08/07/2021

 

בשנת 2017 התקבלו במרכז התלונות לפשעי האינטרנט של ה-FBI כ-1783 תלונות על כופר, שעלו לקורבנות מעל 2.3 מיליון דולר; בשנת 2019 מספר תקיפות הכופר זינק לכ-184 מיליון. השימוש בתקיפות כופרה (Ransomware) החל לפני כמעט עשור, אבל בשנים האחרונות אנו עדים לזינוק אדיר בשימוש בו. ולמרות שמשתמשים ביתיים הם עדיין הקורבנות השכיחים ביותר, במציאות החדשה גם חברות חייבות להיות מוכנות.

וירוס הכופרה הוא סוג של תוכנה זדונית, שמקבלת גישה לקבצים או מערכות וחוסמת את הגישה של המשתמשים אליהם. כל הקבצים והמידע מוחזקים באמצעות הצפנה עד שהקורבן משלם כופר תמורת מפתח פענוח, שמאפשר לו לגשת לקבצים או למערכות שהוצפנו על ידי הוירוס. עד סוף שנת 2018, דפוס הפעולה של תוכנת הכופרה היה להצפין את עמדת המשתמש ולהכווין אותו לשלם את הסכום המבוקש באמצעות העברות כספים דרך מטבעות קריפטוגרפיים (Crypto-Currency). משנת 2019, דפוס זה החריף – תוכנת הכופרה מצפינה את עמדת המשתמש, מכווינה אותו לשלם אך יחד עם זאת, מקציבה לו פרק זמן מוגדר לתשלום. אם הנתקף בוחר שלא לשלם, התוקפים מאיימים לפרסם את קבציו והמידע האישי והפרטי שברשותו לעולם. שיטה זו נושאת את השם Double Extortion.

התוקפים לא עצרו שם, ובשלהי שנת 2020 הכניסו תמריץ נוסף למשוואה – עסקים שהותקפו, סירבו לשלם את הכופר וויתרו על הקניין הדיגיטלי שלהם, על-אף איומים מצד התוקפים לשחרר אותו לעולם, החלו לקבל מתקפות DDOS, הודעות ושיחות טלפון מאיימות מצד התוקפים שמטרתן לדחוק בעסקים הנתקפים "לחזור אל שולחן המשא ומתן". טכניקה זו קיבלה את השם Triple Extortion ומהווה את הטכניקה החדישה ביותר בתחום הנ"ל בעולם.

כך, לדוגמה, בחודשים ספטמבר-אוקטובר 2020, חברה פינית בעלת מספר רב של קליניקות בתחום הפסיכותרפיה בשם Vastaamo, נחשפה למתקפת Triple Extortion מצד תוקף שדרש מהחברה 403,000 יורו ומכל אחד מלקוחות החברה סכום של כ-200 יורו, שיעלה ל-500 יורו תוך 24 שעות אם הלקוח יסרב לשלם. במשך כל אותו הזמן, החברה ולקוחותיה קיבלו מיילים, סמסים, שיחות טלפון ומכתבים מהתוקפים שהטרידו אותם ואיימו עליהם, ובכך, העלו גם את רף הלחץ הנפשי.

מה אפשר לעשות?

לצורך הגנה מיטבית נגד איומי וירוס הכופרה, כדאי לנקוט במספר מהלכים שיבטיחו שיפור ושימור של אסטרטגיית אבטחת המידע של הארגון ככלל. יש להתייחס לנקודות כמו הפעלת לוגים ותיעוד כל הפעולות, הפעלת הזדהות חזקה (MFA), החלת מודל גישה ממודרת, הנחייה ולימוד כלל המשתמשים בארגון על סיכונים קיימים וצורת עבודה מאובטחת, התקנת עדכוני אבטחת מידע בכל השרתים והמוצרים בארגון באופן שוטף, הקשחה פיסית ולוגית של שרתים, עמדות קצה, מכשירי BYOD, ציוד תקשורת ותשתיות ענן, ביצוע גיבויים באופן קבוע, הטמעת מוצר EDR ארגוני, ביצוע מבדקי חדירה כדי לבחון חוסן תשתיתי ולבסוף, יש לדאוג להתעדכן כמה שרק אפשר בטכנולוגיות ובאיומים החדשים על-מנת להיות תמיד צעד אחד לפניהם.

אנו ב- KPMG סומך חייקין מסייעים לארגונים להתמודד בפני איומי סייבר בכלל ואיומי הכופרה בפרט על ידי גיבוש אסטרטגיית הגנה מותאמת אישית לצרכי הארגון, נכסיו ותקציב ההגנה שלרשותו.

היו חכמים והיו זהירים.

נכתב ע"י אביב ויסמן, יועץ אבטחת מידע במחלקת הסייבר. KMPG סומך חייקין. יוני 2021
לפרטים נוספים צרו קשר עם מנהל צוות יועצי הסייבר בפירמה, רפי ביטון: rbitton@kpmg.com