הגעתם למשרד, ביצעתם את טקס הבוקר שלכם והדלקתם את המחשב. דאבל קליק על החוזה עליו אתם עובדים כבר מספר שבועות, זמן לתיקונים אחרונים לפני שליחה ללקוח.
אבל במקום החוזה, קופצת הודעת שגיאה מאיימת הדורשת מכם לשלם כופר בכדי לקבל את הסיסמא אשר תשחרר את הקובץ שלכם.
תרחיש הבלהות הזה, למרבה הצער, אינו פרי דמיוננו אלא תופעת סייבר חדשה ההולכת וצוברת תאוצה, ועונה לשם- Ransomware ובעברית- "כופרה".
מדובר בשם כללי למשפחת קוד מסוג נוזקה (וירוס) החודרת למערכת ומצפינה את הקבצים, שכדי לשחררם יהיה עליכם לשלם להאקר "כופר" הנע בין 400 ל-1,000 יורו, ולעיתים סכומים גדולים הרבה יותר.
ה- Ransomware הולך ומתקרב…
תופעת ה- Ransomware החלה בשלהי 2014 ועברה גלגולים ושדרוגים רבים. מגזין Security הכריז על תופעה זו כאחד מהאיומים הבולטים בעולם הסייבר נכון לשנת 2016, וזאת בשל התחכום הרב של התוכנה והקושי באיתורה.
התופעה לא פסחה על מדינתנו הקטנה, ולפי נתונים של חברת Cyberhat המתמחה באבטחת מידע, מספר לא מבוטל של משרדי עורכי דין ישראלים כבר נדבקו בנוזקה ונאלצו לשלם את דמי הכופר הגבוהים אותם דורשים ההאקרים. שימו לב לנתון מדאיג במיוחד, כ 10% ממתקפת הכופרה מוכוונת על ישראל. בין הנדבקים ניתן למצוא בתי חולים, משרדים ממשלתיים ואפילו מחשבים במשרד ראש הממשלה שנחשבים למאובטחים ביותר.
במידה ואינכם מודאגים עד לשלב זה, הנה עוד סיבה לדאגה- החל משנת 2013 קבוצת האקרים העונה לשם אנונימוס מבצעת מידי שנה ב-7 לאפריל מתקפת סייבר על ישראל. בפועל התקיפות לא הניבו תוצאות מרשימות למעט הפלה זמנית של כמה אתרים ממשלתיים, ומוסדות ישראלים שונים. השנה מבטיחים באנונימוס שהמתקפה תתמקד בחשיפה מאסיבית של מסמכים ופרטים. ההערכה היא שמדובר על קבצים אשר הוצפנו בעזרת Ransomware והועברו לשרת ייעודי.
מספר דרכים להדבקה
דרך ההידבקות בנוזקה אינה ידועה ברוב המקרים, אך ישנן מספר דרכים נפוצות בהן הנוזקה מגיעה למחשבי המשרד:
- "התחזות" masquerading – ככל הנראה הדרך הנפוצה להפצת Ransomware. ברוב המקרים הנוזקה תתחזה לעדכוני תוכנות מוכרות כמו "Adobe", "Acrobat" או "Java Player"., לחיצה על עדכון התוכנה ידביק באופן מיידי את המחשב שלכם בנוזקה זו.
- אתרים זדוניים- ישנם ברחבי הרשת מספר לא מבוטל של אתרים זדוניים אשר כל ייעודם הוא הדבקה בווירוסים. הגעתם במקרה לאתר שאינכם בטוחים מהו? האתר מבקש מכם להתקין תוספים בכדי לצפות בתכנים? סביר מאד להניח שהגעתם לאתר זדוני! צאו ממנו מיד וחשוב מכך- אל תורידו דבר מאתר זה!
- חורי אבטחה ישנים בדפדפן- ישנה "תחרות" בין האקרים לבין מומחי אבטחת המידע של הדפדפנים על מציאת חורי האבטחה בדפדפנים. בחלק ניכר מהמקרים מומחי אבטחת המידע מגלים את החור לפני האקרים וסותמים אותו ע"י שחרור עדכון תוכנה. בכדי להימנע מחורים ישנים שדרכם יכולים להיכנס וירוסים, עליכם לוודא כי הדפדפן בו אתם משתמשים מעודכן לפי העדכון האחרון של החברה. במידה ולא תעשו כך, יוכלו ההאקרים לנצל חורי אבטחה ישנים ולהחדיר דרכם וירוסים.
- מיילים עם קבצים מצורפים– זהו כנראה הטריק הישן ביותר בספר, אך מתברר כיעיל ביותר. איך זה עובד? יגיע אליכם מייל עם מסמך מצורף- המסמך הזה מכיל בתוכו קוד זדוני אשר ברגע שתפתחו את הקובץ הוא ידביק את מחשבכם ב- Ransomware, תופעה זו ידועה בשם Trojan horse.
נכון להיום, אין פתרון ל"שחרור" המסמך, למעט תשלום הכופר להאקר. ולמרבה ההפתעה נפגעים רבים מדווחים שגם לאחר התשלום, ההצפנה לא הוסרה מהמסמך.
מומחי אבטחת מידע מרחבי העולם מנסים להילחם בתופעה זו במלוא המרץ אך ככל שאמצעי ההגנה משתכללים, כך משתכללים גם הווירוסים.
מה אפשר לעשות בכדי להימנע מהידבקות?
הכלי היעיל ביותר להימנע מהידבקות הוא מודעות. על המודעות להיווצר בדרג הניהולי הגבוה ולרדת עד לעובד הזוטר ביותר.
הדרך הטובה ביותר ליצירת מודעות לנוזקות מעין אלו היא ע"י מתן הדרכה תקופתית סדורה בדבר הסיכונים הטמונים בהורדת קבצים ופתיחת מיילים ממקורות לא מזוהים.
מעבר למודעות, עליכם לוודא כי כלל התוכנות המותקנות במחשבי המשרד מעודכנות לגרסתם האחרונה, רשת האינטרנט מאובטחת על ידי תוכנת אנטי-ווירוס עדכנית ומותקן Firewall ברשת המשרדית.
נדבקתי בנוזקת Ransomware מה עושים?
בשל ההתפתחות המהירה של נוזקות מסוג Ransomware ברוב המקרים אין פתרון הגנתי יעיל. הנוזקה משתכללת בקצב מסחרר ומערימה גם על חברות האנטי וירוס המתקדמות ביותר.
נדמה כי הצעד ההגיוני לאחר ההדבקות יהיה לפנות למשטרה. אך למצער גם משם לא תגיע הישועה שכן, העברת התשלום מתבצעת בביטקוין– מטבע וירטואלי שאינו ניתן למעקב.
יש סוגים רבים של Ransomware וכתוצאה מכך מסכי נעילה רבים (לצפייה בחלק מהמסכים לחץ כאן) במידה ונדבקתם הדבר הראשון שעליכם לעשות הוא לכבות את המחשב ולנתק את המחשב מרשת האינטרנט, הנוזקות החדישות יודעות מהן נקודות ההפצה היעילות ביותר ולשם הן חודרות תחילה. לדוגמא- במידה ונכנסתם מהמחשב האישי לשרת של המשרד הנוזקה תזהה חיבור זה ותפיץ את עצמה גם למסמכים בשרת המשרד.
הדרך הטובה ביותר להתמודד עם בעיות נוזקה למיניהן הוא שחזור לאחור– פעולה זו מחזירה את מערכת המחשבים לנקודה שבה הנוזקה טרם הגיעה למערכת. הדרך היעילה ביותר לבצע שחזור זה היא ע"י מערכת גיבוי בענן המגבה את מערכת המחשבים מספר פעמים ביום. דרך גיבוי נוספת היא "גיבוי ידני" לכונן קשיח חיצוני.
לא כדאי לשלם ולגמור עם זה?
במילה אחת לא, ובשתי מילים ממש לא! ישנן שתי סיבות עיקריות ל- "למה לא משתלם לשלם":
ראשית– ישנן עדויות רבות ברשת האינטרנט על נפגעים אשר שילמו את מלוא הסכום להאקר אך לא קיבלו את קבציהם חזרה.
הסיבה השנייה והחשובה לא פחות- בעת התשלום אתם לא מסירים את הנוזקה ממערכת המחשב אלא רק "מקפיאים" אותה.
גם כאן- ישנן עדויות רבות על נפגעים ששלמו, קבציהם "שוחררו", ולאחר מספר ימים הנוזקה תקפה בשנית ודרשה תשלום נוסף.
לסיכום
נדמה כי תופעת הכופרה לא הולכת להעלם בקרוב, אדרבא- היא רק הולכת וצוברת תאוצה ונדמה כי מומחי אבטחת המידע אובדי עצות בנושא זה. בהיעדר פיתרון יעיל, הנטל מוטל עליכם– העלאת המודעות בקרב כלל עובדי המשרד תקטין באופן משמעותי את הסיכוי להידבק בנוזקות אלו, וגיבוי הקבצים ברשת חיצונית "תציל" את קבציכם במידה ונדבקתם.
שמרו על עצמכם…
- מר אור בריגה הינו יועץ ליגל מרקטינג במשרד Robus
