Zollo Ransomware

איומי תוכנות זדוניות ממשיכים להתפתח בתחכום, מה שהופך את הגנת המכשירים לעדיפות קריטית עבור יחידים וארגונים כאחד. התקפות כופרה, בפרט, עלולות לגרום לשיבושים תפעוליים חמורים, הפסד כספי וחשיפת נתונים רגישים. איום אחד שנצפה לאחרונה הוא Zollo Ransomware, תוכנה זדונית שנועדה להצפין קבצים ולסחוט קורבנות תמורת תשלום. הבנת אופן פעולתו של איום זה וכיצד הוא מתפשט חיונית לבניית הגנות חזקות יותר מפני התקפות דומות.

הופעתה של תוכנת הכופר Zollo

תוכנת הכופר Zollo זוהתה כגרסה של משפחת תוכנות הכופר MedusaLocker. כמו חברים אחרים במשפחה זו, היא תוכננה לחדור למערכות, להצפין קבצים יקרי ערך וללחוץ על קורבנות לשלם כופר בתמורה לפענוח.

לאחר הפעלתה על מכשיר פרוץ, הנוזקה סורקת את המערכת אחר קבצים נגישים ומצפינה אותם באמצעות אלגוריתמים קריפטוגרפיים חזקים. לאחר ההצפנה, נוזקת הכופר משנה את שמות הקבצים על ידי הוספת סיומת ייחודית כגון '.zollo6'. לדוגמה:

• 1.png הופך ל-1.png.zollo6
• 2.pdf הופך ל-2.pdf.zollo6

המספר בתוסף עשוי להשתנות, אך התוצאה נשארת זהה: קבצים מוצפנים הופכים לבלתי נגישים למשתמש. בנוסף לנעילת קבצים, תוכנת הכופר משנה את טפט שולחן העבודה של המערכת ומציבה הודעת כופר במכשיר בשם 'READ_NOTE.html'.

שיטות הצפנה והודעת הכופר

הודעת הכופר שהשאירו התוקפים טוענת כי הקבצים אובטחו באמצעות שילוב של הצפנת RSA ו-AES, שהן שיטות קריפטוגרפיות נפוצות בפעולות כופר מודרניות. על פי ההודעת, כל ניסיון לשחזר, לשנות שם או לשנות קבצים מוצפנים עלול להוביל לנזק קבוע לנתונים.

התוקפים מתעקשים שאף תוכנה זמינה לציבור אינה יכולה לשחזר את הקבצים וטוענים שרק כלי הפענוח הקנייני שלהם יכול לשחזר את הגישה. הקורבנות מתבקשים ליצור קשר עם המפעילים באמצעות כתובות הדוא"ל שסופקו:

• recovery1@salamati.vip
• recovery1@amniyat.xyz

ההודעה מציגה גם אלמנט של לחץ זמן: הקורבנות מוזהרים כי סכום הכופר יגדל אם לא ייווצר קשר תוך 72 שעות.

גניבת נתונים וטקטיקות סחיטה כפולות

מאפיין מדאיג במיוחד של גרסה זו של תוכנת כופר הוא הטענה כי נתונים סודיים נגנבו לפני ההצפנה. התוקפים מציינים כי מידע זה מאוחסן בשרת פרטי הנמצא בשליטתם.

על פי הודעת הכופר, התשלום יביא למחיקת הנתונים הגנובים משרתיהם. אם הכופר לא ישולם, המפעילים מאיימים לפרסם או למכור את המידע. אסטרטגיה זו, המכונה סחיטה כפולה, מגבירה את הלחץ על הקורבנות על ידי שילוב הצפנת נתונים עם הסיכון לחשיפת נתונים לציבור.

אפילו כאשר קורבנות נענים לדרישות הכופר, אין ערובה שהתוקפים יספקו כלי פענוח תקין או ימחקו את המידע הגנוב. מסיבה זו, אנשי מקצוע בתחום אבטחת הסייבר בדרך כלל מעודדים תשלום כופר.

כיצד מתפשטת תוכנת הכופר Zollo

קמפיינים של כופרה מסתמכים לעתים קרובות על הטעיה והנדסה חברתית כדי לחדור למערכות. תוקפים לעתים קרובות מסווים קבצים זדוניים כקבצים לגיטימיים כדי להערים על משתמשים ולגרום להם להריץ אותם.

וקטורי זיהום נפוצים כוללים:

• קבצים מצורפים או קישורים זדוניים המוטמעים בהודעות דוא"ל של פישינג
• התראות תמיכה טכנית מזויפות שנועדו לפתות קורבנות להוריד תוכנות זדוניות
• תוכנה פרוצה, מחוללי מפתחות לא רשמיים ויישומים פיראטיים
• תוכנה מיושנת עם פגיעויות שלא תוקנו
• אתרים פרוצים, פרסומות זדוניות ורשתות שיתוף קבצים עמית לעמית
• הורדות של צד שלישי או כונני USB נגועים

לאחר ההשקה, תוכנת הכופר מתחילה להצפין קבצים באופן מיידי ועשויה לנסות להתפשט על פני מערכות מחוברות באותה רשת.

אתגרי התאוששות ותגובה לאירועים

לאחר שההצפנה מתרחשת, קורבנות בדרך כלל אינם יכולים לפתוח קבצים שנפגעו ללא מפתח הפענוח של התוקפים. שחזור אפשרי רק בנסיבות מסוימות, בעיקר כאשר קיימים גיבויים מאובטחים שלא היו מחוברים למערכת הנגועה במהלך ההתקפה.

הסרה מיידית של תוכנת הכופר חיונית לאחר גילויה. אם התוכנה הזדונית נשארת פעילה במכשיר, היא עלולה להמשיך להצפין קבצים נוספים או לנסות להתפשט למכונות אחרות ברשת. בידוד מהיר של המערכת הנגועה יכול אפוא להגביל את הנזק ולמנוע התפשטות נוספת.

נוהלי אבטחה חיוניים למניעת כופרה

הרגלי אבטחה חזקים מפחיתים משמעותית את הסבירות להידבקות על ידי איומים כמו Zollo Ransomware. הגנה יעילה דורשת שילוב של בקרות טכניות פרואקטיביות והתנהגות משתמש זהירה.

עדכון קבוע של מערכות הפעלה, יישומים וכלי אבטחה הוא קריטי, שכן קמפיינים רבים של תוכנות כופר מנצלים פגיעויות בתוכנות מיושנות. חשוב לא פחות הוא השימוש בפתרונות אנטי-וירוס או הגנה על נקודות קצה אמינים המסוגלים לזהות התנהגות חשודה.

גיבויים לא מקוונים או מבוססי ענן הם אחד מאמצעי ההגנה היעילים ביותר. יש לאחסן גיבויים בנפרד מהמערכת הראשית כדי שלא ניתן יהיה להצפין אותם במהלך התקפה. במקרה של זיהום, גיבויים נקיים יכולים לאפשר שחזור מערכות מבלי לשלם כופר.

על המשתמשים לגשת בזהירות גם לקבצים מצורפים והורדות בדוא"ל. יש לאמת קבצים חשודים, במיוחד כאלה שטוענים לדחיפות או דורשים פעולה מיידית, לפני הפתיחה. ארגונים מחזקים לעתים קרובות הגנה זו באמצעות סינון דוא"ל, אחסון קבצים מצורפים והדרכת מודעות לאבטחה.

פילוח רשת יכול להפחית עוד יותר את הסיכון על ידי הגבלת מרחק התפשטות תוכנות כופר לאחר שהן נכנסות לסביבה. בשילוב עם בקרות גישה ומערכות ניטור, פילוח מסייע בבלימת הדבקות לפני שהן משפיעות על תשתית קריטית.

מחשבות אחרונות

איומי כופרה כמו Zollo Ransomware מדגישים את החשיבות של אמצעי אבטחת סייבר פרואקטיביים. על ידי הצפנת קבצים, איום בחשיפת נתונים ולחץ על קורבנות בדרישות כופר רגישות לזמן, תוקפים שואפים לכפות תשלומים מהירים.

אסטרטגיית הגנה מרובדת, המשלבת עדכוני מערכת, גיבויים אמינים, תוכנות אבטחה ושיטות משתמש זהירות, נותרה הדרך היעילה ביותר לצמצם איומים אלה. זיהוי מוקדם ותגובה מהירה יכולים להפחית באופן דרמטי את ההשפעה של אירועי כופר ולהגן על נתונים יקרי ערך מפני אובדן בלתי הפיך.