הכן ארגונך לכופר: מדריך מקיף להגנה מפני מתקפות כופר

16/01/2025

1 4,960 3 דקות לקריאה

מתקפות כופר (Ransomware) הפכו לאחת הסכנות המשמעותיות ביותר עבור ארגונים בכל התחומים. פושעי סייבר משתמשים בנוזקות כופר כדי להצפין מידע קריטי של הארגון ולדרוש כופר עבור שחרורו. מאמר זה יספק מדריך מקצועי להיערכות ולמניעת מתקפות כופר, ויסייע לארגונים לצמצם את הסיכון ולהגיב בצורה יעילה במקרה של מתקפה.

כיום מתפרסמות כתבות רבות על עוד ועוד חברות המקבלות דרישות כופר. מטרתן של דרישות הכופר היא להפוך את הארגון ל-"בן ערובה" עם דרישה לתשלום דמי כופר במטבע וירטואלי. התקיפות הללו משתמשות בהנדסה חברתית ועוברות דרך שימוש בחור אבטחה או פישינג.

בשורות הבאות נציג כיצד למנוע ולטפל באירועי סייבר מבעוד מועד.

תוכן העניינים

היסטוריה:

בשנת 2013 באה לאוויר העולם Cryptolocker

סוג כופר חדש ומהפכני שניצל את הביטקוין בשילוב שיטות הצפנה מתקדמות. cryptolocker השתמש בזוגות מפתח RSA2048 להצפנת מידע של משתמשים, אשר תמורת כ-300 דולר חזר לבעלותם.

וירא כי טוב, ומפה לשם השיטה שודרגה להונאות מוסדות פיננסיים בהיקף נרחב.

כל עוד הביטקוין קיים- התקיפות לעולם לא יפסקו!

במבצע ענק של ה-FBI וחוקרי אבטחה נוספים Cryptolocker הושבת וקבצי המשתמשים חזרו לבעליהם ללא תשלום, ושימש תמרור אזהרה ברור עבור קהילת המצפינים.

אך תוך מספר חודשים גילו חוקרי אבטחה מספר רב של שיבוטי Cryptolocker בשליטתם של פושעים מכל רחבי העולם.
מאז, כנופיות פשע מאורגנות משקיעות משאבים נכבדים ליצירת טכנולוגיות חדשות של סוגי כופר מתקדמים וחזקים יותר כמו cryptowall ו-WannaCry הידועה לשמצה.

דרכי מניעה- כיצד להתמגן?

ראשית מתחילים עם הגורם האנושי- הדרכת עובדים וקיום סדנאות. ניתן ליצור חשבון בשירותים כגון Activetrail ודומיהם, ולהוציא קמפיינים עם עדכוני ריענון יומיים של ניסיונות או התקפות פישינג בארגון. מודעות היא דבר חשוב.
במקביל לארגן הדרכות תקופתיות לעובדים להכרת איומי סייבר מדוא"ל, רשתות חברתיות, אתרים מפוקפקים ועוד.
עדכוני אבטחה לכלל המערכות- בדיקה של כלל התחנות והשרתים אם הן מעודכנות בעדכוני מערכת הפעלה + אנטיוירוס מעודכן + דפדפנים + אופיס. ניתן באמצעות SCCM או תוכנות צד שלישי דוגמת Itarian.
לוודא שתוכנת ה-AV רצה בכל התחנות והשרתים- עם שירות דוגמת ESMC
שימוש ב-EDR- הגנה מקומית על תחנות ושרתים.
חסימת אתרים בפיירוול לפי קטגוריות או לפי מיקום גאוגראפי, יכולים למנוע הרבה נזק בשעת אמת.
הפרדת רשתות- כל רשת תשב בסיגמנט נפרד- רשת המחשבים (עמדות), שרתים, טלפוניה, ועוד..
הגדרת מערכת קבצים של ReFS עבור פתרונות גיבוי חיצוניים

מה קורה באירוע כופר בזמן אמת?

להלן השלבים:

עובד לוחץ על לינק או מוריד קובץ מדוא"ל, רשת חברתית, או אתר זדוני אחר.
הלינק מפנה לכניסה דרך פירצה בדפדפן או אופיס או במערכת ההפעלה
מופעל קוד זדוני או יורד קובץ מסוכן
תוכנת הכופר מופעלת, קבצי המשתמש מוצפנים, ומתקבלת (בשלל וריאציות) ההודעה הבאה:

המדריך הבא מתאר בפרוטרוט מקרה אירוע כופר בזמן אמת

אז מה ניתן לעשות להגנה מפני מתקפת כופר?

גיבוי מידע בצורה מאובטחת

גיבוי נתונים הוא הקו ההגנתי הראשון נגד מתקפות כופר:

יש לבצע גיבויים תקופתיים למידע קריטי.
לאחסן את הגיבויים בסביבה מבודדת (אופליין או בענן מאובטח).
לוודא כי ניתן לשחזר את הגיבויים באופן תקין.

הטמעת מנגנוני אבטחה מתקדמים

שימוש בטכנולוגיות אבטחה עדכניות יכול למנוע חדירה של נוזקות כופר:

התקנת מערכות EDR (Endpoint Detection and Response) לזיהוי פעילות חשודה.
הפעלת חומת אש (Firewall) וחסימת גישה לאתרים זדוניים.
שימוש באנטי-וירוס מתקדם עם זיהוי התנהגותי.

אימות רב-שלבי (MFA) וניהול גישה

הגבלת הגישה למידע רגיש היא קריטית:

שימוש באימות רב-שלבי (Multi-Factor Authentication – MFA) לכלל המשתמשים.
הקצאת הרשאות מינימליות לעובדים בהתאם לצורכיהם.
ניטור וחסימה של חשבונות שאינם בשימוש.

הדרכת עובדים ואכיפת מדיניות אבטחת מידע

הגורם האנושי מהווה את אחד הכשלים המרכזיים בהגנת סייבר:

הדרכה תקופתית לזיהוי ניסיונות פישינג ודיווח עליהם.
סימולציות מתקפות כופר כדי לשפר את מוכנות העובדים.
אכיפת מדיניות סיסמאות חזקות והגבלת שיתוף מידע רגיש.

ניטור והתראה בזמן אמת

איתור מוקדם של פעילות חשודה עשוי למנוע הצפנה של מידע קריטי:

שימוש במערכות SIEM (Security Information and Event Management) לניטור יומני אירועים.
קביעת כללים לזיהוי פעילות חריגה, כגון גישה לא מורשית למידע רגיש.
יישום כלי SOAR (Security Orchestration, Automation, and Response) לטיפול אוטומטי באיומים.

תכנון תגובה למקרה של מתקפת כופר

לכל ארגון חייב להיות נוהל תגובה ברור:

הכנת תוכנית תגובה לאירועי כופר והגדרת בעלי תפקידים.
יצירת קשר מיידי עם צוותי אבטחת מידע חיצוניים או פנימיים.
בחינת אפשרות לשימוש בכלי שחזור נתונים מתקדמים במקום תשלום הכופר.

עדכון שוטף של מערכות ותוכנות

נוזקות כופר מנצלות פרצות אבטחה במערכות מיושנות:

התקנת עדכוני אבטחה (Patches) לכל המערכות, כולל תחנות עבודה ושרתי ארגון.
הפעלת עדכונים אוטומטיים לתוכנות קריטיות.
הסרת תוכנות ישנות שאינן נתמכות עוד.

ניהול ספקים חיצוניים ואבטחת גישה מרחוק

ספקים חיצוניים עשויים להוות נקודת תורפה:

לוודא שספקים חיצוניים עומדים בסטנדרטים מחמירים של אבטחת מידע.
הגבלת גישה מרחוק רק לעובדים וספקים מאושרים.
שימוש ב-VPN מאובטח עם הצפנה חזקה.

פירוט מוצרים נפוצים שנפרצו לאחרונה:

רכיב	טיפול באמצעות
OWA – Exchange	Microsoft Patch – CVE-2020-0688
Palo Alto – VPN	Upgrade Version to 10 Mitigate CVE'S: CVE-2020-2037 CVE-2020-2038 CVE-2020-2039 CVE-2020-40 CVE-2020-41 CVE-2020-2042 הגדרת 2FA ניתוק פיזי של ממשק ניהול מרשת האינטרנט
F5-BIGIP	Upgrade Version / Patch CVE2020-5902 ניתוק פיזי של ממשק ניהול מרשת האינטרנט
Pulse Secure	Upgrade Version CVE2020-8218 הגדרת 2FA ניתוק פיזי של ממשק ניהול מרשת האינטרנט
Cisco Switch	כלל המתגים מתחת לגרסה: Patch CVE2018-0171 Smart Install Remote Code Excution Switch IOS version 15.2(4a)EA5
Windows	ביצוע עדכוני מערכת שוטפים + Antivirus התקנת CVE2020-1472 (Zerologon) ביצוע הקשחה על בסיס Best Practices ניתן להשתמש בכלי Microsoft mbsa או CIS Benchmark
Wordpress Plugins	הקשחת HTTAccess– ניהול הרשאות בקובץ, הקשחה על פי Best Practices

טיפול מונע עבור שיטות שונות:

שיטה	טיפול באמצעות
קבצים מצורפים	הקשחה ועדכוני אבטחה לשירותי Office הפעלת מודול Content Filtering ברכיב ה-FW הפעלת מודול Application Control ב-FW הפעלת מודול AV ב-FW הפעלת מודול ATP בשירות Office 365 השירות המלא בתשלום ומשלב Sandbox, Reputation,Threat Emulation הטמעת EDR-מניעת הרצת קוד זדוני במידה ועבר את כל הסינונים, כאן הוא ייעצר
קישורים	הקשחה ועדכוני אבטחה לשירותי לדפדפנים הטמעת Whitelist ב-Proxy סינון DNS על בסיס מוניטין Reputation הקשחה ועדכוני אבטחה לשירותי Office הפעלת מודול Content Filtering ברכיב ה-FW הפעלת מודול Application Control ב-FW הפעלת מודול AV ב-FW הפעלת מודול ATP בשירות Office 365 הטמעת EDR DNS
הקשחות לדוא"ל	הפעלת STS-SMTP, נועד לוודא כי החיבור מבוצע ב-TLS הפעלת שירות DMARC ו-DKIM, להגנה מפני Spoofing הפעלת SPD- הגדרת "Sender Policy" נועד לוודא שהמייל הגיע משולח מאומת ואמיתי הפעלת מודול ATP בשירות Office 365
Wipers	הטמעת EDR גיבויים באחסון מחוץ לרשת לאחר הגיבוי נרש לבצע ניתוק פיזי מהרשת בנוסף, אחסון המידע מחוץ לרשת הארגון. צמצום השימוש בתיקיות משותפות- מניעת דילוג בין שרתים/תחנות
Crypto	הטמעת EDR גיבויים באחסון מחוץ לרשת לאחר הגיבוי נרש לבצע ניתוק פיזי מהרשת בנוסף, אחסון המידע מחוץ לרשת הארגון. צמצום השימוש בתיקיות משותפות- מניעת דילוג בין שרתים/תחנות

מאמרים מעניינים:

מהי תוכנת כופר? איך מונעים מתקפות בשנת 2020

מאמר מצוין באנגלית המסביר עוד על כופר והיסטוריית כופר

סיכום

היערכות מוקדמת למתקפות כופר היא חיונית כדי להבטיח את המשכיות הארגון ולמנוע נזקים כלכליים ותדמיתיים חמורים. באמצעות גיבוי נתונים, שימוש בטכנולוגיות מתקדמות, הדרכת עובדים וניהול סיכונים אפקטיבי, ניתן להפחית משמעותית את החשיפה לאיומי כופר. ארגונים שמאמצים גישה פרואקטיבית ומפתחים תוכניות תגובה יסודיות יהיו מוכנים יותר להתמודד עם מתקפות ולהתאושש מהן במהירות.

תגיות

16/01/2025

1 4,960 3 דקות לקריאה

תגובה אחת

רונן הגיב:
16/01/2025 בשעה 10:47
מאמר מעולה! מספק תובנות קריטיות לכל ארגון שרוצה להתכונן למתקפת כופר ולמזער נזקים פוטנציאליים. אהבתי במיוחד את הדגש על גיבויים מאובטחים ובדיקות חדירות – שני אלמנטים שאסור להתעלם מהם בעולם הסייבר של היום. בנוסף, ההמלצה להדריך את העובדים היא קריטית, כי לרוב הם הקו הראשון במניעת מתקפות. תודה על המידע החשוב! מחכה לקרוא עוד תכנים בסגנון.
הגב