תוכנת כופר של הקרמלין
תוכנות כופר הן אחת מצורות הנוזקה ההרסניות ביותר: הן משתלטות בשקט על קבצים, מונעות גישה לגיטימית ומאלצות קורבנות למשא ומתן אבוד. שמירה על הגנה על מכשירים ורשתות חיונית לא רק לשמירה על נתונים אישיים ועסקיים, אלא גם למניעת שיבושים, הפסדים כספיים ופגיעה נרחבת יותר ברשת.
תוכן העניינים
איום הקרמלין במבט חטוף
KREMLIN היא משפחת תוכנות כופר שהתגלתה במהלך בדיקה של דוגמית של תוכנה זדונית מסוכנת. התנהגותה פשוטה וחסרת רחמים: היא מצפינה את קבצי הקורבנות ומוסיפה את הסיומת '.KREMLIN' (לדוגמה, '1.png' → '1.png.KREMLIN,' '2.pdf' → '2.pdf.KREMLIN') ומשחררת הודעת כופר מסוג README.txt המורה לקורבנות ליצור קשר עם התוקפים באמצעות טלגרם בכתובת @KremlinRestore. ההודעת היא נקודת הכניסה של התוקפים למשא ומתן על תשלום ולמתן פרטי מטבעות קריפטוגרפיים. שחזור קבצים ללא כלי הפענוח של התוקפים הוא לעתים רחוקות אפשרי, ולכן מניעה טובה וגיבויים עמידים הם קריטיים.
כיצד פועל הקרמלין?
לאחר ביצוע מוצלח, ה-KREMLIN מונה ומצפין קבצי נתוני משתמשים, ומשנה את שמם לסיומת '.KREMLIN'. זה משאיר קובץ טקסט עם הוראות כופר ופרטי קשר שמנתבים את הקורבנות לתוקפים בטלגרם. לאחר מכן, הגורמים בדרך כלל נותנים הוראות תשלום (ארנק מטבעות קריפטוגרפיים, סכום). אם תוכנת הכופר נשארת במערכת, היא עשויה להמשיך להצפין קבצים נוספים או לנסות להתפשט למחשבים אחרים באותה רשת.
וקטורי משלוח והפצה נפוצים
גורמי איום משתמשים במגוון רחב של טכניקות הנדסה חברתית והפצה כדי להעביר תוכנות כופר כמו הקרמלין. וקטורים אופייניים כוללים יישומים פיראטיים, כלי פיצוח ומחוללי מפתחות, קבצים מצורפים וקישורים זדוניים או מזויפים לדוא"ל (מסמכי Office זדוניים, קבצי PDF, ארכיונים), הונאות תמיכה טכנית, ניצול פגיעויות תוכנה שלא תוקנו, התקני USB נגועים, אתרי הורדה פרוצים או לא רשמיים, רשתות P2P, פרסומות זדוניות ומורידים של צד שלישי. תוקפים לעיתים קרובות ארוזים או מסווים קבצי הפעלה בתוך מסמכים או ארכיונים כך שמשתמשים ירוצו להריץ אותם.
מדוע לא מומלץ לשלם ולמה קורבנות צריכים לצפות
תשלום כופר אינו מבטיח שחזור נתונים: תוקפים עלולים לא לספק כלי פענוח תקין, לדרוש תשלומים נוספים, או פשוט להיעלם. תשלום גם מלבה פעילות פלילית ומגדיל את הסבירות לפגיעה עתידית. לארגונים עם גיבויים אמינים ונבדקים יש את הסיכוי הטוב ביותר לשחזור מלא מבלי לשלם. בין אם קבצים ישוחזרו בסופו של דבר, חיוני להסיר את תוכנת הכופר מהמערכות הנגועות - אחרת היא עלולה להצפין מחדש קבצים משוחזרים או להתפשט עוד יותר.
צעדים מיידיים לאחר גילוי זיהום
סדרי עדיפויות ראשונים הם בלימה ושימור של ראיות פורנזיות. ניתוק מיידי של מכונות נגועים מרשתות (ניתוק כבלי רשת, השבתת Wi-Fi) ובידודן כדי למנוע תנועה צידית. אין לכבות מערכות בפתאומיות אם מתוכננת לכידת ראיות פורנזיות; במקום זאת, שמור תמונות במידת האפשר ותעד חותמות זמן ופעולות שבוצעו. אם ביצעת גיבויים אחרונים מאומתים, התחל שחזור מבוקר רק לאחר וידוא שהתוכנה הזדונית הוסרה מהסביבה.
שיטות אבטחה מומלצות להפחתת סיכונים ולהגבלת ההשפעה
שמור גיבויים לא מקוונים שנבדקו: שמור גיבויים קבועים של נתונים קריטיים כאשר לפחות עותק אחד מאוחסן לא מקוון או על מדיום קבוע. בדוק באופן קבוע את נהלי השחזור כדי שהגיבויים יהיו אמינים במהלך תקרית.
תיקון והקשחת מערכות : החל עדכוני אבטחה בזמן למערכות הפעלה, יישומים וקושחה. צמצם את שטח התקיפה על ידי השבתת שירותים שאינם בשימוש והסרת תוכנות מיותרות.
השתמש בהגנה על נקודות קצה וב-EDR : פרוס פתרונות אנטי-וירוס מודרניים וזיהוי ותגובה לנקודות קצה שיכולים לזהות ולחסום התנהגות זדונית, עם רישום והתראות מרכזיות.
אכיפת הרשאות מינימליות ופילוח רשת : הגבלת הרשאות משתמש ושירות למה שנחוץ בלבד. פילוח רשתות כך שנקודת קצה שנפגעה לא תוכל להגיע בקלות לשרתים או גיבויים קריטיים.
אימות חזק ו-MFA : דרוש אימות רב-גורמי עבור גישה מרחוק, דוא"ל וחשבונות ניהול. החלף סיסמאות ברירת מחדל או חלשות באישורים חזקים וייחודיים.
שערי דוא"ל ואינטרנט מאובטחים : השתמש בסינון דוא"ל מתקדם ובסריקת כתובות URL כדי להפחית קבצים מצורפים זדוניים וקישורי פישינג. הטמע סינון DNS ואינטרנט כדי לחסום גישה לאתרים זדוניים ידועים או לתשתית פקודה ובקרה.
הדרכת משתמשים וסימולציות פישינג : הכשרת עובדים באופן קבוע לזיהוי פישינג, הנדסה חברתית והורדות חשודות; שימוש בקמפיינים מדומים של פישינג כדי למדוד ולשפר את המודעות.
שליטה בהתקנת תוכנה ובמדיה נשלפת : הגבל את היכולת להתקין יישומים או לבצע קוד לא חתום. חסום או ניטור השימוש בכונני USB ובמדיה נשלפת אחרת.
שיקולי שחזור וניקוי
מיגור תוכנות הכופר הוא תנאי הכרחי להתאוששות בטוחה. יש לעבוד עם אנשי IT ואבטחה כדי לזהות מנגנוני התמדה (רשומות הפעלה, משימות מתוזמנות, שירותים, ארטיפקטים של תנועה צידית) ולהסיר אותם. יש ליצור תמונה מחדש של מערכות שנפגעו קשות במידת הצורך. לפני שחזור נתונים, יש לוודא שהסביבה נקייה; אחרת, נתונים ששוחזרו עשויים להיות מוצפנים מחדש. יש לשמור ראיות עבור אכיפת החוק, ובמידת הצורך, יש להתייעץ עם ספקי ביטוח סייבר ויועצים משפטיים לגבי דרישות גילוי.
הערות אחרונות - חוסן על פני כופר
שיטת הפעולה של הקרמלין, הצפנת קבצים ודרישת תשלום באמצעות קוד קריפטוגרפי לאחר הוראה לקורבנות ליצור קשר דרך טלגרם, אופיינית לתוכנות כופר מודרניות: מהירה, משבשת ומונעת כלכלית. ההגנה היעילה ביותר היא גישה שכבתית לאבטחה (בקרות טכניות, תיקון קבצים, זיהוי), גיבויים לא מקוונים חזקים ותגובה מיומנת לאירועים. אם נדבק, יש לתת עדיפות לבלימה, הסרה ושחזור מגיבויים מהימנים; להימנע מהסתמכות על הבטחות התוקפים, ולעסוק בכוחות מקצועיים של מגיבים לאירועים ובאכיפת החוק.
הודעות
נמצאו ההודעות הבאות הקשורות ל-תוכנת כופר של הקרמלין:
Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore |
