הכן ארגונך לכופר
הנהלת האתר לא תישא באחריות לכל נזק שייגרם מעבודה לפי מדריך זה. המשתמש נושא באחריות הבלעדית לכל שינוי ועבודה שבוצעה. אין לראות בדברים משום המלצה.
לאחרונה מתפרסמות כתבות רבות על חברות המקבלות דרישות כופר. מטרתן של דרישות הכופר היא להפוך את הארגון ל-“בן ערובה” עם דרישה לתשלום דמי כופר במטבע וירטואלי. התקיפות הללו משתמשות בהנדסה חברתית ועוברות דרך שימוש בחור אבטחה או פישינג.
בשורות הבאות נציג כיצד למנוע ולטפל באירועי סייבר מבעוד מועד.
תוכן העניינים
היסטוריה:
בשנת 2013 באה לאוויר העולם Cryptolocker
סוג כופר חדש ומהפכני שניצל את הביטקוין בשילוב שיטות הצפנה מתקדמות. cryptolocker השתמש בזוגות מפתח RSA2048 להצפנת מידע של משתמשים, אשר תמורת כ-300 דולר חזר לבעלותם.
וירא כי טוב, ומפה לשם השיטה שודרגה להונאות מוסדות פיננסיים בהיקף נרחב.
במבצע ענק של ה-FBI וחוקרי אבטחה נוספים Cryptolocker הושבת וקבצי המשתמשים חזרו לבעליהם ללא תשלום, ושימש תמרור אזהרה ברור עבור קהילת המצפינים.
אך תוך מספר חודשים גילו חוקרי אבטחה מספר רב של שיבוטי Cryptolocker בשליטתם של פושעים מכל רחבי העולם.
מאז, כנופיות פשע מאורגנות משקיעות משאבים נכבדים ליצירת טכנולוגיות חדשות של סוגי כופר מתקדמים וחזקים יותר כמו cryptowall ו-WannaCry הידועה לשמצה.
דרכי מניעה- כיצד להתמגן?
- ראשית מתחילים עם הגורם האנושי- הדרכת עובדים וקיום סדנאות. ניתן ליצור חשבון בשירותים כגון Activetrail ודומיהם, ולהוציא קמפיינים עם עדכוני ריענון יומיים של ניסיונות או התקפות פישינג בארגון. מודעות היא דבר חשוב.
- במקביל לארגן הדרכות תקופתיות לעובדים להכרת איומי סייבר מדוא”ל, רשתות חברתיות, אתרים מפוקפקים ועוד.
- עדכוני אבטחה לכלל המערכות- בדיקה של כלל התחנות והשרתים אם הן מעודכנות בעדכוני מערכת הפעלה + אנטיוירוס מעודכן + דפדפנים + אופיס. ניתן באמצעות SCCM או תוכנות צד שלישי דוגמת Itarian.
- לוודא שתוכנת ה-AV רצה בכל התחנות והשרתים- עם שירות דוגמת ESMC
- שימוש ב-EDR- הגנה מקומית על תחנות ושרתים.
- חסימת אתרים בפיירוול לפי קטגוריות או לפי מיקום גאוגראפי, יכולים למנוע הרבה נזק בשעת אמת.
- הפרדת רשתות- כל רשת תשב בסיגמנט נפרד- רשת המחשבים (עמדות), שרתים, טלפוניה, ועוד..
- הגדרת מערכת קבצים של ReFS עבור פתרונות גיבוי חיצוניים
מה קורה באירוע כופר בזמן אמת?
להלן השלבים:
- עובד לוחץ על לינק או מוריד קובץ מדוא”ל, רשת חברתית, או אתר זדוני אחר.
- הלינק מפנה לכניסה דרך פירצה בדפדפן או אופיס או במערכת ההפעלה
- מופעל קוד זדוני או יורד קובץ מסוכן
- תוכנת הכופר מופעלת, קבצי המשתמש מוצפנים, ומתקבלת (בשלל וריאציות) ההודעה הבאה:
פירוט מוצרים נפוצים שנפרצו לאחרונה:
רכיב | טיפול באמצעות |
OWA – Exchange | Microsoft Patch – CVE-2020-0688 |
Palo Alto – VPN |
Mitigate CVE’S: CVE-2020-2037 CVE-2020-2038 CVE-2020-2039 CVE-2020-40 CVE-2020-41 CVE-2020-2042 |
F5-BIGIP |
|
Pulse Secure |
|
Cisco Switch |
Patch CVE2018-0171 Smart Install Remote Code Excution Switch IOS version 15.2(4a)EA5 |
Windows |
ניתן להשתמש בכלי Microsoft mbsa או CIS Benchmark |
Wordpress Plugins | הקשחת HTTAccess– ניהול הרשאות בקובץ, הקשחה על פי Best Practices |
טיפול מונע עבור שיטות שונות:
שיטה | טיפול באמצעות |
קבצים מצורפים |
השירות המלא בתשלום ומשלב Sandbox, Reputation,Threat Emulation |
קישורים |
|
הקשחות לדוא”ל |
נועד לוודא שהמייל הגיע משולח מאומת ואמיתי |
Wipers |
לאחר הגיבוי נרש לבצע ניתוק פיזי מהרשת בנוסף, אחסון המידע מחוץ לרשת הארגון. מניעת דילוג בין שרתים/תחנות |
Crypto |
לאחר הגיבוי נרש לבצע ניתוק פיזי מהרשת בנוסף, אחסון המידע מחוץ לרשת הארגון. מניעת דילוג בין שרתים/תחנות |
מאמרים מעניינים:
מהי תוכנת כופר? איך מונעים מתקפות בשנת 2020
מאמר מצוין באנגלית המסביר עוד על כופר והיסטוריית כופר