Mortar Ransomware
תוכנות זדוניות ממשיכות להיות אחד מאיומי הסייבר המשמעותיים ביותר העומדים בפני ארגונים ויחידים כאחד. מתקפות כופר מודרניות עלולות לשבש את פעילותן העסקית, לגרום להפסדים כספיים חמורים ולפגוע במידע רגיש תוך שעות ספורות. ככל שקבוצות כופר הופכות מתוחכמות יותר ויותר, שמירה על בקרות אבטחה חזקות והגנות פרואקטיביות חיונית להגנה על נתונים יקרי ערך ולהבטחת המשכיות תפעולית.
תוכן העניינים
סקירה חטופה של תוכנות כופר מרגמה
תוכנת הכופר Mortar היא זן של תוכנות זדוניות להצפנת קבצים שזוהה על ידי חוקרי אבטחת סייבר. האיום נועד בעיקר למקד סביבות ארגוניות, בהן תוקפים מבקשים למקסם את ההפרעה התפעולית ולהגביר את הלחץ על הקורבנות לשלם כופר. לאחר פריסתה בתוך רשת פרוצה, Mortar מצפינה קבצים ומשאירה אחריה פתק כופר בשם המזהה הייחודי של הקורבן, בפורמט 'README-[מזהה הקורבן].txt'.
מאפיין ייחודי של תוכנת כופר זו הוא אופן שינוי שם הקבצים שלה. במהלך ההצפנה, Mortar מוסיף מזהה קורבן ייחודי לכל קובץ שנפגע. לדוגמה, קובץ ששמו המקורי '1.png' עשוי להפוך ל-'1.png.4RcrXfvVksS5ACA', בעוד שמסמך כגון '2.pdf' עשוי להפוך ל-'2.pdf.4RcrXfvVksS5ACA'. אותו מזהה משמש לאחר מכן בשם הקובץ של פתקי הכופר, ויוצר קשר ישיר בין הקורבן להתקפה.
תהליך הצפנה ודרישות כופר
לאחר חדירה לרשת, Mortar מצפין מגוון רחב של נתונים, כולל מסמכים, מסדי נתונים, תמונות וקבצי עסקיים יקרי ערך אחרים. בהודעה על הכופר נטען כי התוקפים השתמשו באלגוריתמי הצפנה מסוג AES-256 ו-RSA-2048 כדי לנעול את המידע של הקורבן. בעוד שטענות כאלה נפוצות בקרב מפעילי תוכנות כופר, המטרה הכוללת נותרה זהה: הפיכת נתונים לבלתי נגישים ללא מפתח פענוח מתאים.
הודעת הכופר מודיעה לקורבנות שהדרך היחידה לשחזר את הקבצים שלהם היא על ידי רכישת כלי פענוח מהתוקפים. במקום לציין סכום כופר קבוע, הפושעים מפנים את הקורבנות לפורטל מבוסס Tor ומספקים פרטי כניסה המורכבים משם משתמש וסיסמה. גישה זו מאפשרת לתוקפים לנהל משא ומתן על תשלומים באופן פרטני ואולי להתאים את דרישות הכופר בהתבסס על הערך הנתפס של ארגון הקורבן.
האם ניתן לשחזר קבצים מוצפנים?
שחזור קבצים שהוצפנו על ידי תוכנות כופר הוא לעיתים קרובות קשה ביותר ללא גישה למנגנון הפענוח של התוקפים. במצבים נדירים, חוקרי אבטחת סייבר מגלים טעויות יישום או חולשות קריפטוגרפיות המאפשרות יצירת אמצעי פענוח חינמיים. עם זאת, מקרים כאלה אינם שכיחים, וקורבנות שנפגעו מתוכנות כופר מתוכננות היטב מתמודדים לעתים קרובות עם אפשרויות שחזור מוגבלות.
תשלום הכופר נחשב בדרך כלל להחלטה בסיכון גבוה. פושעי סייבר אינם מחויבים לספק כלי פענוח תקין לאחר קבלת התשלום. קורבנות רבים חוו מצבים בהם הועברו כספים, אך כלי שחזור מעולם לא סופקו, או שהכלים שסופקו לא הצליחו לשחזר נתונים בהצלחה. כתוצאה מכך, התשלום עלול לגרום להפסד כספי נוסף מבלי להבטיח שחזור קבצים.
וקטורי זיהום וטכניקות התקפה
מרגמה יכולה להגיע לקורבנות באמצעות מספר שיטות תקיפה הנפוצות בקמפיינים של תוכנות כופר. פישינג נותר אחד מווקטורי ההדבקה הנפוצים ביותר. תוקפים מפיצים הודעות דוא"ל המכילות קבצים מצורפים זדוניים כגון ארכיונים דחוסים, קבצי הפעלה או מסמכי Microsoft Office המשובצים בפקודות מאקרו מזיקות. לאחר פתיחתן, קבצים אלה יכולים להתחיל בתהליך פריסת תוכנות הכופר.
נתיבי הדבקה נוספים כוללים תוכנות טרויאניות, מנגנוני עדכון מזויפים, קמפיינים פרסומיים זדוניים, פורטלי הורדה לא אמינים ויישומים פיראטיים המופצים בערוצים לא רשמיים. שיטות אלו מנצלות את אמון המשתמשים ובקרות אבטחה לא מספקות כדי לקבל גישה למערכות.
בפריצות תאגידיות ממוקדות, גורמי איום עשויים לאמץ טכניקות מתקדמות יותר. תוקפים מנסים לעתים קרובות לפגוע בשירותי פרוטוקול שולחן עבודה מרוחק (RDP) באמצעות התקפות כוח גס כנגד אישורים חלשים. הם עשויים גם לנצל פגיעויות שלא תוקנו במערכות הפונות לאינטרנט כדי להשיג דריסת רגל ראשונית לפני שהם עוברים לרוחב הרשת ופורסים תוכנות כופר על מספר מכשירים בו זמנית.
תגובה לזיהום מרגמה
לאחר גילוי תוכנת מרגמה, בלימה מיידית היא קריטית. הסרת תוכנת הכופר מהמערכות שנפגעו מסייעת במניעת פעילות הצפנה נוספת ומפחיתה את הסיכון לנזק נוסף בסביבה. עם זאת, אין לבלבל בין הסרת תוכנות זדוניות לבין שחזור נתונים. הסרת התוכנה הזדונית אינה משחזרת קבצים מוצפנים באופן אוטומטי.
שיטת ההתאוששות האמינה ביותר נותרה שחזור של גיבויים נקיים שנוצרו לפני התרחשות התקיפה. יש לאחסן גיבויים בנפרד ממערכות הייצור כדי למנוע מתוכנות כופר להצפין מאגרי גיבויים במהלך תקרית. ארגונים המתחזקים גיבויים מאובטחים ומבודדים נמצאים בדרך כלל בעמדה חזקה בהרבה להתאושש מהתקפות כופר מבלי להתערב עם פושעי סייבר.
בניית הגנות חזקות מפני תוכנות כופר
הגנה יעילה מפני תוכנות כופר דורשת אסטרטגיית אבטחה רב-שכבתית המשלבת טכנולוגיה, מודעות משתמשים ותחזוקה פרואקטיבית. ארגונים צריכים לעדכן באופן קבוע מערכות הפעלה, יישומים והתקני רשת כדי למנוע פגיעויות שתוקפים מנצלים בדרך כלל. מדיניות אימות חזקה, במיוחד עבור שירותי גישה מרחוק, יכולה להפחית משמעותית את הסיכון לכניסה בלתי מורשית.
חשוב לא פחות הוא פיתוח אסטרטגיית גיבוי איתנה. יש להעתיק נתונים קריטיים למספר מיקומים, כולל אחסון לא מקוון או מנותק שלא ניתן להגיע אליו ממערכות פגועות. בדיקות גיבוי תקופתיות מבטיחות שהליכי השחזור יפעלו כראוי במהלך חירום.
נהלי אבטחה מרכזיים כוללים:
- שמירה על גיבויים תכופים המאוחסנים במיקומים נפרדים ומוגנים.
- יישום עדכוני אבטחה ותיקונים ברגע שהם זמינים.
- שימוש בסיסמאות חזקות וייחודיות והפעלת אימות רב-גורמי.
- הגבלת שירותי גישה מרחוק מיותרים וניטור ניסיונות התחברות.
- הכשרת עובדים לזיהוי הודעות דוא"ל פישינג וקבצים מצורפים חשודים.
- פריסת פתרונות הגנה על נקודות קצה וניטור רשת בעלי מוניטין.
ארגונים צריכים גם לאמץ את עקרון המינימום של הרשאות, המעניק למשתמשים רק את הגישה הדרושה לתפקידיהם. ניטור מתמשך, ביקורות אבטחה ותכנון תגובה לאירועים מחזקים עוד יותר את החוסן כנגד קמפיינים של תוכנות כופר כגון Mortar. שילוב של בקרות מונעות, יכולות זיהוי מהירות ומערכות גיבוי אמינות נותר ההגנה היעילה ביותר מפני איומי הצפנת קבצים מודרניים.
מַסְקָנָה
תוכנת כופר מסוג Mortar Ransomware מהווה איום חמור על רשתות ארגוניות בשל יכולתה להצפין נתונים יקרי ערך, לשבש פעילות וללחוץ על קורבנות לשלם עבור פענוח. על ידי הוספת מזהים ייחודיים לקבצים מוצפנים והפניית הקורבנות לפורטל כופר ייעודי, התוקפים מדגימים גישה מובנית וממוקדת. בעוד ששחזור קבצים מוצפנים יכול להיות מאתגר, ארגונים שמעדיפים נהלי אבטחת סייבר חזקים, מתחזקים גיבויים מבודדים ומטפלים באופן יזום בפגיעויות יכולים להפחית באופן משמעותי את ההשפעה של אירועי כופר ולשפר את מצב האבטחה הכולל שלהם.
System Messages
The following system messages may be associated with Mortar Ransomware:
-------------------------------------------- |
