כיצד להגן על הארגון שלכם מפני מתקפת הכופר WCry
מתקפת הכופר WCry היכתה בסופ"ש האחרון בלמעלה מ- 100 מדינות ופגעה בכ- 75,000 מחשבים. צוות מומחי FortiGuard של פורטינט מנתח מה בעצם התרחש, מספק המלצות למניעת האיום ומה לעשות אם בכל זאת נפגעתם
תוכנות הכופר הפכו לאיום אשר גדל בצורה מהירה מאוד ולא פוסח על אף אחד. החל מהראשון בינואר 2016, ממוצע ההתקפות של תוכנות כופר עמד על מעל ל-4,000 התקפות ביום. אך המתקפה הגדולה ביותר אותה חווינו אי פעם בתחום תוכנות הכופר נרשמה בסופ"ש האחרון.
ב-12 במאי זיהו מעבדות FortiGuard של פורטינט גרסה חדשה של תוכנת כופר אשר התפשטה במהירות במשך היום והחלו להתחקות אחריה. מדובר בגרסה זדונית במיוחד אשר משכפלת את עצמה וכבר הספיקה לפגוע בארגונים כמו משרד הפנים הרוסי, אוניברסיטאות בסין, חברות תקשורת הונגריות וספרדיות ובתי חולים ומרפאות המנוהלים על ידי שירותי הבריאות הבריטיים הלאומיים. תוכנת הכופר בולטת בדרישות הכופר הרב-לשוניות שלה, אשר מגיעות במעל לתריסר שפות.
תוכנת הכופר מכונה במספר שמות, ביניהם WCry, WannaCry, WanaCrypt0r, WannaCrypt או Wana Decrypt0r. התוכנה מופצת, לכאורה, באמצעות פרצה של ה-NSA בשם ETERNALBLUE אשר דלפה לרשת בחודש שעבר על ידי קבוצת ההאקרים הידועה כ-Shadow Brokers. ETERNALBLUE מנצלת נקודת חולשה בפרוטוקול ה-Microsoft Server Message Block 1.0 (SMBv1).
מוצרי מיקרוסופט שנפגעו כוללים את ה-Windows Vista, Windows Server 2008, Windows 7,Windows Server 2008 R2, Windows 8.1, Windows Server 2012 and Windows Server 2012 R2, Windows RT 8.1, Windows 10, Windows Server 2016 ו-Windows Server Core installation option.
מיקרוסופט שחררה תיקון תוכנה קריטי עבור נקודת חולשה זו בחודש מרץ ב-Microsoft Security Bulletin MS17-010. באותו החודש, פורטינט הוציאה חתימת IPS על מנת לזהות ולחסום נקודת חולשה זו. כמו כן, פורטינט הוציאה היום חתימות AV חדשות אשר גם הן נועדו לאתר ולעצור את ההתקפה הנוכחית. בדיקות צד ג' מאשרות כי האנטי-וירוס של פורטינט ו-FortiSandbox חוסמים ביעילות את הנוזקה.
 | |||
פורטינט ממליצה לנקוט באמצעים הבאים:
• עדכנו את התיקון של מיקרוסופט בכל חלקי הרשת שנפגעו.
• וודאו כי בדיקות ה-AV וה-IPS של פורטינט ומנועי סינון האתרים מופעלים כדי למנוע את הורדת הנוזקהוכדי לוודא כי סינון האתרים חוסם את התקשורת חזרה לשרתי השליטה והבקרה.
• נטרלו את ההפעלה של קבצים בעלי סיומת WNCRY.
• בודדו את התקשורת ליציאות UDP 137 / 138 וליציאות TCP 139 / 445.
כמו כן, אנחנו ממליצים כי משתמשים וארגונים ינקטו בצעדים הבאים למניעת האיום:
• צרו שגרה קבועה של תיקון מערכות הפעלה, תוכנה וקושחה על כל המכשירים. עבור ארגונים גדולים בעלי מספר רב של מכשירים, יש לשקול לאמץ מערכת ניהול טלאים מרכזית.
• פרסו טכנולוגיות IPS, AV וסינון אתרים ושמרו עליהן מעודכנות.
• בצעו גיבוי נתונים בקביעות. וודאו את שלמות הגיבויים הללו, הצפינו אותם ובדקו את תהליך השחזור כדי להבטיח כי הוא עובד בצורה תקינה.
• סרקו את כל המייל הנכנס והיוצא כדי לאתר איומים ולסנן קבצי הרצה מלהגיע למשתמשי קצה.
• תזמנו את תוכנות האנטי-וירוס ותוכנות נגד נוזקות על מנת שיבצעו סריקות באופן אוטומטי.
• השביתו מאקרו סקריפטים בקבצים המועברים דרך המייל. שקלו להשתמש בכלי כמו Office Viewer על מנת לפתוח קבצי אופיס מצורפים, ולא באופיס המתאים ליישומים.
• בססו המשכיות עסקית ואסטרטגיית תגובה לתקריות ובצעו הערכות נקודות תורפה קבועות.
במידה וארגוניכם נפגע על ידי תוכנת כופר, לפניכם מספר פעולות שיש לנקוט בהן:
• בודדו מידית את המכשירים שהודבקו על ידי הסרתם מהרשת במהירות האפשרית במטרה למנוע מתוכנת הכופר להתפשט לכל הרשת או למכשירים משותפים.
• במידה והרשת שלכם הודבקה בתוכנת כופר, נתקו מידית את כל המכשירים המחוברים.
• כבו את המכשירים שהודבקו אשר לא הושחתו לחלוטין. הדבר יכול לספק זמן לנקות ולשחזר נתונים, להגביל את הנזק ולמנוע את החמרת המצב.
• נתונים מגובים צריכים להישמר במצב לא מקוון. ברגע שהדבקה מתגלה, הפכו את מערכות הגיבוי ל-לא מקוונות וסרקו את הגיבויים על מנת לוודא כי הם נקיים מנוזקות.
• צרו קשר עם רשויות אכיפת החוק, דווחו על האירוע ובקשו סיוע.
