מעבדות סייברארק: מה שונה בתוכנת הכופר של WannaCry?
מעבדות סייברארק בדקו יותר מ-600,000 דוגמאות של תוכנות כופר, כולל WaanaCryptor
מה שהחל כדיווח על מתקפה על מערכת שירותי הבריאות של בריטניה תפח וגדל למה שאנו מגדירים כעת כמתקפת תוכנת הכופר הגדולה אי פעם, שפגעה בקורבנות ביותר מ-150 מדינות
תוכנת כופר מתפתחת כל הזמן ואנו עדים לגרסאות חדשות שאינן מוגבלות להצפנה בלבד של כל תוכנו של הדיסק הקשיח במחשב. במקום זאת, הן מתמקדות בחשבונות שמספקים גישה חזקה יותר, כמו חשבונות אדמיניסטרטיביים של מנהלי IT. גישה זו מאפשרת לתוקף לנוע ברשת הארגונית באופן חופשי יותר בחיפוש אחר מערכות נוספות שניתן להצפין. לכן, אין זה משנה למי היה שייך המחשב הראשון שנפגע. הפוטנציאל לנזק חמור עדיין משמעותי.
מעבדות סייברארק חקרו וניתחו את WannaCryptor והשוו אותה למתקפות כופר אחרות שבוצעו לאחרונה. עד היום בדקו מעבדות סייברארק יותר מ-600,000 דוגמאות של תוכנות כופר, כולל WannaCryptor על מנת להבין טוב יותר את מאפייני ההדבקה, ההצפנה וההסרה השכיחים.
בניגוד לסוגים קודמים של תוכנות כופר,WannaCryptor מתאפיינת בתולעת המפיצה את תוכנת הכופר במהירות האפשרית דרך כמה שיותר מחשבים.
כל ארגון וכל משתמש המחזיק במערכת מייקרוסופט שלא עודכנה יישאר פגיע לתולעת של WannaCryptor.
העדכון של מייקרוסופט ימנע הדבקה דרך תולעת ה-SMB אבל אינו יכול למנוע הדבקה והצפנת קבצים אם תוכנת הכופר הגיעה למחשב באמצעים ישירים, למשל באמצעות פישינג.
איך עוצרים את זה?
למרות שהתולעת המובנית בה מייחדת את יכולתה של WannaCryptor להתפשט לעומת גרסאות קודמות של תוכנת הכופר, טכניקות ההצפנה והסחיטה שלה אינן ייחודיות בשום אופן. בדומה לרוב תוכנות הכופר, פתרונות האנטי-וירוס המסורתיים פספסו גם את WannaCryptor.
כדי לעצור את WannaCryptor – ותוכנות כופר אחרות – צריך להשתמש בשילוב של הרשאות מוגבלות עם מדיניות בקרת יישומים בנקודות הקצה והשרתים ברחבי הארגון.
זוהי גישה פרואקטיבית שאינה תלויה ביכולת לאתר תוכנות זדוניות מתקדמות. במקום זאת, היא מתייחסת לכל היישומים הלא מוכרים כאל חשודים ומגנה על המידע בהתאם. בדרך זו אפשר למנוע מנקודת קצה אחת שהודבקה לגרום למגיפה כלל ארגונית.
לאחר בדיקה במעבדות סייברארק, מסתבר שהשילוב של הרשאות מוגבלות עם אמצעי בקרה greylisting על היישומים (application greylisting controls) הוכח כאפקטיבי ב-100% במניעת הצפנת קבצים על-ידי WannaCryptor ועשרות משפחות אחרות של תוכנות כופר.
המתקפה האחרונה צריכה לשמש כתזכורת לכולנו, שגיבוי לבדו אינו מספיק עוד בכדי להתגונן מפני אובדן נתונים, במיוחד כאשר ארגונים חושפים את ההרשאות הפריבילגיות שלהם לתוקפים. משמעות הדבר שארגונים צריכים לבחור בין אובדן מוחלט של הנתונים לבין תשלום הכופר. נטרול יכולתם של התוקפים להגיע להרשאות אדמין בכדי להפיץ תוכנת כופר מעבר למחשב הראשון שנפרץ הוא צעד חיוני להגנה מפני מתקפות כופר עתידיות ולהגבלת הנזק שיגרמו.