להבין את וירוס הכופר

וירוס הכופר הוא איום אבטחת המידע הגדול ביותר כיום, הסוחט מיליארדי דולרים מאנשים פרטיים ועסקים בכל הגדלים. בראיון זה אלון צוקר, מומחה אבטחת מידע ומנכ"ל חברת SOPHTIX ייתן כלים להבין טוב יותר את האיום וכיצד ניתן להתמודד מולו. ראיון ראשון בסדרה.


alonzukerאלון צוקר הוא מומחה אבטחת מידע ומנכ"ל חברת סופטיקס (SOPHTIX) המתמקדת בהגנת סייבר - אחת החברות המובילות והחדשניות בארץ בתחום אבטחת מידע. לקחנו את אלון לראיון במסגרתו ניסינו להבין כיצד ניתן להתמודד עם איום הסייבר הגדול ביותר על עולם העסקים כיום - וירוס הכופר, שמסמן את הכיוון המאיים שעולם הסייבר מתקדם אליו - וירוסים משוכללים ואכזריים מאי פעם בנפח תקיפות הולך ומתגבר.

אז קודם כל - מה הוא וירוס הכופר?
וירוס הכופר הוא למעשה נוזקה שמצפינה את הקבצים של הארגון, ברגע שהיא מצפינה אותם - לארגון או לבעל המחשב אין יכולת להיכנס לקבצים שלו. החל מאימיילים, קבצי office, מאגרי נתונים ובכלל מערכות CRM, ERP או מערכות כספיות אחרות. במילים אחרות וירוס הכופר יכול להצפין את כל העסק. ברגע שללקוח אין אפשרות גישה לקבצים שלו - העסק מושבת. יש מקרים שבהם הוירוס הוא מכה בכנף, למשל אם רק תיקייה אחת הוצפנה, ניתן לשחזר אותה תוך חצי יום ולא קרה שום דבר. אך ישנם מקרים בהם כל המידע של העסק מוצפן ואז גם אם יש לו גיבוי, עדיין צריך לשחזר הכל. ולצורך הדוגמא, במידה ויש לעסק 50 מחשבים, צריך לפרמט כל מחשב ולהתקין עליו הכל מחדש. עסקים מגיעים למצב שהם לא יכולים לעבוד שבועות והתוצאה עשויה להיות קטלנית, אפילו אם היה להם גיבוי.

תקיפות וירוס כופר מתמקדות יותר בעסקים?
ישנן תקיפות סייבר נגד משתמשים מכל הסוגים והגדלים. החל מאדם פרטי ששומר בעיקר תמונות של הילדים שלו וכלה בארגוני ענק עם מערכות מידע בשווי מאות מיליוני דולרים. ניתן לומר בהכללה שפושעי הסייבר משתמשים בוירוס הכופר בעיקר נגד עסקים קטנים ובינוניים, היות שהם בדרך כלל החוליה החלשה, כאשר סביר להניח שיהיו פגיעים יותר מבחינת אבטחת מידע מעסקים גדולים, שמשקיעים תקציבי ענק בהגנה על מערכות המידע שלהם.

באופן כללי ניתן לומר שכפי שכל עסק, בכל גודל, חשוף לפריצה פיזית או למעילות, כך גם בנושא הסייבר. תחום הפשיעה פשוט עבר לשם. אם פעם חששנו מפני פריצות בהן יגנבו כסף, ציוד או מידע - היום זה קורה ברמת הסייבר. ההבדל הוא שכיום האיום חמור בהרבה, משני טעמים. ראשית - היום יש דרכי הסוואה להשיג באמצעותן אנונימיות, וקיים קושי לכל הגופים לגלות מי אתה ומאיפה אתה מגיע, כך שאם בעבר פושעים היו נמנעים מפשעים מסוימים מפחד להיתפס, היום האנונימיות ברשת נותנת לפושעים מיסוך ואפשרות להישאר "בצללים", שנית - היום פושע סייבר לא צריך להיות האקר מיומן בכדי להיות תוקף, יש האקרים מקצועיים שיוצרים תוכנות זדוניות ומוכרים אותן כמוצרים בDarknet-. כך, אנשים ללא רקע טכני נרחב יכולים להשתתף בפשיעה, ומאסה גדולה של תוקפים נכנסת באופן קבוע לתחום.

מהיכן מגיעות רוב התקפות הסייבר?
עיקר הפעולות מתבצעות ברוסיה, אך גם באפריקה וסין. סוגיה מעניינת למחשבה בהקשר הזה היא מדוע גורמי הממשל המקומיים לא מבצעים יותר פעולות על מנת לאתר ולחסום פעילות זדונית בשטחם.

למה כל כך קשה לאתר את המקור ממנו מגיעות הפריצות ולתפוס את הפושעים? 
היות שפעמים רבות הפריצה מתרחשת באמצעות פריצה בשרשרת למחשבים "מארחים" במדינות שונות. ההתקפה יכולה להגיע במקור מאפריקה, וממנה לפרוץ לסין, מסין לפרוץ לאיראן ומשם לפרוץ למחשב הקורבן ולהשתיל בו את וירוס הכופר. לחקור אחורה את כל השרשרת ולגלות מי עומד בסופה זו משימה כמעט בלתי אפשרית. 
מעבר לזה יש גם כלים שמאפשרים אנונימיות שעוזרים להם, כמו ה-Darknet. ה-Darknet הוא כינוי כללי לרשתות ש"מולבשות" על רשתות קיימות והגישה אליהן היא עם תוכנה מסויימת, וטור (Tor) היא אחת מרשתות הDarknet הפופלריות, שבין יכולותיה נמנית יכולת המיסוך שלה, שלא מאפשרת גילוי כתובת ה-IP של הגולש. שימוש בטור הוא לגיטימי, אך הפושעים מנצלים אותו לפעילויות לא לגיטימיות.

איך נדבקים בוירוס כופר?
השיטה הנפוצה ביותר היא באמצעות הדואר אלקטרוני. מדובר בהודעת דואר אלקטרוני, המנסה להיות לגיטימית למראה, ומצורפת אליה, לדוגמא, חשבונית מזוייפת או לינק. האימייל ממוען ישירות לאדם מסוים ויגיע פעמים רבות במסווה של אימייל מחברות גדולות, כמו אמזון או DHL. במקרים מתוחכמים יותר, שארחיב עליהם בהמשך, הם גם עשויים להגיע ממוענים שה"קורבן" מכיר ישירות - עמיתים לחברה וכדומה. 
הנמען, בתמימותו, פותח את הלינק או הקובץ המצורף ונדבק בוירוס. וירוסים יכולים לחדור למחשב גם דרך גלישה לאתר אינטרנט שנראה נורמטיבי לחלוטין, אך הוא למעשה נושא וירוס שברגע שגולש נכנס אליו - הוירוס חודר אליו למחשב. שיטות נוספות שוירוס יכול לחדור הן דרך דיסק און קי שמישהו הכניס לאחד המחשבים, או דרך סמארטפון שנדבק בוירוס, והוירוס יכול לעבור ממנו אל המחשב. יכול להיות דרך מישהו שהתחבר מרחוק כדי לעזור, יכול להיות ספק של ה-CRM או ה-ERP או תוכנות אחרות. כל ממשק חיבור, רשתי או מקומי הינו וקטור תקיפה.

התקיפות המתוחכמות יותר משתמשות בטכניקה של "הנדסה חברתית", שזו סוג של הונאה. ברמה הזו ניתן למצוא תוכנות שסורקות רשתות חברתיות, לדוגמא לינקדין של חברה מסויימת. התוכנות האלו יכולות להתביית על אחד העובדים בארגון ולשלוח לשאר העובדים בארגון אימיילים כביכול בשמו, עם תוכן וכותרות שתואמות את תפקידו בארגון. במקרים האלו - הסיכוי שאף אחד לא יפתח אימייל לגיטימי למראה שמגיע מאחד מעמיתיו נמוך מאד.

לסיכום, העולם הטכנולוגי שאנו חיים בו היום מלא פרצות, ואף על פי שאנחנו חייבים להשתדל לסתום את כל החורים כמיטב יכולתנו, תמיד יימצאו חורים ופרצות חדשים. אז הפרדיגמה באמצעותה ניגשים להגן על ארגונים מוכרחה להשתנות. צריך להתחיל לחשוב כמו התוקפים, ולעצור את המתקפות בשלב מוקדם יותר של התפתחותן. צריך לשנות גישה.

חזור