תוכנת הכופר LockBeast
תוכנות כופר נותרות אחת מאיומי הסייבר המשבשים ביותר עבור ארגונים ומשתמשים ביתיים כאחד. פריצה מוצלחת אחת עלולה לנעול נתונים קריטיים לעסקים, לעצור פעולות ולהפעיל מאמצי תגובה והתאוששות יקרים מאירועים. בניית הגנות רב-שכבתיות ומוכנות לתגובה לפני התפרצות היא ההבדל בין בלימת אירוע למשבר.
סיכום איום
לאחר הפעלת תוכנת הכופר LockBeast, היא מצפינה נתוני משתמש, משנה שמות קבצים כדי להטמיע מזהה קורבן, ומשחררת הודעת כופר בשם 'README.TXT'. המפעילים משלבים הצפנה עם גניבת נתונים כדי ללחוץ על הקורבנות לשלם, ומאיימים לדלוף מידע רגיש אם לא ייווצר קשר בתוך חלון זמן מוגדר.
תהליך עבודה של הצפנה ושינוי שם קבצים
במהלך ההצפנה, LockBeast מוסיף גם מזהה ספציפי לקורבן וגם את הסיומת '.lockbeast' לקבצים ממוקדים. לדוגמה, '1.png' הופך ל-'1.png.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast', ו-'2.pdf' הופך ל-'2.pdf.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast'. דפוס זה מאפשר לתוקפים לעקוב אחר קורבנות בודדים ולאשר תשלום לפני שהם מספקים יכולת פענוח כלשהי. שגרת ההצפנה שואפת לכסות מגוון רחב של סוגי נתונים, כולל מסמכים, מסדי נתונים, ארכיונים, מדיה ומאגרי קוד מקור.
שטר כופר וטקטיקות סחיטה כפולה
הערה 'README.TXT' טוענת שכל הקבצים החשובים אינם זמינים וטוענת לחילוץ של רשומות רגישות, כגון היסטוריית עסקאות, מידע אישי של לקוחות, פרטי כרטיסי תשלום ויתרות חשבונות, לתשתית התוקף. ההערה מספקת פרטי קשר באמצעות מסרים המתמקדים בפרטיות (Session ו-Tox), מזהירה מפני שינוי שם קבצים או שימוש בפענוחים של צד שלישי, וקובעת מועד אחרון של שבעה ימים לפני פרסום נתונים לכאורה. זה משלב סחיטה קלאסית של הצפנת קבצים עם איומי דליפה פומביים כדי להגביר את הלחץ. תשלום נותר מסוכן: אין ערובה לפענוח תקין, שחזור נתונים מלא או מחיקה של מידע גנוב גם אם נשלח כופר.
וקטורי גישה ראשוניים והפצה
שיטות המסירה הנצפות והסבירות תואמות לפעולות כופר נפוצות. גורמי איום זורעים הדבקות באמצעות קבצים מצורפים או קישורים זדוניים בדוא"ל, תוכנות וקישורים מטרויאניים או פיראטיים, הונאות "תמיכה" של הנדסה חברתית וניצול פגיעויות שלא תוקנו. מסלולים נוספים כוללים הפניות אוטומטיות או פרסום זדוני, הורדות של צד שלישי, אתרים שנפגעו או דומים, מדיה נשלפת נגוע ושיתוף קבצים בין עמיתים. הביצוע מתחיל לעתים קרובות כאשר משתמש פותח קובץ הרצה, ארכיון, מסמך Office או PDF או סקריפט ממולכד.
הנחיות בלימה והדברה
אם יש חשד ש-LockBeast הדביק את המערכת, יש לפעול באופן מיידי. יש לבודד את המכונות המושפעות מהרשת (חוטית ואלחוטית) כדי למנוע הצפנה נוספת והתפשטות רוחבית. יש להשבית כוננים משותפים ולבטל אסימוני גישה או סשנים חשודים. יש לשמור על רכיבים נדיפים ויומני רישום לצורך זיהוי פלילי, ולאחר מכן להסיר את התוכנה הזדונית באמצעות פתרון אבטחה אמין ומעודכן במלואו או סביבת תגובה לאירועים הידועה כטובה. יש לשחזר רק מגיבויים נקיים ולא מקוונים לאחר אישור שהאיום הוסר; אחרת, הדבקה חוזרת עלולה להצפין מחדש נתונים ששוחזרו.
התאוששות והשפעה עסקית
פענוח ללא כלי התוקפים בדרך כלל אינו אפשרי אלא אם כן קיימים גיבויים. תן עדיפות לשחזור השירותים הקריטיים ביותר מתמונות מצב בלתי ניתנות לשינוי או תמונות מצב לא מקוונות. התייחס לכל טענת חילוץ כאמינה עד שיוכח אחרת: הערך אילו נתונים נחשפו, הכין הודעות אם נדרש על פי חוק או חוזה, ונטר ניצול לרעה (למשל, הונאה נגד לקוחות).
נקודות החלטה לגבי תשלום
בעוד שלכל אירוע יש שיקולים תפעוליים ומשפטיים ייחודיים, תשלום כופר מממן פעילות פלילית ואינו מציע ערובה לשחזור נתונים מלא או לאי-גילוי. יש לשקול תחילה חלופות: שחזור מגיבויים, שחזור נתונים חלקי ואמצעי הגנה על הלקוחות.
שורה תחתונה
LockBeast משלבת הצפנה אגרסיבית עם איומי דליפת נתונים כדי לכפות על קורבנות. בידוד מהיר, מיגור ממושמע וגיבויים אמינים במצב לא מקוון הם קריטיים להתאוששות. בטווח הארוך, ארגונים שמשקיעים בתיקונים, רמת הרשאות נמוכה ביותר, בקרות חזקות בדוא"ל ובאינטרנט ומוכנות מציאותית לאירועים מפחיתים באופן דרמטי הן את הסבירות והן את ההשפעה של אירועי כופר.
הודעות
נמצאו ההודעות הבאות הקשורות ל-תוכנת הכופר LockBeast:
YOUR FILES ARE ENCRYPTED AND CONDIDENTIAL DATA HAS BEEN STOLEN |
