מתקפות סייבר
האבולוציה של WannaCry: ממשיך לשרוד בזכות אלפי גרסאות ונגזרות שונות
סופוס פרסמה את WannaCry Aftershock, דוח המסכם את הידוע עד כה על הקוד הזדוני הידוע לשמצה WannaCry שהתגלה לראשונה בהתקפה גלובלית שהחלה ב-12 במאי, 2017. המחקר שביצעה SophosLabs מראה כי WannaCry לא נעלם, והוא עדיין טורף מסוכן האחראי על מיליוני ניסיונות הדבקה מדי חודש. עוד מגלה הדוח כי בעוד שהקוד הזדוני המקורי לא התעדכן עד היום, אלפי גרסאות אחרות, בעלות חיי מדף קצרים, מסתובבות בשטח.
הקיום המתמשך של איום WanaaCry מיוחס בעיקר הודות ליכולת של הגרסאות החדשות שלו לעקוף את "מתג החיסול". עם זאת, כאשר חוקרי סופוס ניתחו והפעילו מספר דוגמיות, הם גילו כי נוטרלה היכולת שלהן לבצע הצפנה של נתונים כתוצאה מהשחתה של הקוד.
כתוצאה מהדרך שבה WannaCry מדביק קורבנות חדשים – הוא בודק האם מחשב כבר הודבק, ואם כן, הוא ממשיך למטרה הבאה – הדבקה של מכשיר בקוד שאינו פעיל משמשת למעשה כאמצעי הגנה על המכשיר מפני הדבקה נוספת. באופן זה, הגרסאות החדשות של הקוד הזדוני פועלות כחיסון בלתי מכוון, כשהן מאפשרות למחשבים פגיעים ושאינם מעודכנים סוג של הגנה מפני התקפות חוזרות מצד אותו קוד זדוני.
עם זאת, העובדה כי מחשבים אלה הודבקו מלכתחילה, מצביעה על כך כי לא בוצע במחשבים עדכון אבטחה מפני כלי הפריצה המרכזי שמשמש בהתקפות WannaCry – עדכון שפורסם כבר לפני יותר משנתיים.
WannaCry המקורי זוהה רק 40 פעמים, ומאז חוקרי מעבדת סופוס זיהו 12,480 גרסאות של הקוד המקורי. בחינה מקיפה יותר של יותר מ- 2,700 דוגמיות (המהוות 98% מכלל הזיהויים) חושפת כי כולן שוכללו כדי לעקוף את "מתג החיסול" – URL ספציפי שאם הקוד הזדוני מתחבר אליו הוא מסיים באופן אוטומטי את תהליך ההדבקה. בכולם היה גם רכיב תוכנת כופר, ואף אחד מהם אינו מסוגל להצפין נתונים.
באוגוסט 2019, נתוני טלמטריה של סופוס זיהוי 4.3 מיליון מופעים של WannaCry. מספר הגרסאות השונות שנצפו עמד על 6,963. מתוכן, 80% היו קבצים חדשים.
חוקרי Sophos הצליחו להתחקות אחר ההופעה הראשונה של הגרסה הנפוצה ביותר כיום, אשר התרחשה רק יומיים אחר ההתקפה המקורית: 14 במאי, 2017. היא הועלתה ל- VirusTotal, ועדיין לא נצפתה בשטח.
"ההתפרצות של WannaCry ב-2017 שינתה לעד את אופק האיומים. המחקר שלנו ממחיש את מספר המחשבים שעדיין לא הותקנו עליהם עדכונים. ואם עדיין לא התקנתם עדכונים שפורסמו לפני יותר משנתיים, מה זה אומר לגבי עדכונים אחרים שפורסמו במהלך השנתיים האחרונות? במקרה הזה, כנראה שלחלק מהקורבנות היה מזל, מכיוון שגרסאות קודמות של הקוד הזדוני חיסנו אותם מפני גרסאות חדשות יותר. אבל לאף ארגון אסור להסתמך על כך. במקום זאת, ההתנהלות הבסיסית צריכה לכלול מדיניות של התקנת עדכונים ברגע שהם מתפרסמים, ולכלול הפעלה של פתרון אבטחה חזק המגן על כל נקודות הקצה, הרשתות והמערכות", אמר פיטר מקנזי, מומחה אבטחה בסופוס ומוביל המחקר.
כיצד להגן מפני הקוד הזדוני WannaCry ותוכנות כופר –
- בדקו כי אתם מודעים לכל המכשירים המחוברים לרשת שלכם וכי בכולם בוצעו עדכוני תוכנות אבטחה
- התקינו תמיד את העדכונים החדשים כאשר הם מתפרסמים, בכל המכשירים ברשת
- וודאו כי המחשבים מעודכנים מפני כלי הפריצה Eternal Blue המשמש את WannaCry. עקבו אחר ההוראות הבאות: How to Verify if a Machine is Vulnerable to EternalBlue – MS17-010
- בצעו גיבויים קבועים של הנתונים החשובים ביותר אל מכשירי אחסון מנותקים מהרשת. זו הדרך הטובה ביותר כדי להימנע מתשלום כופר כאשר נדבקים בתוכנת כופר.
- אין פתרון אבטחה אחד שמגן על הכל. מודל אבטחה שכבתי הוא ההמלצה הטובה ביותר לעסקים וארגונים.
- לדוגמא, Sophos Intercept X מספק הגנת עומק מקיפה בנקודות הקצה, כשהוא משלב מספר טכניקות הדור הבא לזיהוי קוד זדוני, הגנה מפני כלי פריצה, והגנה ותגובה מובנים עבור נקודות קצה (EDR)