מקרה חם מהשטח:
נוזקת כופר חדשה שמתפרצת בעולם ובישראל – Filecoder
מאת אמיר כרמי וכפיר טויטו
בפועל מדובר בהתפרצות של תוכנות כופר (ransomware) שמופצות על ידי ארגוני פשע. שם הנוזקה הוא Filecoder והיא פועלת באמצעות טכנולוגיה שנקראת Cryptolocker אשר מקודדת קבצים חשובים במחשב, באופן שלא ניתן לפתוח אותם.
לאחר מכן נשלחת הודעה למשתמש או משתמשים עם דרישה לתשלום (סכום שנע בין כמה מאות לכמה אלפי דולרים) בתמורה לסיסמא שתאפשר שחזור של הקבצים.
חשוב להבין שמדובר בהתפרצות שפוגעת בארגונים רבים גם בישראל ובעיקר פוגעת בעסקים שמוגדרים Small / Medium (בטווח שנע בין 5 ל 150).
בגרסה המתקדמת של ה FileCoder מוצג גם תאריך ושעה שבהם מפתח ההצפנה יפוג –ואז לעולם לא ניתן יהיה לשחזר את אותו מידע.
כיצד ההדבקה מתבצעת?
שיטת ההדבקה הנפוצה ביותר שראינו בישראל היא דרך פרוטוקול ה RDP, שאינו מאובטח כיאות ברוב הארגונים שבדקנו.
האקר שמתחברת לתחנות או לשרת ב RDP פשוט מפעיל את הקבצים בצורה ידנית בחיבור מרחוק.
כמו כן קיימת סכנת הידבקות דרך אתרים נגועים, אימיילם או נוזקות אחרות המנצלות פירצות Backdoor.
לקריאה נוספת בבלוג של ESET >>
איך מונעים את ההדבקה?
חשוב להבין שהרבה יותר קשה לטפל בתופעה אחרי שכבר נדבקתם. לכן פעולות המניעה סופר חשובות:
- וודאו ששירות ה RDP סגור בכל התחנות דרך ה Group Policy משרת ה Domain Controller (להתחברות מרחוק מומלץ להשתמש בתוכניות ייעודיות כמו Team Viewer)
- במקרים שבהם אין ברירה, מומלץ לשנות את פורט ברירת המחדל של ה RPD (פורט 3389) לפורט אחר, ולקבוע סיסמא מורכבת עבור המשתמש עם הרשאות לחיבור, כדי למנוע פריצה של הסיסמא בהתקפה של Brute Force
- חשוב להשתמש בחומת אש ייעודית ולא להסתפק בחומת האש המובנית של מערכת ההפעלה.
- גיבויים שבועיים או דו-שבועיים של מידע חשוב בשרתים ובתחנות, ובדיקה תקופתית של שחזור הגיבוים כדי לוודא שהם תקינים.
- אנטי וירוס עדכני בכל התחנות והשרתים, כולל אנטי ספאם על שרת ה Exchange.
- אין לאשר הרשאות Administrator למשתמשים – משום שהתקפות מסוג זה מאתרות פירצות כאלה שמאפשרות להם לרוץ על הפרופיל המקומי ובאמצעותו להדביק את שאר הרשת.
רק אל תגידו לי זה לא יקרה! –
אם לא השתכנעתם שמדובר באיום חם, אתם מוזמנים אלינו למרכז התמיכה לכמה שעות, לשמוע מנהלי רשת שחשבו שלהם זה לא יקרה