כופרת HAPP
הגנה על מכשירים אישיים וארגוניים מפני תוכנות זדוניות הפכה לדרישה קריטית בסביבה שבה מתקפות כופר ממשיכות להתפתח בתחכום ובהיקף. משפחות כופר מודרניות מסוגלות להצפין אלפי קבצים תוך דקות, לשבש פעילות, לגרום נזק כספי ולחשוף מידע רגיש. בין האיומים הקשורים למערכת האקולוגית הגדלה הזו של פושעי סייבר נמצאת HAPP Ransomware, זן מסוכן של תוכנות זדוניות להצפנת קבצים המקושר למשפחת תוכנות הכופר הידועה לשמצה GlobeImposter.
תוכן העניינים
כופרת HAPP: גרסה מסוכנת של GlobeImposter
תוכנת הכופר HAPP היא איום זדוני שנועד לחדור למערכות Windows, להצפין נתונים יקרי ערך ולסחוט קורבנות עבור תשלומי קריפטוגרפיים. לאחר הפעלתה על מכונה פרוצה, התוכנה הזדונית מחפשת באגרסיביות כוננים מקומיים, אחסון רשת ממופה, מדיה נשלפת וספריות משותפות אחר פורמטים נפוצים של קבצים. מסמכים, תמונות, מסדי נתונים, סרטונים, ארכיונים ונתונים הקשורים לעסקים הם בין המטרות העיקריות.
לאחר השלמת ההצפנה, תוכנת הכופר מוסיפה את הסיומת '.HAPP' לכל קובץ שנפגע. לדוגמה, קובץ ששמו המקורי 'report.docx' הופך ל-'report.docx.HAPP', מה שהופך אותו ללא נגיש הן למשתמשים והן ליישומי תוכנה. לאחר מכן מוצגים לקורבנות פתקי כופר הממוקמים בספריות ובמיקומי שולחן עבודה נגועים, המורים להם ליצור קשר עם התוקפים ולשלם כופר במטבעות קריפטוגרפיים כדי לכאורה להשיג מפתח פענוח.
האיום שייך למבצע הכופר הוותיק GlobeImposter, שיצר גרסאות רבות במהלך השנים. למרות שההרחבות והודעות הכופר משתנות בין קמפיינים, מתודולוגיית ההתקפה הבסיסית נותרה עקבית מאוד. מפעילי GlobeImposter מסתמכים על אלגוריתמים קריפטוגרפיים חזקים ושרשראות הדבקה מתוזמרות בקפידה שנועדו למקסם את הנזק תוך הגבלת הזדמנויות ההתאוששות עבור הקורבנות.
וקטורי זיהום המשמשים להפצת כופרת HAPP
תוכנת הכופר HAPP אינה מדביקה מערכות באופן אקראי. פושעי סייבר מפיצים את האיום באמצעות מספר וקטורי תקיפה מבוססים המנצלים חולשות טכניות וגם טעויות אנוש.
קבצים מצורפים זדוניים לדוא"ל נותרו אחד ממנגנוני המסירה היעילים ביותר. תוקפים מרבים להפעיל קמפיינים של פישינג במסווה של חשבוניות, אישורי תשלום, הודעות משפטיות או עדכוני משלוח. קבצים מצורפים מכילים לעתים קרובות סקריפטים זדוניים, פקודות מאקרו מוטמעות או קבצי הרצה מוסווים שפורסים בשקט את תוכנת הכופר לאחר הפתיחה. קמפיינים אלה של פישינג הם לעתים קרובות משכנעים מאוד ומעוצבים בקפידה כדי ללחוץ על הנמענים לפעול במהירות מבלי לאמת את הלגיטימיות.
וקטור תקיפה עיקרי נוסף כרוך בשירותי פרוטוקול שולחן עבודה מרוחק (RDP) שנפרצו. גורמי איום סורקים את האינטרנט אחר פורטי RDP חשופים המוגנים על ידי אישורים חלשים או כאלה שנעשה בהם שימוש חוזר. לאחר שמושגת גישה באמצעות התקפות Brute-Force או נתוני התחברות גנובים, תוקפים יכולים לפרוס ידנית את תוכנת הכופר בתוך הסביבה הממוקדת. טכניקה זו נפוצה במיוחד בהתקפות נגד עסקים ורשתות ארגוניות שאינן מאובטחות כראוי.
הורדות דרך Drive-By ואתרים פרוצים גם הם משחקים תפקיד בהפצת תוכנות כופר. ביקור באתר זדוני או פרוץ עלול להפעיל ערכות פרצות שמנצלות לרעה דפדפנים מיושנים, תוספים או פגיעויות תוכנה שלא תוקנו כדי להתקין את מטען הכופר ללא אינטראקציה נראית לעין של המשתמש.
תוכנות פיראטיות, הורדות לא רשמיות ותוכנות חינמיות מצורפות מהוות סיכון משמעותי נוסף. פושעי סייבר מסתירים לעתים קרובות מתקיני כופר בתוך יישומים פרוצים, מפעילי תוכנה מזויפים וארכיונים לחילוץ עצמי המופצים דרך פלטפורמות טורנט ופורטלי הורדה חשודים.
מדוע תשלום הכופר אינו מומלץ בתוקף
תשלום למפעילי תוכנות כופר יוצר סיכונים מרובים מעבר להפסד הכספי המיידי. קורבנות עלולים לעולם לא לקבל כלי פענוח תקף, עשויים להשיג תוכנה תפקודית חלקית, או להפוך למטרות לניסיונות סחיטה נוספים בעתיד. תשלומי כופר גם מממנים ישירות פעולות פליליות ומעודדים את המשך הפיתוח של קמפיינים חדשים של תוכנות כופר.
חוקרי אבטחה פרסמו מדי פעם כלי פענוח חינמיים עבור גרסאות ספציפיות של GlobeImposter. לכן, על הקורבנות לחקור משאבי שחזור לגיטימיים לפני שהם שוקלים כל תשלום. פרויקט No More Ransom נותר אחת הפלטפורמות המהימנות ביותר לבדיקה האם קיים כלי פענוח חינמי עבור זן מסוים של תוכנת כופר.
נוהלי אבטחה המחזקים את ההגנה מפני תוכנות זדוניות
הגנה יעילה מפני תוכנות כופר דורשת אסטרטגיית אבטחה מרובדת במקום הסתמכות על כלי הגנה יחיד. ארגונים ומשתמשים פרטיים כאחד מרוויחים משמעותית מתחזוקת גיבויים לא מקוונים קבועים שלא ניתן לגשת אליהם ישירות מהמערכת הראשית. יש לבדוק עותקי גיבוי מעת לעת כדי להבטיח שחזור מוצלח במקרה של מתקפה.
היגיינת סיסמאות חזקה ואימות רב-גורמי חשובים במיוחד להגנה על שירותי RDP וחשבונות ניהול. יש להגביל שירותי גישה מרחוק חשופים ככל האפשר, ופורטים מיותרים לעולם לא צריכים להישאר נגישים לציבור באינטרנט.
ניהול עקבי של תיקונים ממלא גם תפקיד מכריע במניעת תוכנות כופר. יש לעדכן באופן קבוע מערכות הפעלה, דפדפנים, תוספים ויישומי צד שלישי כדי לסגור פגיעויות הנפוצות על ידי תוקפים. פתרונות אבטחה מתקדמים של נקודות קצה המסוגלים לנטר התנהגותי יכולים לסייע עוד יותר בזיהוי פעילות הצפנה חשודה לפני שיתרחש נזק נרחב.
על המשתמשים לגלות זהירות בעת טיפול בדוא"ל לא רצוי, במיוחד הודעות המכילות קבצים מצורפים, קישורים מוטמעים או בקשות כספיות דחופות. הכשרת מודעות לעובדים בתחום אבטחת הסייבר יכולה להפחית באופן דרמטי את שיעור ההצלחה של קמפיינים של פישינג המשמשים כנקודות הדבקה ראשוניות לפעולות כופר.
פילוח רשתות מציע הגנה נוספת בסביבות עסקיות על ידי הגבלת היכולת של תוכנות כופר להתפשט על פני תשתיות שלמות. הגבלת הרשאות ניהול ואכיפת מדיניות גישה בעלות הרשאות נמוכות מפחיתות עוד יותר את ההשפעה של חשבונות שנפגעו.
האיום הגובר של תוכנות כופר מודרניות
תוכנת הכופר HAPP מדגימה כיצד משפחות כופר בוגרות כמו GlobeImposter ממשיכות להתאים את הטקטיקות שלהן כדי להישאר יעילות כנגד הגנות מודרניות. באמצעות קמפיינים של פישינג, שירותים מרוחקים שנפגעו, הורדות זדוניות ושגרות הצפנה מתוחכמות, איומים אלה עלולים לגרום נזק תפעולי וכלכלי חמור תוך פרק זמן קצר.
הגנה מפני תוכנות כופר דורשת שילוב של אמצעי הגנה טכניים, מודעות עובדים, ניטור פרואקטיבי ואסטרטגיות גיבוי עמידות. בעוד שאף מדיניות אבטחה אינה יכולה לבטל לחלוטין את כל הסיכונים, ארגונים ואנשים פרטיים המקיימים נהלי אבטחת סייבר חזקים מציבים את עצמם בעמדה חזקה הרבה יותר להתנגד להתקפות ולהתאושש במהירות כאשר מתרחשים תקריות.
