הפיראטים המודרניים – התמודדות עם כופרה

כופרה (באנגלית – Ransomware), היא אחד מאיומי הסייבר המשמעותיים ביותר בעסק והשימוש בה צומח משנה לשנה. בישראל נרשמות מדי חודש כ-450,000 מתקפות כופרה, כשבין השנים 2014 ל-2015 הוכפל מספר מתקפות הכופרה בעולם והמגמה ב-2016 זהה.

מה זה בעצם כופרה?

נוזקת כופר הינה תוכנה פוגענית המופצת ונשלטת על ידי האקרים וקבוצות פשיעה למיניהן. לאחר שהיא חודרת ומותקנת על המחשב, מצפינה הנוזקה את תכולת הדיסק (קבצי נתונים שונים כמו מסמכי WORD, EXCEL,  תמונות ועוד), חלקן אף מצפינות קבצים שגובו בכונן חיצוני או בענן, אם יש חיבור קבוע להתקן. על שולחן העבודה מוצגת  הודעת דרישה לתשלום כספי (לרוב באמצעות תשלום במטבע הווירטואלי ביטקוין Bitcoin) על מנת לקבל מפתח שישחרר את ההצפנה ויאפשר שחזור של הקבצים.

הכופרות מוגדרות כתוכנות FileCoder ובפועל הן מצפינות קבצים בקידודים שונים, תוך שהן מגינות על מפתח ההצפנה באמצעות קידוד נוסף, מה שמונע פריצה של הקידוד באמצעים רגילים. כדי להוסיף על הקושי בפריצת הכופרות, מאוחסנים מפתחות ההצפנה בשרתים מרוחקים.

פוטנציאל הפגיעה בעסק הוא עצום, הן מההיבט התפעולי, הן מההיבט הכלכלי, הן מבחינת אבטחת מידע וחשיפת מידע עסקי רגיש והן מההיבט התדמיתי.

איך הכופרה מגיעה לעסק?

קיימות מספר דרכים להפצת נוזקות כופרה. מרביתן מבוססות על “פישינג” של המשתמש, והנעתו לביצוע פעולה שמפעילה את הכופרה אצלו במחשב, בדומה להדבקה בוירוס. ניתן להיפגע מכופרה באמצעות לחיצה על קישור שהועבר באימייל או בדרך אחרת, או באמצעות שליחת קובץ להורדה, לפעמים תוך התחזות לאחד מאנשי הקשר. במרבית המקרים המשתמשים מודבקים באמצעות מייל שמתחזה להודעה אישית עם קובץ מצורף. עם הלחיצה הקובץ הזדוני מתחיל לפעול מאחורי הקלעים, הוא מוחק את עצמו, מצפין את הקבצים ומחליף את תמונת שולחן העבודה. ניתן להיפגע בעקבות הפנייה לאתרי אינטרנט אשר לפעמים מתחזים לאתרים מוכרים, ולמעשה בכל דרך מוכרת אשר חושפת את המשתמש לאיומי סייבר מסוגים שונים.

מה עושים ואיך מתגוננים?

לפני הכל – היערכות ומניעה!

כשאנחנו חושבים על איומי סייבר, אנחנו לרוב חושבים על וירוסים שיכולים לשבש את פעילות המחשבים בעסק ועל אבטחת המידע אבל עדיין לא מזהים את הכופרה כאיום משמעותי, אבל הוא כאן וחשוב לתת עליו את הדעת.

הפתרון הטוב ביותר נעוץ בנהלים, בהדרכה ובמוכנות. ברמת התשתיות חשוב לעדכן את מערכות אבטחת המידע ולוודא את התאמתן לאיומים הרלוונטיים. מכיוון שהכופרה מתבססת על החולשה האנושית ועל היכולת להניע משתמשים ללחוץ על קישורים או להוריד מסמכים, חשוב לחדד בקרב כל העובדים את נהלי העבודה באינטרנט ודואר אלקטרוני בפרט.

גיבוי חיצוני של דאטה קריטי כחלק מתכנית DNR הכוללת גם תרחישי כופרה, יאפשר במקרים רבים התאוששות מהירה במינימום נזק ומומלץ לקחת בחשבון תרחישי כופרה בעת גיבוש תכנית התאוששות מאסון אצלכם בעסק.

בשורה התחתונה: נהלי עבודה ברורים והעלאה של הסכנות למודעות הם חלק משמעותי מהיכולת למנוע אירועי כופרה.

מה עושים כשזה כבר קורה?

לא מומלץ לשתף פעולה עם העבריינים ולשלם את הכופר הנדרש. הניסיון מלמד כי במקרים רבים גם אחרי תשלום הכופר, התוקפים לא משחררים את הקבצים. כמו כן, עצם הכניעה לתוקפים תעודד אותם להמשיך את פעילותם ולתקוף את העסק ועסקים אחרים בעתיד.

אם זיהיתם שאתם נמצאים בעיצומה של מתקפת כופרה והתחיל תהליך הצפנת קבצים אצלכם במחשב, מומלץ לכבות אותו באופן מיידי באמצעות ניתוק מהחשמל או כיבוי הכפתור המרכזי (לא באופן מסודר דרך כפתור ה”התחל”) ולהזמין איש מקצוע שיסייע לכם לחלץ את הקבצים שעדיין לא הוצפנו.

כדאי לשחזר את הקבצים מגיבוי רק לאחר הרצת תכנת אנטי-וירוס ווידוא שלא קיימת כרגע נוזקה פעילה על המחשב. כאמור, מומלץ לעשות זאת בסיועו של איש מקצוע.

איש מקצוע יוכל במקרים מסוימים גם לזהות את תוכנת הכופרה שפגעה במחשב ולנסות לפצח את ההצפנה על מנת לשחזר את הקבצים.

צוותי התמיכה וניהול מערכות המידע של “אדום” עומדים לרשותך גם בעת מתקפת כופרה

“אדום” מנהלת מערך מתקדם של תמיכה טכנית, ניהול אבטחת מידע ומומחית ובשימוש בטכנולוגיה לצורך ייעול החברה. פעילותה של “אדום” תפורה ומותאמת אישית לכל חברה ונותנת מענה לצרכים העסקיים-ניהוליים-אסטרטגיים בראיה רחבה ועם מבט קדימה להתייעלות כוללת של הארגון כולו.

רוצה לשמוע עוד? לייעוץ חינם, צור איתנו קשר בטלפון: 052-366-1037
או במייל: Info@adom-it.co.il