סייברארק משחררת כלי חינמי לחילוץ טקסט ותמונות ממסמכים מוצפנים חלקית
האקרים החלו להשתמש בהצפנה חלקית (intermittent encryption) של קבצים כדי להצפין יותר מהר את סביבת הקורבן | הכלי החינמי יוכל לחלץ נתונים מהחלקים שאינם מוצפנים בקובץ
עמי רוחקס דומבה
| 08/05/2023
נוצר באמצעות בינה מלאכותית | bing.com
מעבדות סייברארק של חברת CyberArk הישראלית מפרסמת היום מחקר על כלי חינמי חדש בשם “White Phoenix”. עם אלפי קורבנות מידי שנה ודרישות כופר בשווי מיליארדי דולרים, התקפות כופר הן מסוג התקפות הסייבר הכי הרסניות בעולם.
במהלך המחקר זיהו החוקרים, ארי נוביק ואמיר לנדאו, כי בחלק משמעותי ממתקפות הכופר נעשה שימוש בטכניקה חדשה: הצפנה למקוטעין (intermittent encryption). הטכניקה הזו נועדה לשפר מהירויות של התקפות כופר על ידי זה שהפוגענים מצפינים רק חלקית (או למקוטעין) את הקבצים.
במקרים כאלה ניתן לשחזר חלק מהמידע מקבצים שהוצפנו, מכיוון שלא כל התוכן של הקובצים מוצפן. White Phoenix הוא כלי שנבנה על ידי החוקרים, המסוגל לקחת קובץ שהוצפן על ידי פוגען כופר (ransomware) ולשחזר חלק מהתוכן של הקובץ המקורי.
לרוב, פוגעני כופר משתמשים באותן שיטות הצפנה שאנחנו משתמשים בהן לאבטח את המידע שלנו. זאת אומרת ששיטת ההצפנה של פוגענים אלה היא כזאת שאי אפשר לפענח אותה בלי לדעת את מפתח ההצפנה, ומכאן, שלא ניתן לשחזר את המידע שהוצפן במהלך ההתקפה בלי שהתוקפים מספקים את מפתח ההצפנה לאחר תשלום הכופר.
אך במקרים רבים אפילו אם הקורבנות משלמים את הכופר, התוקפים לא מספקים את המפתחות בסוף, מה שמותיר את הקורבנות ללא דרך לשחזר את המידע שאבד. כך נוצר מצב שפעמים רבות אין לקורבנות דרך לשחזר כלל את המידע שאבד.
בשנים האחרונות היו המון שינוים בעולם פוגעני הכופר. הרבה קבוצות חדשות קמו ונפלו. בנוסף, נוצרה תחרות עזה בין קבוצות התקיפה השונות לייצר את הפוגענים הכי יעילים להתקפות הכופר. בין הקבוצות המובילות בתחרות כיום, קבוצת תקיפה בשם BlackCat (הידועים גם בתור ALPHV וNoberus).
במהלך המחקר החדש, החוקרים זיהו כי הפוגען של קבוצה זו לא תמיד מצפין את תוכן הקבצים מהתחלה עד הסוף. לאחר התעמקות בנושא התברר כי הפוגען משתמש בהצפנה למקוטעין. הצפנה מסוג זה היא תכונה מובנית לא רק לפוגען של קבוצת BlackCat , זוהי תכונה נפוצה בקרב פוגעני כופר רבים.
יש מספר יתרונות לפוגעני כופר להשתמש בהצפנה למקוטעין, ביניהם מהירות ההצפנה. מכיוון שהתוכנות בהן אנחנו משתמשים לקריאה וכתיבת מסמכים לא יכולות להתמודד עם מסמך שהוא חצי מוצפן, מבחינת התוקפים לא אמור להיות הבדל משמעותי, אם הקובץ מוצפן לחלוטין או רק חלקית.
אך יש הנחה מוטעית בגישה זו, כיוון שייתכן שהתוכן החשוב שבקובץ נותר לא מוצפן, וכל מה שצריך זה כלי מתאים שידע להתמודד עם קובץ מוצפן חלקית. לשם כך, החוקרים פיתחו את הכלי “White Phoenix”, שמטרתו לחלץ טקסט ותמונות מהחלקים הלא מוצפנים של מסמכים שהוצפנו למקוטעין. בצורה כזו, קורבנות של התקפות כופר שמשתמשות בהצפנה למקוטעין יוכלו לשחזר חלק מהמידע מהקבצים שהוצפנו, וללא עלות.
White Phoenix מהווה גישה חדשה להתמודדות עם התקפות כופר. בעזרתWhite Phoenix צוותי תגובה יוכלו לשחזר חלק מתוכן הקבצים, מבלי שהקורבנות יצטרכו לשלם את הכופר ובלי לחכות שחוקרים יצליחו לזהות דרכים לפצח את ההצפנה. כך, קורבנות לא יצטרכו להתחיל מאפס בבניה מחדש של כל התוכן שהוצפן, וירגישו פחות צורך לשלם את הכופר.
״נתקלנו בהמון מקרים בהם קורבנות מתקפות כופר לא הצליחו לשחזר מידע, אפילו במקרים שבהם שילמו את הכופר. לכן רצינו למצוא פתרון כמה שיותר כללי שיוכל לעזור לכמה שיותר קורבנות.White Phoenix מספק פתרון חלקי נגד קבוצות כופר רבות ושונות, ויוכל לסייע לקורבנות שונים, ביניהם לארגונים המותקפים שיכולים לקחת את הכלי ולהשתמש בו לבד ובחינם״, אומרים החוקרים ארי נוביק ואמיר לנדאו ממעבדות סייברארק.
עוד מוסיפים החוקרים: ״White Phoenix כפי שהוא היום, תומך בעיקר במסמכי PDF ובמידה מסוימת במסמכי אופיס, אך אנחנו מאמינים שאפשר להרחיב אותו לתמוך בסוגים שונים של קבצים כגון קבצי סרטים ומוזיקה. אנחנו משחררים את הכלי ככלי Open Source כדי שכל מי שמעוניין לתרום לו יוכל.״
לינק לכלי החינמי > https://github.com/cyberark/White-Phoenix
האקרים החלו להשתמש בהצפנה חלקית (intermittent encryption) של קבצים כדי להצפין יותר מהר את סביבת הקורבן | הכלי החינמי יוכל לחלץ נתונים מהחלקים שאינם מוצפנים בקובץ
נוצר באמצעות בינה מלאכותית | bing.com
מעבדות סייברארק של חברת CyberArk הישראלית מפרסמת היום מחקר על כלי חינמי חדש בשם “White Phoenix”. עם אלפי קורבנות מידי שנה ודרישות כופר בשווי מיליארדי דולרים, התקפות כופר הן מסוג התקפות הסייבר הכי הרסניות בעולם.
במהלך המחקר זיהו החוקרים, ארי נוביק ואמיר לנדאו, כי בחלק משמעותי ממתקפות הכופר נעשה שימוש בטכניקה חדשה: הצפנה למקוטעין (intermittent encryption). הטכניקה הזו נועדה לשפר מהירויות של התקפות כופר על ידי זה שהפוגענים מצפינים רק חלקית (או למקוטעין) את הקבצים.
במקרים כאלה ניתן לשחזר חלק מהמידע מקבצים שהוצפנו, מכיוון שלא כל התוכן של הקובצים מוצפן. White Phoenix הוא כלי שנבנה על ידי החוקרים, המסוגל לקחת קובץ שהוצפן על ידי פוגען כופר (ransomware) ולשחזר חלק מהתוכן של הקובץ המקורי.
לרוב, פוגעני כופר משתמשים באותן שיטות הצפנה שאנחנו משתמשים בהן לאבטח את המידע שלנו. זאת אומרת ששיטת ההצפנה של פוגענים אלה היא כזאת שאי אפשר לפענח אותה בלי לדעת את מפתח ההצפנה, ומכאן, שלא ניתן לשחזר את המידע שהוצפן במהלך ההתקפה בלי שהתוקפים מספקים את מפתח ההצפנה לאחר תשלום הכופר.
אך במקרים רבים אפילו אם הקורבנות משלמים את הכופר, התוקפים לא מספקים את המפתחות בסוף, מה שמותיר את הקורבנות ללא דרך לשחזר את המידע שאבד. כך נוצר מצב שפעמים רבות אין לקורבנות דרך לשחזר כלל את המידע שאבד.
בשנים האחרונות היו המון שינוים בעולם פוגעני הכופר. הרבה קבוצות חדשות קמו ונפלו. בנוסף, נוצרה תחרות עזה בין קבוצות התקיפה השונות לייצר את הפוגענים הכי יעילים להתקפות הכופר. בין הקבוצות המובילות בתחרות כיום, קבוצת תקיפה בשם BlackCat (הידועים גם בתור ALPHV וNoberus).
במהלך המחקר החדש, החוקרים זיהו כי הפוגען של קבוצה זו לא תמיד מצפין את תוכן הקבצים מהתחלה עד הסוף. לאחר התעמקות בנושא התברר כי הפוגען משתמש בהצפנה למקוטעין. הצפנה מסוג זה היא תכונה מובנית לא רק לפוגען של קבוצת BlackCat , זוהי תכונה נפוצה בקרב פוגעני כופר רבים.
יש מספר יתרונות לפוגעני כופר להשתמש בהצפנה למקוטעין, ביניהם מהירות ההצפנה. מכיוון שהתוכנות בהן אנחנו משתמשים לקריאה וכתיבת מסמכים לא יכולות להתמודד עם מסמך שהוא חצי מוצפן, מבחינת התוקפים לא אמור להיות הבדל משמעותי, אם הקובץ מוצפן לחלוטין או רק חלקית.
אך יש הנחה מוטעית בגישה זו, כיוון שייתכן שהתוכן החשוב שבקובץ נותר לא מוצפן, וכל מה שצריך זה כלי מתאים שידע להתמודד עם קובץ מוצפן חלקית. לשם כך, החוקרים פיתחו את הכלי “White Phoenix”, שמטרתו לחלץ טקסט ותמונות מהחלקים הלא מוצפנים של מסמכים שהוצפנו למקוטעין. בצורה כזו, קורבנות של התקפות כופר שמשתמשות בהצפנה למקוטעין יוכלו לשחזר חלק מהמידע מהקבצים שהוצפנו, וללא עלות.
White Phoenix מהווה גישה חדשה להתמודדות עם התקפות כופר. בעזרתWhite Phoenix צוותי תגובה יוכלו לשחזר חלק מתוכן הקבצים, מבלי שהקורבנות יצטרכו לשלם את הכופר ובלי לחכות שחוקרים יצליחו לזהות דרכים לפצח את ההצפנה. כך, קורבנות לא יצטרכו להתחיל מאפס בבניה מחדש של כל התוכן שהוצפן, וירגישו פחות צורך לשלם את הכופר.
״נתקלנו בהמון מקרים בהם קורבנות מתקפות כופר לא הצליחו לשחזר מידע, אפילו במקרים שבהם שילמו את הכופר. לכן רצינו למצוא פתרון כמה שיותר כללי שיוכל לעזור לכמה שיותר קורבנות.White Phoenix מספק פתרון חלקי נגד קבוצות כופר רבות ושונות, ויוכל לסייע לקורבנות שונים, ביניהם לארגונים המותקפים שיכולים לקחת את הכלי ולהשתמש בו לבד ובחינם״, אומרים החוקרים ארי נוביק ואמיר לנדאו ממעבדות סייברארק.
עוד מוסיפים החוקרים: ״White Phoenix כפי שהוא היום, תומך בעיקר במסמכי PDF ובמידה מסוימת במסמכי אופיס, אך אנחנו מאמינים שאפשר להרחיב אותו לתמוך בסוגים שונים של קבצים כגון קבצי סרטים ומוזיקה. אנחנו משחררים את הכלי ככלי Open Source כדי שכל מי שמעוניין לתרום לו יוכל.״
לינק לכלי החינמי > https://github.com/cyberark/White-Phoenix
