בזמן שישנתם… השתוללה ברחבי העולם אחת ממתקפות הסייבר החמורות ביותר אי פעם. מחשבים נגועים בעשרות מדינות ננעלו ובעליהם – ארגונים, חברות ואנשים פרטיים – נדרשים לשלם מאות דולרים, כדי לקבל עליהם את השליטה חזרה. אז מה בדיוק קרה, מי עומד מאחורי זה והכי חשוב – כיצד ניתן להתגונן?
מה קרה בשעות האחרונות?
החל משעות הערב אתמול (שעון ישראל) החלו להופיע ברחבי העולם דיווחים על אלפי מחשבים שנדבקו בתוכנת הכופר. המשתמשים שנפלו קורבן למתקפה נתקלו בהודעה שדורשת מהם תשלום כופר שנע בין 0.15 ביטקוין ל-0.3 ביטקוין, כלומר בין 250 דולר ל-500 דולר.
אחת מהנפגעות הראשונות היתה מערכת הבריאות הבריטית (NHS) עם מחשבים רבים ב-16 בתי חולים ובמרפאות בקהילה, שננעלו והציגו בפני הצוות הרפואי את דרישת הכופר. אולם בניגוד לרושם הראשוני לא היה מדובר במתקפה ממוקדת ותוך זמן קצר החלו להופיע דיווחים בכל רחבי העולם על מחשבים שהותקפו. המרכז הספרדי לאיומי סייבר הודיע כי מדובר ב”מתקפת כופר נרחבת” ורשתות שלמות של ארגונים מותקפות. בין היתר נפגעו חברת הטלקום הספרדית Telefónica, חברת השליחויות האמריקאית FedEx,יותר מ-1,000 מחשבים במשרד הפנים הרוסי, אתר התקשורת הרוסי Megafon ודויטשה-באן.
על פי הנתונים של חברת האבטחה קספרסקי, נדבקו, נכון לשעות הלילה (שעון ישראל), יותר מ-45 אלף מחשבים ברחבי העולם, כשהמדינה שסבלה מהכי הרבה מתקפות היא רוסיה, כשלאחריה אוקראינה, הודו, טיוואן וטאג’יקיסטן. עם זאת, דיווחים על מחשבים נגועים התקבלו ביותר מ-70 מדינות, כולל ישראל.
מה זו המתקפה הזו? מי עומד מאחוריה?
רובנו כבר יודעים שתוכנת כופר היא מעין גלגול מתקדם של הוירוסים שהכרנו בשנות ה-90 וה-2000. אבל מה קורה טכנית ברגע ההדבקה? ובכן, התוכנה יוצרת מפתח הצפנה א-סימטרי. כלומר, מפתח אחד נמצא מקומית על המחשב, ואחד נשמר על שרת התקיפה, כשאת ההצפנה ניתן לפתוח רק בשילוב של שניהם. בשלב הבא, מתחיל תהליך ההצפנה עצמו, שאורך בין כמה דקות לכמה שעות. לבסוף, עם סיום ההצפנה, מחליפה תוכנת הכופר את הרקע של שולחן העבודה עם הוראות לתשלום הכופר – בביטקוין כמובן – ואז מתחילה ההרפתקה שלכם.
מניתוח פשוט של הקבצים שהוצפנו התגלה מייד כי מדובר בתוכנת כופר בשם WannaCry, שמוכרת גם כ-Wanna ו-Wcry). תוכנת הכופר עושה שימוש ב-‘EternalBlue’, פרצת אבטחה במחשבים שמריצים Windows. במסגרת התקיפה נעשה שימוש ב-SMBv2, כלי לשליטה מרחוק, כדי להשתלט ולהצפין את המחשב הנגוע. לאחר שמסתיים תהליך ההצפנה מציגה התוכנה את הודעת הכופר – ביותר מ-20 שפות – לא כולל עברית אגב. ההודעה מזהירה את הקורבן, שאם הוא לא ישלם את הכופר עד ה-155 במאי, הסכום יעלה ואף מציגה ‘קאונטר’ שרץ לאחור.
מה שמעניין הוא שעל ההתקפה הזו אחראי בעקיפין ה-NSA. במשך שנים עשה ארגון הביון האמריקאי שימוש בפרצת ה-Eternalblue, כדי להשתלט מרחוק על מחשבים שמריצים Windows ולהשיג מידע יקר על מטרותיו. אולם ב-14 באפריל השנה חשפה קבוצת האקרים אנונימית בשם Shadow Brokers את קיומה של הפרצה, מה שאפשר לתוקפים לנצל אותה.
חשוב להדגיש: מיקרוסופט הוציאה עדכון אבטחה דחוף, שנועד ‘לסתום את הפרצה’ כחודש לפני ההדלפה. אולם משתמשים שבמערכת שלהם לא מוגדר עדכון אוטומטי של מערכת ההפעלה (Windows Update) – נשארו חשופים.
מה אני צריך לעשות עכשיו?
לגשת מייד ללינק הזה, לבחור את המערכת שלכם ולהתקין את עדכון האבטחה בצורה ידנית. בשלב הבא מומלץ לעדכן הן את הגדרות ה-Windows Update והן את תוכנת האבטחה שלכם, כדי שיבצעו להבא עדכון אוטומטי. אם עוד לא התקנתם אנטי-וירוס, זה הזמן. לרשותכם מספר חינמיים כמו Avast, AVG, ESET וגם של מיקרוסופט, שיכלו להגן במקרה הזה על המחשבים של המשתמשים.
נדבקתי. מה לעשות?
לרוב, ממליצים גורמי אכיפת חוק לא לשלם לתוקף, כדי לא לעודד את התופעה ואת העבריינים להמשיך בתקיפות. מצד שני, אם אתם ממש חייבים את הגישה לקבצים ואין לכם גיבוי שלהם, אין לכם יותר מדי ברירה. שימו לב שגם סינכרון פשוט בענן לא תמיד עוזר, מכיוון ששירות הענן מסנכרן ודורס את הקבצים הרגילים עם הקבצים המוצפנים. יוצאי דופן הם גיבויים על מדיה פיזית ושירות גיבוי בענן שכולל גרסאות.
במקרה שתרצו לשלם, בוודאי שמתם לב שהופיעו לכם הוראות תשלום מדוייקות, שכוללות את ארנק הביטקוין של התוקף. עם זאת, קחו בחשבון שכבר קרו מקרים שבהם התוקפים קיבלו את הכסף ולא מסרו את מפתח ההצפנה של הקבצים.
בכל מקרה של ספק מומלץ גם לבדוק באתר המצוין NoMoreRansom, שמתופעל על ידי חברות אבטחת מידע ומשטרות מסביב לעולם (כולל משטרת ישראל). לא מעט קורבנות להתקפה הצליחו לקבל את השליטה לקבצים שלהם לאחר שהעלו דגימה של קובץ נגוע לאתר.
כתב: יניב אבטיל ופורסם לראשונה באתר GeekTime