תוכנת כופר של Moneybird

קבוצת ההאקרים האיראנית Agrius, הידועה גם בשם Pink Sandstorm ולשעבר Americium, פיתחה לאחרונה זן חדש של תוכנות כופר בשם Moneybird. תוכנה זדונית מאיימת זו נצפתה במטרה ספציפית לארגונים ישראלים, מה שמסמל שינוי משמעותי בטקטיקות של Agrius.

פושעי סייבר מרחיבים את ארסנל המאיים שלהם

לאגריוס יש היסטוריה של ביצוע התקפות מחיקת נתונים הרסניות נגד ישויות ישראליות, ולעתים קרובות מסווה אותן כאירועי כופר. הופעתה של Moneybird, המקודדת ב-C++, מציגה את המומחיות ההולכת וגוברת של הקבוצה ומחויבותה המתמשכת ליצירת כלי סייבר חדשים.

ניתן לייחס את פעילות הקבוצה לפחות לדצמבר 2020, אז היה אגריוס מעורב בשיבוש ניסיונות חדירה לכיוון תעשיות יהלומים בדרום אפריקה, ישראל והונג קונג. בעבר, Agrius השתמשה בתוכנת כופר שנקראת Apostle, המבוססת על מסגרת NET, ויורשת שלה בשם Fantasy. עם זאת, Moneybird מייצג התקדמות משמעותית עבור הקבוצה, שכן היא מציגה את יכולות הסייבר המתפתחות שלה באמצעות שפת התכנות C++ שלה.

שחקני האיום מנצלים פגיעויות אבטחה כדי לקבל גישה

מתודולוגיית ההתקפה המופעלת על ידי Moneybird Ransomware מדגימה רמה גבוהה של תחכום, החל מניצול של נקודות תורפה הקיימות בשרתי אינטרנט הפונים לאינטרנט. ניצול ראשוני זה מעניק לתוקפים נקודת כניסה חיונית לרשת הארגון הממוקד, בהקלה על ידי פריסת מעטפת ASPXSpy Web.

ברגע שנכנס לרשת שנפגעה, מעטפת האינטרנט משמשת כערוץ תקשורת לתוקפים לביצוע מגוון כלים ידועים המותאמים במיוחד לביצוע סיור נרחב בסביבת הקורבן. כלים אלו מאפשרים לתוקפים לנוע לרוחב בתוך הרשת, לאסוף אישורים יקרי ערך ולחלץ נתונים רגישים.

תוכנת הכופר של Moneybird מצוידת ביכולות הצפנה מתקדמות

לאחר שלב ההסתננות והסיור הראשוניים, תוכנת הכופר של Moneybird מופעלת על המארח שנפרץ. תוכנת כופר זו תוכננה עם התמקדות ספציפית בהצפנת קבצים רגישים הנמצאים בתיקייה "F:\User Shares". לאחר הביצוע, תוכנת הכופר פורסת פתק כופר, מפעילה לחץ עצום על הקורבנות ליצור קשר בתוך מסגרת זמן של 24 שעות, ומזהירה אותם מפני דליפה פומבית אפשרית של הנתונים הגנובים שלהם.

תוכנת הכופר של Moneybird משתמשת במתודולוגיית הצפנה מתוחכמת ביותר, תוך שימוש ב-AES-256 עם GCM (מצב גלוי/מונה). טכניקת הצפנה מתקדמת זו מייצרת מפתחות הצפנה ייחודיים לכל קובץ ומצרפת מטא נתונים מוצפנים בסוף. המיקוד המדויק וההצפנה החזקה המיושמת על ידי Moneybird הופכים את משימת שחזור הנתונים ופענוח הקבצים למאתגרת ביותר, אם לא כמעט בלתי אפשרית, ברוב המקרים.

אמצעי אבטחה חשובים לעצירת התקפת כופר

ניתן ליישם אמצעי אבטחה יעילים כדי להגן על מכשירים ונתונים מפני התקפות של תוכנות כופר. ראשית, שמירה על תוכנת אבטחה מעודכנת וחסונה היא חיונית. עדכון קבוע של תוכניות נגד תוכנות זדוניות, יחד עם הפעלת עדכונים אוטומטיים, מסייע בהגנה מפני האיומים האחרונים.

יישום סיסמאות חזקות וייחודיות עבור כל החשבונות הוא עוד צעד חיוני. זה כולל שימוש בשילוב של אותיות, מספרים וסמלים, כמו גם הימנעות מססמאות נפוצות וניתנות לניחוש בקלות. בנוסף, הפעלת אימות מרובה גורמים מוסיפה שכבת אבטחה נוספת על ידי דרישת שלבי אימות נוספים כדי לגשת לחשבונות.

גיבוי קבוע של נתונים רלוונטיים הוא חיוני כדי לצמצם את ההשפעה של מתקפת כופר. יצירת גיבויים לא מקוונים או שימוש בפתרונות אחסון בענן מבטיחים שניתן לשחזר קבצים קריטיים במקרה של הצפנה או אובדן.

זהירות בזמן הגלישה באינטרנט ואינטראקציה עם מיילים היא חיונית. על המשתמשים להפעיל ספקנות בעת לחיצה על קישורים חשודים או הורדת קבצים ממקורות לא מהימנים. חיוני להיות ערניים ולהימנע מביקור באתרים שעלולים להזיק או לעסוק בהודעות דוא"ל חשודות, מכיוון שהם עלולים להכיל עומסי כופר.

השכלה והישארות מעודכנת לגבי איומי אבטחת הסייבר וטכניקות ההתקפה העדכניות ביותר היא מועילה ביותר. זיהוי טקטיקות הנדסה חברתית נפוצות המשמשות בהתקפות פישינג ומודעות לסימנים של זיהום פוטנציאלי בתוכנת כופר יכולים לעזור למשתמשים לנקוט באמצעים יזומים כדי למנוע ולהגיב להתקפות כאלה.

עדכון קבוע של מערכות הפעלה, יישומים וקושחה הוא היבט חיוני נוסף לשמירה על אבטחה חזקה. תיקונים ועדכונים כוללים לרוב תיקוני אבטחה המטפלים בפגיעויות שעלולות להיות מנוצלות על ידי תוכנות כופר ותוכנות זדוניות אחרות.

על ידי שילוב של אמצעי אבטחה אלה, משתמשים יכולים לשפר את ההגנה על המכשירים והנתונים שלהם מפני ההשפעה ההרסנית של התקפות כופר.