BARADAI Ransomware

פעולות כופר מודרניות ממשיכות להתפתח ומתוחכמות, מה שהופך את נוהלי אבטחת הסייבר הפרואקטיבית לחשובים מתמיד. ארגונים ומשתמשים פרטיים כאחד מתמודדים עם סיכונים מתמידים מצד גורמים זדוניים המבקשים להצפין נתונים רגישים, לשבש פעילות ולסחוט קורבנות כלכלית. דוגמה מסוכנת במיוחד היא BARADAI Ransomware, זן של תוכנות זדוניות המקושר למשפחת תוכנות הכופר הידועות לשמצה MedusaLocker. איום זה משלב הצפנה מתקדמת עם טקטיקות גניבת נתונים, ויוצר השלכות תפעוליות, פיננסיות ותדמיתיות חמורות עבור הארגונים שנפגעו.

בתוך מבצע הכופר של BARADAI

BARADAI נועד לחדור למערכות, להצפין קבצים יקרי ערך וללחוץ על קורבנות לשלם כופר. לאחר הפעלת תוכנת הכופר על מכונה פרוצה, היא מתחילה להצפין קבצים ולהוסיף את הסיומת '.BARADAI' לשמות הקבצים שנפגעו. לדוגמה, קובץ בשם 'document.pdf' הופך ל-'document.pdf.BARADAI', מה שהופך אותו לבלתי נגיש למשתמשים ללא מפתח הפענוח המתאים.

לאחר השלמת תהליך ההצפנה, הנוזקה מייצרת הודעת כופר בפורמט HTML בשם 'read_to_decrypt_files.html'. ההודעה מודיעה לקורבנות כי לכאורה "נפרצה והוצפנתה" הרשת הארגונית שלהם באמצעות אלגוריתמים קריפטוגרפיים של RSA-4096 ו-AES-256. סטנדרטים אלה של הצפנה נחשבים מאובטחים ביותר וכמעט בלתי אפשריים לפריצה באמצעות שיטות Brute-force.

הודעת הכופר מזהירה גם את הקורבנות מפני שימוש בתוכנות שחזור של צד שלישי או שינוי קבצים מוצפנים, בטענה שפעולות כאלה עלולות לפגוע בנתונים לצמיתות. בעוד שאזהרות אלו נועדו בעיקר להפחיד את הקורבנות, ניסיונות שחזור לא נכונים אכן עלולים לסבך את מאמצי השחזור בחלק מאירועי הכופר.

טקטיקות סחיטה כפולות מגבירות את הלחץ

BARADAI פועלת לפי אסטרטגיית "סחיטה כפולה" הנפוצה יותר ויותר, בה משתמשים קבוצות כופר מודרניות רבות. מעבר להצפנת קבצים, תוקפים טוענים שהם גונבים מידע רגיש מרשתות שנפרצו לפני פריסת מטען הכופר. על פי דרישת הכופר, נתונים גנובים עשויים לכלול מסמכים עסקיים סודיים, רשומות פיננסיות ומידע אישי.

קורבנות מאוימים בחשיפת מידע זה לציבור באמצעות כלי תקשורת או מתווכי נתונים אם דרישות התשלום יתעלמו. טקטיקה זו מגבירה משמעותית את הלחץ על ארגונים, במיוחד אלו המטפלים במידע רגיש של לקוחות, נתונים מוסדרים או קניין רוחני קנייני.

כדי לחזק את אמינותם, התוקפים מציעים לפענח מספר קבצים שאינם חיוניים ללא תשלום. הדגמה זו נועדה להוכיח כי פענוח אפשרי מבחינה טכנית אם הכופר ישולם. ערוצי התקשורת המופיעים בפתק כוללים כתובות דוא"ל, פורטלים מבוססי Tor ומזהה הודעות qTox. בנוסף, הקורבנות מוזמנים להשתמש ב-ProtonMail לתקשורת "מאובטחת", בעוד שמועד אחרון של 72 שעות מנסה ליצור דחיפות על ידי אזהרה כי דרישות הכופר יגדלו לאחר התקופה שצוינה.

מדוע בראדאי מסוכן במיוחד

BARADAI מהווה איום משמעותי משום שהוא שייך למשפחת תוכנות הכופר MedusaLocker, קבוצה הידועה כמיקוד לעסקים ולסביבות ארגוניות ולא למשתמשים ביתיים מזדמנים. פעולות אלו מתוכננות ומבוצעות לעתים קרובות בקפידה לאחר שתוקפים משיגים גישה עמוקה לרשת ארגונית.

תוכנות הכופר מתפשטות בדרך כלל דרך שירותי פרוטוקול שולחן עבודה מרוחק (RDP) שנפרצו. תוקפים מחפשים נקודות קצה של RDP הפונות לאינטרנט המוגנות על ידי אישורים חלשים או כאלה שנעשה בהם שימוש חוזר, ולאחר מכן משתמשים במתקפות Brute-Force כדי לקבל גישה לא מורשית. לאחר הכניסה, הם נעים לרוחב הרשת, פוגעים במערכות נוספות, משביתים הגנות ופורסים תוכנות כופר על פני מספר מכונות בו זמנית.

קמפיינים של פישינג נותרו גם הם וקטור הדבקה מרכזי. עובדים עלולים לפתוח מבלי דעת קבצים מצורפים זדוניים במסווה של חשבוניות, דוחות או תקשורת עסקית. קבצים אלה מכילים לעתים קרובות פקודות מאקרו זדוניות, סקריפטים מוטמעים או קישורים המובילים להורדות תוכנות זדוניות. ארכיונים דחוסים כגון קבצי ZIP או RAR משמשים לעתים קרובות כדי לעקוף הגנות בסיסיות של סינון דוא"ל.

שיטות הדבקה נוספות כוללות תוכנות זדוניות מסוג טרויאנים, תוכנות פיראטיות, כלי הפעלה לא חוקיים, עדכוני תוכנה מזויפים ופלטפורמות הורדה לא מהימנות. ברשתות עם פילוח גרוע, נקודת קצה נגועה אחת עלולה להוביל במהירות לפגיעה נרחבת ברחבי הארגון.

אתגרי הצפנה ושחזור

שחזור קבצים שהוצפנו על ידי BARADAI ללא שיתוף פעולה של התוקף הוא בדרך כלל לא מציאותי. תוכנת הכופר משתמשת במנגנוני קריפטוגרפיה חזקים שלא ניתן לעקוף אותם באופן סביר ללא גישה למפתח הפענוח הפרטי הנשלט על ידי התוקפים. אלא אם כן קיים פגם יישום חמור בתוך התוכנה הזדונית עצמה, אפשרויות פענוח חינמיות אינן סבירות.

אנשי מקצוע בתחום אבטחת הסייבר ממליצים בחום לשלם את הכופר. גורמי איום לעיתים קרובות אינם מצליחים לספק כלי פענוח פונקציונליים גם לאחר קבלת התשלום. במקרים מסוימים, קורבנות הופכים למטרות חוזרות מכיוון שתוקפים מזהים אותם כארגונים המוכנים להיענות לדרישות סחיטה.

למרות שהסרת תוכנות הכופר ממערכות נגועות חיונית כדי למנוע פעילות הצפנה נוספת, הסרת תוכנות זדוניות לבדה אינה משחזרת קבצים שכבר נעולים. אסטרטגיית ההתאוששות האמינה ביותר נותרה שימוש בגיבויים נקיים המאוחסנים במצב לא מקוון או בתשתית מרוחקת מאובטחת כראוי המבודדת מהרשת הראשית.

חיזוק ההגנות מפני BARADAI ואיומים דומים

ארגונים יכולים להפחית משמעותית את חשיפתם לתוכנות כופר על ידי יישום בקרות אבטחה מרובדות ושמירה על נוהלי אבטחת סייבר ממושמעים. הגנה יעילה דורשת הן אמצעי הגנה טכניים והן מודעות עובדים.

אמצעי הגנה מרכזיים כוללים:

• אכיפת מדיניות סיסמאות חזקות ואימות רב-גורמי, במיוחד עבור RDP ושירותי גישה מרחוק אחרים.
• הגבלה או השבתה של גישת RDP חשופה בכל הזדמנות אפשרית.
• שמירה על גיבויים קבועים, לא מקוונים ובענן, המבודדים ממערכות הייצור.
• יישום מהיר של תיקוני אבטחה על מערכות הפעלה, יישומים והתקני רשת.
• שימוש בפתרונות הגנה על נקודות קצה וניטור רשת בעלי מוניטין המסוגלים לזהות התנהגות חשודה.
• פילוח רשתות כדי להגביל תנועה רוחבית במהלך פשרה.
• הכשרת עובדים לזיהוי הודעות דוא"ל פישינג, קבצים מצורפים זדוניים וטקטיקות של הנדסה חברתית.

מעבר לאמצעים אלה, על ארגונים לאמץ אסטרטגיית תגובה פרואקטיבית לאירועים. ניטור מתמשך, איתור איומים, הערכת פגיעויות ובדיקות חדירה יכולים לסייע בזיהוי חולשות לפני שתוקפים ינצלו אותן. יצירה ותרגול של תוכנית תגובה לאירועים מאפשרים גם לצוותי אבטחה להגיב בצורה יעילה יותר במהלך מתקפת כופר, ולמזער שיבושים תפעוליים ואובדן נתונים.

נוף האיומים הגדל

BARADAI מדגים כיצד פעולות כופר התפתחו למפעלי פושעי סייבר מאורגנים ומשבשים ביותר. על ידי שילוב של הצפנה חזקה, גניבת נתונים, לחץ פסיכולוגי ומספר וקטורי הדבקה, תוקפים ממקסמים את הסבירות לרווח כספי תוך גרימת נזק חמור לקורבנות.

ככל שקבוצות תוכנות כופר ממשיכות לשכלל את הטקטיקות שלהן, שמירה על היגיינת אבטחת סייבר איתנה הופכת חיונית עבור ארגונים מכל הגדלים. אמצעי אבטחה מונעים, חינוך עובדים, גיבויים אמינים ויכולות תגובה מהירה לאירועים נותרו ההגנות החזקות ביותר מפני איומים כמו BARADAI והמערכת האקולוגית הרחבה יותר של תוכנות הכופר MedusaLocker.