מערך הסייבר הלאומי השיק קמפיין להעלאת המודעות להתגוננות מתקיפות כופרה
הקמפיין, שהושק ברדיו ובדיגיטל, מבוסס על עדויות ומקרים אמיתיים של עסקים שהותקפו במתקפת כופרה וחוו נזקים משמעותיים
ישראל דיפנס
| 14/07/2021
Copyright: AndreyPopov
תקיפות כופרה הפכו בתקופה האחרונה למתקפות הסייבר הפופולריות והנפוצות ביותר בעולם כנגד ארגונים וחברות, כשמטרות אטרקטיביות במיוחד הן עסקים קטנים וחברות טכנולוגיה. בעקבות העלייה בהיקף ובחומרת המתקפות, השיק אתמול (ד׳) מערך הסייבר הלאומי קמפיין נרחב להעלאת המודעות של הציבור, ובעיקר של עסקים, למשמעויות התקיפה ולדרכים להתגונן מפניה.
הקמפיין, שהושק ברדיו ובדיגיטל, מבוסס על עדויות ומקרים אמיתיים של עסקים שהותקפו במתקפת כופרה וחוו נזקים משמעותיים – אובדן ימי עסקים, עלויות שחזור, אובדן מידע על לקוחות ואי יכולת לחייב תשלומים. בעלי העסקים שהשתתפו בתשדיר, חלקם בשמם המלא, הסכימו לחשוף את הסיפור שלהם כדי לסייע לעסקים אחרים להיערך מראש ולהתגונן מבעוד מועד.
מתקפת כופרה, לרוב למטרות סחיטה פיננסיות, נועלת ומצפינה את המידע על מערכות המחשב ודורשת סכום לשחרורו. מניתוח מתקפות הכופרה שדווחו למערך עולה כי הן החלו לרוב באמצעות שליחת דוא"ל עם הודעת דיוג או באמצעות חדירה דרך ממשקים חשופים לרשת האינטרנט, בפרט ממשקי גישה מרחוק כגון RDP או ציודVPN ארגוני, וכן שרתי Web. שיטות נוספות שנצפו היא ניצול נקודת תורפה בספק שמחובר ללקוחותיו והתפשטות ממנו הלאה.
"לא רק שתקיפות כופרה הפכו נפוצות יותר, הן גם נהיו בוטות ונועזות יותר", מסביר יובל שגב ראש מרכז טכנולוגיות מתקדמות במערך הסייבר הלאומי. "תוקפים לא רק מצפינים את מערכות המחשוב הארגוניות, אלא גם גונבים את המסמכים והמידע ומאיימים לפרסמם ברשת. ארגון שכבר הותקף ולא נערך מראש עם גיבוי יעיל, יתקשה מאוד להתאושש. בנוסף, רוב מתקפות הכופרה שראינו בארץ היו יכולות להימנע באמצעות פעולות הגנה בסיסיות".
המגמה הרווחת בשנה האחרונה היא שיטת הפעולה של מיקסום הזדמנויות: תוקפים פועלים בשלב ראשון מול מספר גדול של חברות ומתוך אלו שהצליחו לחדור אליהן, בוחרים את ה"דגים השמנים" ומולם מפעילים את מתקפת הכופרה. בנוסף, במערך מזהים יותר ויותר תשתיות שמוצעות למכירה ברשתות האפלות, של "שירותי תקיפת כופרה למכירהRansomware as a service - - מה שמצריך הבנה בסיסית עד בינונית בלבד, להוציא לפועל מתקפות טכנולוגיות מתוחכמות יחסית ואף הרסניות, באמצעות אותו שירות מדף.
לא רק קלות התקיפה השתנתה, אלא גם קיצור הזמן מרגע החדירה לארגון ועד להצפנת הקבצים, מה שמקשה לעיתים לזהות את התקיפה ולעצור אותה מבעוד מועד. במקרים שנצפו בעולם, הצליחו תוקפים להשמיש חולשה מסויימת ולהצפין ארגונים בתוך חמש שעות בלבד, במקום מספר ימים.
המענה למתקפות מסוג זה הוא בעיקר ביצוע גיבויים עיתיים וסגירת חולשות, אך לא רק. לדברי ארז תדהר מנהל אגף CERT במערך הסייבר הלאומי, "מאירועי הכופרה שהתקבלו אצלנו ניתן לראות כי חברות המסתמכות על גיבויים בלבד, ללא סיוע של חברות לטיפול באירוע (IR), מוצאות עצמן מתגלגלות בתוך תקיפת כופרה זמן ממושך יותר, דבר המוביל להפסד כספי אדיר".
במערך פרסמו מדריך ייעודי לאזרח, לעסקים קטנים ולארגונים גדולים וכן מעמיד מענה לציבור בחיוג ישיר 119. במערך ממליצים להיעזר באיש/אשת מקצוע וחברות סייבר לתכנון ולהטמעת שיטות ההגנה המתאימות לארגון. בתור התחלה, ניתן לבצע חמישה צעדים פשוטים להגנה מבעוד מועד ולצמצום הסיכוי להיפגע ממתקפת כופרה:
1. צמצום משטח חשיפה וסגירת ממשקים לא נחוצים - מומלץ להשתמש בממשקים מאובטחים לגישה מרחוק -טכנולוגיית VPN משולבת במנגנוני הזדהות חזקה – דו שלבי ואף רב שלבי - במיוחד לאור המעבר לעבודה מרחוק.
2. לשים לב למתחזים בדוא"ל ולהודעות דיוג –אם יש לכם ספק, צרו קשר ישירות עם השולח באמצעי תקשורת אחר. כדאי לשים לב גם לקבצים המצורפים בדוא"ל, במקרה שהיישום או מערכת ההפעלה מתריעים מפני חשד לשימוש לא ראוי בצרופות, לא לאשר את פתיחת הקובץ ובמיוחד בסיומות הבאות: EXE, .VBS, SCR. כמו כן יש להיזהר מסיומות כפולות כגון AVI.EXE, DOC.SCR, המנסה להסוות קבצים זדוניים.
3. תוכנות הגנה בסיסיות וסגירת חולשות - התקינו תוכנות אנטי וירוס ו"חומת אש" והגדרת עדכוני תוכנה אוטומטיים לכל המערכות הטכנולוגיות בארגון. מומלץ לתעדף במיוחד סגירת חולשות חמורות ונפוצות שעליהן מתריע מערך הסייבר.
4. גיבויים - בתקיפה מסוג כופרה, שחזור המידע מגיבוי יסייע להתאושש במהירות יחסית ולחזור לתפקוד. גיבוי הוא עותק המידע הדיגיטלי שאינו מאוחסן על המחשב אלא במיקום נפרד. בגיבוי בתוכנת ענן, מומלץ להגדיר אימות דו שלבי.
5. הכנת תוכנית פעולה למקרה של תקיפה - הערכות מבעוד מועד יסייע בצמצום וניהול נכון בעת משבר ובכלל זה התקשרות עם חברת IR שתאפשר לזהות את נתיב התקיפה ולנקות את רשת המחשוב או התשתיות שהודבקו לפני העלייה מגיבויים כדי למנוע הישנות התקיפה לאחר ההתאוששות.
במקרה של מתקפת סייבר ניתן לדווח גם באופן אנונימי למערך הסייבר הלאומי בחיוג חירום 119.
המלצות נוספות באתר המערך: cyber.gov.il
הקמפיין, שהושק ברדיו ובדיגיטל, מבוסס על עדויות ומקרים אמיתיים של עסקים שהותקפו במתקפת כופרה וחוו נזקים משמעותיים
Copyright: AndreyPopov
תקיפות כופרה הפכו בתקופה האחרונה למתקפות הסייבר הפופולריות והנפוצות ביותר בעולם כנגד ארגונים וחברות, כשמטרות אטרקטיביות במיוחד הן עסקים קטנים וחברות טכנולוגיה. בעקבות העלייה בהיקף ובחומרת המתקפות, השיק אתמול (ד׳) מערך הסייבר הלאומי קמפיין נרחב להעלאת המודעות של הציבור, ובעיקר של עסקים, למשמעויות התקיפה ולדרכים להתגונן מפניה.
הקמפיין, שהושק ברדיו ובדיגיטל, מבוסס על עדויות ומקרים אמיתיים של עסקים שהותקפו במתקפת כופרה וחוו נזקים משמעותיים – אובדן ימי עסקים, עלויות שחזור, אובדן מידע על לקוחות ואי יכולת לחייב תשלומים. בעלי העסקים שהשתתפו בתשדיר, חלקם בשמם המלא, הסכימו לחשוף את הסיפור שלהם כדי לסייע לעסקים אחרים להיערך מראש ולהתגונן מבעוד מועד.
מתקפת כופרה, לרוב למטרות סחיטה פיננסיות, נועלת ומצפינה את המידע על מערכות המחשב ודורשת סכום לשחרורו. מניתוח מתקפות הכופרה שדווחו למערך עולה כי הן החלו לרוב באמצעות שליחת דוא"ל עם הודעת דיוג או באמצעות חדירה דרך ממשקים חשופים לרשת האינטרנט, בפרט ממשקי גישה מרחוק כגון RDP או ציודVPN ארגוני, וכן שרתי Web. שיטות נוספות שנצפו היא ניצול נקודת תורפה בספק שמחובר ללקוחותיו והתפשטות ממנו הלאה.
"לא רק שתקיפות כופרה הפכו נפוצות יותר, הן גם נהיו בוטות ונועזות יותר", מסביר יובל שגב ראש מרכז טכנולוגיות מתקדמות במערך הסייבר הלאומי. "תוקפים לא רק מצפינים את מערכות המחשוב הארגוניות, אלא גם גונבים את המסמכים והמידע ומאיימים לפרסמם ברשת. ארגון שכבר הותקף ולא נערך מראש עם גיבוי יעיל, יתקשה מאוד להתאושש. בנוסף, רוב מתקפות הכופרה שראינו בארץ היו יכולות להימנע באמצעות פעולות הגנה בסיסיות".
המגמה הרווחת בשנה האחרונה היא שיטת הפעולה של מיקסום הזדמנויות: תוקפים פועלים בשלב ראשון מול מספר גדול של חברות ומתוך אלו שהצליחו לחדור אליהן, בוחרים את ה"דגים השמנים" ומולם מפעילים את מתקפת הכופרה. בנוסף, במערך מזהים יותר ויותר תשתיות שמוצעות למכירה ברשתות האפלות, של "שירותי תקיפת כופרה למכירהRansomware as a service - - מה שמצריך הבנה בסיסית עד בינונית בלבד, להוציא לפועל מתקפות טכנולוגיות מתוחכמות יחסית ואף הרסניות, באמצעות אותו שירות מדף.
לא רק קלות התקיפה השתנתה, אלא גם קיצור הזמן מרגע החדירה לארגון ועד להצפנת הקבצים, מה שמקשה לעיתים לזהות את התקיפה ולעצור אותה מבעוד מועד. במקרים שנצפו בעולם, הצליחו תוקפים להשמיש חולשה מסויימת ולהצפין ארגונים בתוך חמש שעות בלבד, במקום מספר ימים.
המענה למתקפות מסוג זה הוא בעיקר ביצוע גיבויים עיתיים וסגירת חולשות, אך לא רק. לדברי ארז תדהר מנהל אגף CERT במערך הסייבר הלאומי, "מאירועי הכופרה שהתקבלו אצלנו ניתן לראות כי חברות המסתמכות על גיבויים בלבד, ללא סיוע של חברות לטיפול באירוע (IR), מוצאות עצמן מתגלגלות בתוך תקיפת כופרה זמן ממושך יותר, דבר המוביל להפסד כספי אדיר".
במערך פרסמו מדריך ייעודי לאזרח, לעסקים קטנים ולארגונים גדולים וכן מעמיד מענה לציבור בחיוג ישיר 119. במערך ממליצים להיעזר באיש/אשת מקצוע וחברות סייבר לתכנון ולהטמעת שיטות ההגנה המתאימות לארגון. בתור התחלה, ניתן לבצע חמישה צעדים פשוטים להגנה מבעוד מועד ולצמצום הסיכוי להיפגע ממתקפת כופרה:
1. צמצום משטח חשיפה וסגירת ממשקים לא נחוצים - מומלץ להשתמש בממשקים מאובטחים לגישה מרחוק -טכנולוגיית VPN משולבת במנגנוני הזדהות חזקה – דו שלבי ואף רב שלבי - במיוחד לאור המעבר לעבודה מרחוק.
2. לשים לב למתחזים בדוא"ל ולהודעות דיוג –אם יש לכם ספק, צרו קשר ישירות עם השולח באמצעי תקשורת אחר. כדאי לשים לב גם לקבצים המצורפים בדוא"ל, במקרה שהיישום או מערכת ההפעלה מתריעים מפני חשד לשימוש לא ראוי בצרופות, לא לאשר את פתיחת הקובץ ובמיוחד בסיומות הבאות: EXE, .VBS, SCR. כמו כן יש להיזהר מסיומות כפולות כגון AVI.EXE, DOC.SCR, המנסה להסוות קבצים זדוניים.
3. תוכנות הגנה בסיסיות וסגירת חולשות - התקינו תוכנות אנטי וירוס ו"חומת אש" והגדרת עדכוני תוכנה אוטומטיים לכל המערכות הטכנולוגיות בארגון. מומלץ לתעדף במיוחד סגירת חולשות חמורות ונפוצות שעליהן מתריע מערך הסייבר.
4. גיבויים - בתקיפה מסוג כופרה, שחזור המידע מגיבוי יסייע להתאושש במהירות יחסית ולחזור לתפקוד. גיבוי הוא עותק המידע הדיגיטלי שאינו מאוחסן על המחשב אלא במיקום נפרד. בגיבוי בתוכנת ענן, מומלץ להגדיר אימות דו שלבי.
5. הכנת תוכנית פעולה למקרה של תקיפה - הערכות מבעוד מועד יסייע בצמצום וניהול נכון בעת משבר ובכלל זה התקשרות עם חברת IR שתאפשר לזהות את נתיב התקיפה ולנקות את רשת המחשוב או התשתיות שהודבקו לפני העלייה מגיבויים כדי למנוע הישנות התקיפה לאחר ההתאוששות.
במקרה של מתקפת סייבר ניתן לדווח גם באופן אנונימי למערך הסייבר הלאומי בחיוג חירום 119.
המלצות נוספות באתר המערך: cyber.gov.il
