נחשף: האם האקר ישראלי היה מעורב בפעילות תוכנת כופר חדשה?
מעבדת קספרסקי מפרסמת כי חשפה שרת ישראלי המעורב בפעילות ההצפנה של תוכנת כופר חדשה בשם CryPy. על פי החוקרים, מטרת השרת הישראלי היתה להסתיר את שרת התקיפה
החוקרים בחברה מדווחים כי בשלב הזה, עדיין לא נמצאה שיטת הדבקה לתוכנה, ולא נמצאה תפוצה משמעותית בשום איזור בעולם. מהתוצאות הללו מסיקים שם כי נראה וכי היא בשלב נסיון ובדיקת איכות ויתכן ו-CryPy עוד עלול להופיע שוב בצורתו המקורית או בצורה אחרת, כאשר התוקפים יהיו ערוכים יותר לתקיפה.
מהדיווח של קספרסקי עולה כי התוקפים השתלטו על השרת דרך פרצת אבטחה במערכת ניהול התוכן "מג'נטו", אשר מסייעת ביצירת חנות אינטרנטית. מערכת הניהול מותקנת על כמעט 7% מכלל החנויות אונליין, מה שמצביע על למעלה מ-300,000 אתרים עליהם מותקנת מערכת הניהול. הבדיקה של החברה העלתה כי זו אינה הפעם הראשונה שהשרת הישראלי מותקף וכי ניתוח מדוקדק שלו מצא "פרטים נוספים הקושרים אותו למתקפת פישינג אשר מציגה לקורבנות דף המתחזה לשירות התשלומים "פייפאל" - כשבין העדויות שנאספו ישנם ממצאים שמצביעים על מעורבות דובר עברית כשפת אם, זאת לאחר שבקספרסקי איתרו "הערות ומשתנים שונים שנקראו על שם מושגים בשפה עברית".
החוקרים מדווחים כי נראה ומערכת הניהול של השרת לא עודכנה ובשל כך הכילה פרצה שהעניקה לתוקפים גישה לשירות העלאת הקבצים. לדברי עידו נאור, חוקר בכיר במעבדת קספרסקי, שביצע את המחקר בשיתוף עם נעם אלון, חוקר מאיירון סורס, בהודעת הכופר נטען כי במידה ולא יועבר תשלום מיידי, ימחק קובץ הנבחר בצורה רנדומלית בכל 6 שעות, ובתום 96 שעות תימחק התוכנה המכילה את תהליך הפיענוח הייחודי עבור אותו קורבן והקבצים ישארו נעולים. לעולה כי התוכנה שולחת את שם הקובץ עם המזהה הייחודי של הקורבן לשרת הישראלי ומשם לשרת התקיפה. שרת התקיפה יוצר מחרוזת זיהויי ייחודית עבור כל קובץ שהוחלט כפוטנציאלי לנעילה, ולאחר מכן עובר הקובץ את תהליך ההצפנה, כשבסיומה מוחקת תוכנת הכופר את הקובץ המקורי. כך, בצורה המסורתית מוצפן כל קובץ.
בקספרסקי מספרים כי התוכנה החדשה, מצטרפת לתוכנות כופר נוספות בעלות קוד מקור שנכתב בפייתון, כמו HolyCrypt, Fs0ciety Locker ואחרות, כאשר השימוש בשרת הישראלי נועד להסוות את שרת התקיפה המקורי. יחד עם זאת, בחברה מספרים כי השימוש בשרת מתווך אינו מותיר את זהות התוקף בעלטה, מאחר ובמידה וחוקרי אבטחה ואנשי חוק ימקבלו גישה לשרת - הם יוכלו לנטר את התעבורה והמידע שעוברים דרך השרת בניסיון לעצור את ההתקפה ולזהות להיכן נשלח המידע על הקורבנות.
רק לפני מספר ימים השיקו בקספרסקי כלי שחרור הצפנה מיוחד שפותח עבור נפגעי תוכנת הכופר Polyglot, הידועה גם כ- MarsJoke. הטרויאני הזה מופץ באמצעות הודעות דואר זבל המכילות קובץ הארוז בארכיב מסוג RAR. במהלך תהליך ההצפנה, הטרויאני אינו משנה את שמות הקבצים על המכונה הנגועה, ובמקום זאת חוסם גישה אליהם. לאחר שההצפנה הושלמה, רקע שולחן העבודה במסך הקורבן מוחלף בדרישת כופר. עברייני הסייבר דורשים את הכופר שלהם בביטקוין, ואם התשלום אינו מתבצע בזמן, הטרויאני מוחק עצמו מהמכשיר הנגוע כשהוא משאיר את כל הקבצים מוצפנים.
החברה מציעה מידע וסיוע באתר ייעודי לתוכנות כופר שהקימה בשם No More Ransom, שהוקם כחלק מיוזמה משותפת של מעבדת קספרסקי, יחידת פשעי ההיי טק של משטרת הולנד, מרכז פשיעת הסייבר של היורופול ו- Intel Security. היעד המרכזי של הפרויקט הוא לסייע לקורבנות של תוכנות כופר לאחזר את הנתונים שלהם מבלי לשלם כופר לעבריינים.