הכן ארגונך לכופר


לאחרונה מתפרסמות כתבות רבות על חברות המקבלות דרישות כופר. מטרתן של דרישות הכופר היא להפוך את הארגון ל-"בן ערובה" עם דרישה לתשלום דמי כופר במטבע וירטואלי. התקיפות הללו משתמשות בהנדסה חברתית ועוברות דרך שימוש בחור אבטחה או פישינג.

בשורות הבאות נציג כיצד למנוע ולטפל באירועי סייבר מבעוד מועד.

  

היסטוריה:

בשנת 2013 באה לאוויר העולם Cryptolocker

סוג כופר חדש ומהפכני שניצל את הביטקוין בשילוב שיטות הצפנה מתקדמות. cryptolocker השתמש בזוגות מפתח RSA2048 להצפנת מידע של משתמשים, אשר תמורת כ-300 דולר חזר לבעלותם.

וירא כי טוב, ומפה לשם השיטה שודרגה להונאות מוסדות פיננסיים בהיקף נרחב.

They all LOVE Bitcoin

במבצע ענק של ה-FBI וחוקרי אבטחה נוספים Cryptolocker הושבת וקבצי המשתמשים חזרו לבעליהם ללא תשלום, ושימש תמרור אזהרה ברור עבור קהילת המצפינים.

אך תוך מספר חודשים גילו חוקרי אבטחה מספר רב של שיבוטי Cryptolocker בשליטתם של פושעים מכל רחבי העולם.
מאז, כנופיות פשע מאורגנות משקיעות משאבים נכבדים ליצירת טכנולוגיות חדשות של סוגי כופר מתקדמים וחזקים יותר כמו cryptowall ו-WannaCry הידועה לשמצה.

  

דרכי מניעה- כיצד להתמגן?

  1. ראשית מתחילים עם הגורם האנושי- הדרכת עובדים וקיום סדנאות. ניתן ליצור חשבון בשירותים כגון Activetrail ודומיהם ולהוציא קמפיינים עם עדכוני ריענון יומיים של ניסיונות או התקפות פישינג בארגון. מודעות היא דבר חשוב.
  2. במקביל לארגן הדרכות תקופתיות לעובדים להכרת איומי סייבר מדוא"ל, רשתות חברתיות, אתרים מפוקפקים ועוד.
  3. עדכוני אבטחה לכלל המערכות- בדיקה של כלל התחנות והשרתים אם הן מעודכנות בעדכוני מערכת הפעלה + אנטיוירוס מעודכן + דפדפנים + אופיס.
  4. לוודא שתוכנת ה-AV רצה בכל התחנות והשרתים- עם שירות דוגמת ESMC
  5. שימוש ב-EDR- הגנה מקומית על תחנות ושרתים.
  6. חסימת אתרים בפיירוול לפי קטגוריות או לפי מיקום גאוגראפי, יכולים למנוע הרבה בשעת אמת.

  

מה קורה באירוע כופר בזמן אמת?

להלן השלבים:

  1. עובד לוחץ על לינק או מוריד קובץ מדוא"ל, רשת חברתית, או אתר זדוני אחר.
  2. הלינק מפנה לכניסה דרך פירצה בדפדפן או אופיס או במערכת ההפעלה
  3. מופעל קוד זדוני או יורד קובץ מסוכן
  4. תוכנת הכופר מופעלת

  

פירוט מוצרים נפוצים שנפרצו לאחרונה:

רכיב טיפול באמצעות
OWA – Exchange Microsoft Patch – CVE-2020-0688
Palo Alto – VPN
  • Upgrade Version to 10
    Mitigate CVE'S:
    CVE-2020-2037
    CVE-2020-2038
    CVE-2020-2039
    CVE-2020-40
    CVE-2020-41
    CVE-2020-2042
  • הגדרת 2FA
  • ניתוק פיזי של ממשק ניהול מרשת האינטרנט
  • F5-BIGIP
  • Upgrade Version / Patch CVE2020-5902
  • ניתוק פיזי של ממשק ניהול מרשת האינטרנט
  • Pulse Secure
  • Upgrade Version CVE2020-8218
  • הגדרת 2FA
  • ניתוק פיזי של ממשק ניהול מרשת האינטרנט
  • Cisco Switch
  • כלל המתגים מתחת לגרסה:
    Patch CVE2018-0171
    Smart Install Remote Code Excution Switch IOS version 15.2(4a)EA5
  • Windows
  • ביצוע עדכוני מערכת שוטפים + Antivirus
  • התקנת CVE2020-1472 (Zerologon)
  • ביצוע הקשחה על בסיס Best Practices
    ניתן להשתמש בכלי Microsoft mbsa או CIS Benchmark
  • WordPress Plugins הקשחת HTTAccess– ניהול הרשאות בקובץ, הקשחה על פי Best Practices

      

    טיפול מונע עבור שיטות שונות:

    שיטה טיפול באמצעות
    קבצים מצורפים
  • הקשחה ועדכוני אבטחה לשירותי Office
  • הפעלת מודול Content Filtering ברכיב ה-FW
  • הפעלת מודול Application Control ב-FW
  • הפעלת מודול AV ב-FW
  • הפעלת מודול ATP בשירות Office 365
    השירות המלא בתשלום ומשלב Sandbox, Reputation,Threat Emulation
  • הטמעת EDR-מניעת הרצת קוד זדוני
  • במידה ועבר את כל הסינונים, כאן הוא ייעצר
  • קישורים
  • הקשחה ועדכוני אבטחה לשירותי לדפדפנים
  • הטמעת Whitelist ב-Proxy
  • סינון DNS על בסיס מוניטין Reputation
  • הקשחה ועדכוני אבטחה לשירותי Office
  • הפעלת מודול Content Filtering ברכיב ה-FW
  • הפעלת מודול Application Control ב-FW
  • הפעלת מודול AV ב-FW
  • הפעלת מודול ATP בשירות Office 365
  • הטמעת EDR
  • DNS
  • הקשחות לדוא"ל
  • הפעלת STS-SMTP, נועד לוודא כי החיבור מבוצע ב-TLS
  • הפעלת שירות DMARC ו-DKIM, להגנה מפני Spoofing
  • הפעלת SPD- הגדרת "Sender Policy"
    נועד לוודא שהמייל הגיע משולח מאומת ואמיתי
  • הפעלת מודול ATP בשירות Office 365
  • Wipers
  • הטמעת EDR
  • גיבויים באחסון מחוץ לרשת
    לאחר הגיבוי נרש לבצע ניתוק פיזי מהרשת
    בנוסף, אחסון המידע מחוץ לרשת הארגון.
  • צמצום השימוש בתיקיות משותפות-
    מניעת דילוג בין שרתים/תחנות
  • Crypto
  • הטמעת EDR
  • גיבויים באחסון מחוץ לרשת
    לאחר הגיבוי נרש לבצע ניתוק פיזי מהרשת
    בנוסף, אחסון המידע מחוץ לרשת הארגון.
  • צמצום השימוש בתיקיות משותפות-
    מניעת דילוג בין שרתים/תחנות
  • מאמרים מעניינים:

    מה היא תוכנת כופר? איך מונעים מתקפות בשנת 2020

    מאמר מצוין באנגלית המסביר עוד על כופר והיסטוריית כופר