מחקר סופוס: איך פועלות משפחות הפשע של תוכנות כופר

מדריך ההגנה מקיף כלים וטכניקות המשמשים 11 משפחות מרכזיות של תוכנות כופר, כולל WannaCry, SamSam, RobbinHood, Ryuk, MegaCortex; מהממצאים עולה כי מתקפה אוטומטית ופעילה (Active) היא הגישה הנפוצה ביותר בקרב תוכנות הכופר המובילות

סופוס, מובילה גלובלית באבטחת סייבר של הדור הבא, פרסמה את How Ransomware Attacks, מדריך אבטחה המסביר כיצד גרסאות שונות של תוכנות כופר תוקפות ופוגעות בקורבנות. המדריך, המשלים את דוח האיומים לשנת 2020 שפורסם באחרונה, מציג ניתוח מפורט של 11 המשפחות התוקפניות והנפוצות ביותר של תוכנות כופר, כולל Ryuk, BitPaymer ו- MegaCortex.

המחקר באמצעות SophosLabs, מציג כיצד תוכנות כופר מנסות לחלוף על פני בקרי האבטחה מבלי שיבחינו בהן, כשהן מנצלות תהליכי מחשוב לגיטימיים ואמינים. לאחר מכן הן רותמות מערכות פנימיות כדי להצפין במהירות את מרב הקבצים ולנטרל תהליכים של גיבוי ואחזור, בטרם צוות אבטחת ה- IT מספיק להגיב.

הכלים והטכניקות המפורטים במדריך כוללים:

דרכי ההפצה של משפחות תוכנות הכופר המרכזיות. תוכנות כופר בדרך כלל מופצות באחת משלוש דרכים: כ-cryptoworm, אשר משכפל את עצמו במהירות למחשבים אחרים לצורך יצירת התקפה נרחבת ככל הניתן (כגון WannaCry); כתוכנת כופר כשירות (RaaS), הנמכרת ברשת האפילה כערכה להפצת קוד זדוני (כגון Sodinokibi); או באמצעות התקפות אוטומטיות פעילות (automated active adversary attack), במסגרתן תוקפים מפעילים באופן ידני את תוכנות הכופר, לאחר שביצעו סריקה אוטומטית של רשתות כדי לאתר מערכות עם הגנה חלשה. סוג זה של התקפות הוא הנפוץ ביותר בקרב המשפחות המובילות שמפורטות בדוח.

תוכנת כופר עם חתימה קריפטוגרפית שלתעודה דיגיטלית לגיטימית שנרכשה או נגנבה. תעודה זו מסייעת לשכנע חלק מתוכנות האבטחה כי הקוד הוא אמין ואינו דורש ניתוח.

אסקלציה של הרשאות באמצעות כלי פריצה מוכנים, כגון EternalBlue. הדבר מאפשר לתוקף להתקין תוכנות שליטה מרחוק (RTA) על מנת לצפות, לשנות או למחוק נתונים, ליצור חשבונות חדשים עם הרשאות מלאות, ולנטרל תוכנות אבטחה.

תנועה רוחבית וצייד ברשת אחר קבצים או שרתי גיבוי, וכל זאת כשהכל נעשה מתחת לרדאר, ובמטרה לייצר את אפקט הפגיעה הרחב ביותר במהלך מתקפת הכופר. בתוך שעה, תוקפים יכולים ליצור קוד שיעתיק ויפעיל את תוכנת הכופר בנקודות הקצה ובשרתים, וכדי להאיץ עוד יותר את המתקפה, תוכנות הכופר יכולות לבצע תיעדוף של נתונים הנמצאים בכוננים משותפים או מרוחקים, לתת עדיפות לקבצים קטנים, ולהריץ מספר תהליכי הצפנה במקביל.

התקפות מרחוק. לעיתים קרובות, שרתי הקבצים בעצמם אינם נפגעים מתוכנות הכופר. במקום זאת, האיום מופעל בדרך כלל על נקודת קצה אחת או יותר שנפרצו, ומשם הוא מנצל הרשאות משתמש כדי לבצע תקיפה מרחוק. לעיתים הדבר מבוצע באמצעות פרוקוטול RDP (Remote Desktop Protocol), ולעיתים באמצעות תקיפה של פתרונות RMM המשמשים ספקי שירותים (MSP) כדי לנהל את תשתיות ה-IT של לקוחות ומשתמשי קצה.

הצפנת ושינוי שם קבצים. ישנן מספר שיטות שונות להצפנת קבצים, כולל שימוש בכתיבה מחדש על גבי מסמך. אבל רוב ההתקפות משלבות גם מחיקה של קובץ המקור ועותק הגיבוי כדי לפגוע בנסיונות האחזור.

המדריך מסביר כיצד אלה, וכלים וטכניקות נוספים, משמשים את 11 משפחות תוכנות הכופר: WannaCry, GrandCrab, SamSam, Dharma, BitPaymer, Ryuk, LockerGoga, MegaCortex, RobbinHood, Matrix ו- Sodinokibi

"ליוצרים של תוכנות הכופר יש הבנה טובה מאוד לגבי הדרך בה תוכנות אבטחה פועלות, והם משנים  את ההתקפות שלהם בהתאם. כל המאמצים נועדים כדי להימנע מזיהוי בעת שהקוד הזדוני מצפין קבצים רבים ככל הניתן. בכך, הוא מקשה, אם לא מבטל לחלוטין, את האפשרות לאחזור הנתונים. במקרים מסוימים, החלק המרכזי של ההתקפה מתרחש בלילה, כאשר צוות ה-IT ישן בביתו. עד שהקורבן מזהה מה מתרחש, כבר מאוחר מדי. חיוני להחזיק בקרי אבטחה חזקים, ויכולות ניטור ותגובה, עבור כל נקודות הקצה, הרשתות והמערכות, ולהתקין עדכוני תוכנה בכל עת בה הם מופיעים", אמר מרק לומן, מנהל הנדסת מזעור איומים בסופוס, ומחבר הדוח.

כיצד להתגונן מפני תוכנות כופר:

1. וודאו שיש לכם רשימת מצאי מלאה של כל המכשירים המחוברים לרשת שלכם, ושכל תוכנות האבטחה מעודכנות.
2. התקינו תמיד את עדכוני האבטחה האחרונים, מוקדם ככל הניתן, על כל המכשירים ברשת.
3. וודאו שכל המכשירים מעודכנים מפני פירצת EternalBlue המשמשת את WannaCry, באמצעות מעקב אחר ההוראות כאן: How to Verify if a Machine is Vulnerable to EternalBlue – MS17-010.
4. שמרו על גיבוי קבוע של הנתונים החשובים והעדכניים באחסון מנותק מהרשת. זו הדרך הטובה ביותר להימנע מהצורך לשלם כופר כאשר נפגעים מתוכנת כופר.
5. מנהלים צריכים לאפשר אימות רב-שלבי עבור כל מערכות הניהול, כדי למנוע מתוקפים לנטרל מוצרי אבטחה במהלך ההתקפה.
6. אין "פתרון זהב" לאבטחה, ומודל של הגנה שכבתית הוא הדרך הטובה ביותר עבור עסקים.

לדוגמא, Sophos Intercept X מפעיל גישה מקיפה של הגנת עומק לנקודות קצה, בשילוב מגוון טכניקות הדור הבא לזיהוי קוד זדוני, הגנה מניצול פרצות, וזיהוי ותגובה (EDR) מובנים לנקודות קצה.