה, DearCry הוא מה שמומחי סופוס מכנים תוכנת כופר "מעתיקה". היא יוצרת עותקים מוצפנים של הקבצים המותקפים ומוחקת את המקור. הדבר מביא לכך שהקבצים המוצפנים מאוחסנים באזור לוגי נפרד, והוא יכול לאפשר לקורבן לאחזר חלק מהנתונים – תלוי בזמן בו מערכת חלונות עושה שימוש חוזר באזורים הלוגיים שהתפנו.

תוכנות כופר תוקפניות יותר, המופעלות על ידי גורם אנושי, כגון Ryuk, , REvil BitPaymer, Maze ו-Clop, משתמשות בהצפנה "בו-במקום". התקפות אלו מותירות את הקבצים המוצפנים באותו אזור לוגי, ובכך אינן מאפשרות אחזור שלהם באמצעות כלים לביטול מחיקה. 

"הצפנת DearCry מבוססת על מערכת הצפנה עם מפתח ציבורי. המפתח הציבורי מוטמע בתוך הקוד הבינארי של תוכנת הכופר, והמשמעות היא שהתוכנה אינה צריכה ליצור קשר עם שרת הפיקוד והשליטה כדי להצפין את הקבצים. שרתי Exchange המוגדרים כדי לאפשר גישה מהאינטרנט רק לשירותי ה- Exchange עדיין יהפכו למוצפנים. ללא מפתח ההצפנה (אשר נמצא בבעלות התוקף) שחרור ההצפנה אינו אפשרי.

"מעניין לראות, כי גם WannaCry היתה תוכנת כופר 'מעתיקה', ו- DearCry לא רק שחולקת עימה שם דומה, אלא גם פתיח קובץ דומה. אנשי IT ואבטחה צריכים לנקוט בצעדים דחופים להתקנת עדכונים של מיקרוסופט, כדי למנוע ניצול של שרתי Microsoft Exchange.

״אם הדבר לא מתאפשר, יש לנתק את השרת מהאינטרנט או לנטר אותו באופן הדוק באמצעות צוות תגובה לאיומים. פתרונות Sophos Intercept X מזהים ומגנים מפני DearCry. צפינו כי התוקפים ינצלו את פירצת Exchange/ProxyLogon, ואלה הניצנים הראשונים".

אולי יעניין אותך גם

בתמונה מימין לשמאל: בועז לוי, מנכ"ל התעשייה האווירית ומורדי בן עמי, מנכ"ל תומר במעמד חתימת ההסכם. קרדיט לצילום – מיכאל וינרסקי/התעשייה האווירית

התחרות בשוק המנועים הרקטיים הישראלי גדלה: תעשייה אווירית חותמת על שיתוף פעולה עם תומר

תעשייה אווירית מחממת מנועים מול רפאל - במסגרת ההסכם ירחיבו החברות את הסינרגיה הקיימת ביניהן בתחומי ההנעה הרקטית והטילאות