הפעלת (Makop) כופרה

הגנה על סביבות דיגיטליות מפני תוכנות זדוניות הפכה לאחריות קריטית הן עבור יחידים והן עבור ארגונים. פעולות כופר מודרניות אינן עוד מטרד אופורטוניסטי; הן התקפות מחושבות ורב-שלביות שנועדו להצפין, לסחוט ולחשוף בפומבי מידע רגיש. איום מתוחכם אחד שכזה שעוקבים אחריו כיום חוקרי אבטחה הוא Run Ransomware, זן זדוני המדגים את הטקטיקות המתפתחות של קבוצות פושעי סייבר עכשוויות.

הפעלת תוכנת כופר: גרסה ממשפחת Makop

אנליסטים של אבטחה זיהו את Run Ransomware כחברה במשפחת תוכנות הכופר Makop, קבוצה ידועה של זנים של תוכנות זדוניות להצפנת קבצים הקשורות לטכניקות סחיטה אגרסיביות. האיום נחשף במהלך חקירה רחבה יותר של קמפיינים פעילים ומתפתחים של תוכנות כופר.

לאחר ביצועה, Run Ransomware מתחיל תהליך הצפנה שיטתי המכוון לקבצי משתמשים ברחבי המערכת הנפגעת. לאחר הצפנת הנתונים, היא משנה את שמות הקבצים על ידי הוספת שלושה אלמנטים נפרדים: מזהה קורבן ייחודי, כתובת דוא"ל ליצירת קשר וסיומת '.run'. לדוגמה, קובץ כגון '1.png' הופך ל-'1.png.[2AF20FA3].[runandpay@outlook.com].run'. מבנה שינוי שם זה משמש הן כסמן של פגיעה והן כטקטיקת לחץ פסיכולוגית, מה שהופך את הזיהום לגלוי באופן מיידי.

בנוסף להצפנת קבצים, תוכנת הכופר משנה את טפט המערכת כדי לחזק את הודעת ההתקפה ומשחררת הודעת כופר שכותרתה '+README-WARNING+.txt'. פעולות אלו נועדו להבטיח שהקורבן לא יוכל להתעלם מהפריצה.

טקטיקות סחיטה ולחץ פסיכולוגי

הודעת הכופר מעבירה מסר ברור וכופה. היא טוענת כי מחשב הקורבן ננעל, קבצים הוצפנו ונתונים רגישים נגנבו. שילוב זה של הצפנה וחילוץ נתונים מצביע על אסטרטגיית סחיטה כפולה, טכניקה בה נעשה שימוש גובר על ידי מפעילי תוכנות כופר מודרניות.

הקורבנות מתבקשים ליצור קשר עם התוקפים באמצעות כתובת הדוא"ל שסופקה, 'runandpay@outlook.com', ולציין את תעודת הזהות הייחודית שלהם. ההערה מדגישה את הדחיפות על ידי הצעת כופר מופחת אם התקשורת תתרחש בתוך 24 השעות הראשונות. כמו כן, היא מאיימת כי אי ציות יביא לשחרור פומבי של קבצים גנובים. בנוסף, היא מזהירה כי כלי הפענוח יימחק אם הקורבן יסרב לשלם, מה שמגדיל את הסיכון הנתפס לאובדן נתונים קבוע.

במציאות, תשלום כופר אינו מבטיח שחזור קבצים. קורבנות רבים מקבלים כלי פענוח שאינם פועלים או מתעלמים מהם לאחר התשלום. ללא גישה למפתחות הפענוח הפרטיים של התוקפים, שחזור קבצים מוצפנים הוא בדרך כלל בלתי אפשרי אלא אם כן גיבויים אמינים זמינים.

וקטורי זיהום ושיטות הפצה

תוכנת הכופר Run פועלת לפי ערוצי הפצה נפוצים אך יעילים ביותר המשמשים ברחבי עולם תוכנות הכופר. הדבקה מתרחשת בדרך כלל לאחר אינטראקציה עם תוכן זדוני או מטעה. גורמי איום לעיתים קרובות מסווים מטענים בתוך קבצים שנראים לגיטימיים או שגרתיים.

מסלולי הדבקה נפוצים כוללים:

• הודעות דיוג המכילות קבצים מצורפים או קישורים זדוניים
• הודעות תמיכה טכנית מזויפות והונאות הנדסה חברתית
• תוכנה פיראטית, סדקים ומחוללי מפתחות
• אתרים פרוצים או הונאה
• רשתות שיתוף קבצים עמית לעמית
• פרסומות זדוניות וערכות ניצול לרעה
• כונני USB נגועים
• ניצול פגיעויות תוכנה שלא תוקנו

קבצים זדוניים עשויים להציג את עצמם כתוכניות הרצה, סקריפטים, ארכיונים דחוסים (ZIP או RAR), או פורמטים נפוצים של מסמכים כגון קבצי Word, Excel ו-PDF. תוכנה מיושנת מגבירה משמעותית את החשיפה, שכן גורמי איום מנצלים לעתים קרובות פגיעויות ידועות כדי לקבל גישה ראשונית.

חשיבות ההסרה המיידית

לאחר שהתוכנה נמצאת בתוך מערכת, יש להסיר אותה במהירות האפשרית. אם היא נותרת פעילה, היא עלולה להמשיך להצפין קבצים שנוצרו או מחוברים לאחרונה, כולל אלו הממוקמים בכונני רשת ממופים או באחסון משותף. בסביבות ארגוניות, הדבר עלול להסלים נקודת קצה אחת שנפגעה לתקרית רשת נרחבת.

בידוד בזמן של המכשיר הנגוע מהרשת יכול למנוע תנועה צידית. עם זאת, הסרה לבדה אינה מפענחת קבצים מושפעים; היא רק עוצרת פעילות זדונית נוספת.

חיזוק ההגנה: נוהלי אבטחה חיוניים

הגנה יעילה מפני תוכנת כופר Run ואיומים דומים דורשת אסטרטגיית אבטחה מרובדת. בעוד שאף מערכת אינה חסינה לחלוטין, שיטות העבודה המומלצות הבאות מפחיתות משמעותית את החשיפה לסיכונים:

• שמרו על גיבויים קבועים, לא מקוונים או מבוססי ענן, וודאו את שלמותם.
• עדכנו את מערכות ההפעלה והיישומים עם תיקוני האבטחה העדכניים ביותר.
• השתמשו בפתרונות הגנה על נקודות קצה בעלי מוניטין עם זיהוי איומים בזמן אמת.

מעבר לבקרות טכניות, מודעות המשתמשים נותרה אבן יסוד בחוסן הסייבר. הכשרת אנשים לזהות ניסיונות פישינג והורדות חשודות יכולה להפחית באופן דרמטי את שיעורי ההדבקה המוצלחים.

הערכה סופית

תוכנת הכופר Run מדגימה את התחכום הגובר של פעולות כופר מודרניות. באמצעות הצפנה, גניבת נתונים ומניפולציה פסיכולוגית, היא לוחצת על הקורבנות לקבל החלטות תשלום מהירות. השתייכותה למשפחת תוכנות הכופר Makop מדגישה את האופי המובנה והמתפתח של מפעלים פליליים אלה.

שחזור נתונים ללא גיבויים לרוב אינו אפשרי, ותשלום כופר נותר הימור בעל סיכון גבוה. ההגנה האמינה ביותר טמונה בהגנה פרואקטיבית: אסטרטגיות גיבוי חזקות, עדכוני תוכנה בזמן, הגנה חזקה על נקודות קצה והתנהגות משתמשים מושכלת. בנוף האיומים של ימינו, מוכנות אינה אופציונלית, היא חיונית.