גל תקיפות חדש של תוכנת הכופר Crysis: חברות ישראליות נפגעו
לתשומת לב החברות הישראליות: בימים האחרונים זוהה גל תקיפה מחודש של תוכנת הכופר Crysis, השותל וירוסים במחשבים
חברות ישראליות, שימו לב: בימים האחרונים זוהה גל תקיפה מחודש של תוכנת הכופר Crysis.במהלך סוף השבוע האחרון זיהתה חברת האבטחה ESET גל תקיפות העושה שימוש בנוזקת הכופר Crysis בישראל ומהווה אינדיקציה לפגיעה בחברות ישראליות, כמו גם במקומות נוספים בעולם, בעיקר בדרום אמריקה.
החדירה הראשונית של הנוזקה מתבצעת תוך שימוש בפרוטוקול RDP פתוח לרשת של הגורם המותקף. RDP הם ראשי התיבות של Remote Desktop Protocol. תוכנת הכופר עצמה היא תוכנה וותיקה ונפוצה. לאורך השנים יצאו גרסאות שונות שלה כאשר כל אחת משנה את סיומות הקבצים לשם אחר.
בגרסתה החדשה, Crysis משנה את סיומת הקבצים אותם היא מצפינה לסיומת arena. הקורבנות מתבקשים ליצור קשר עם התוקפים וסכום הכופר בביטקוין ייקבע בהתאם למהירות התגובה של הקורבן. נכון לעכשיו, לגרסה זו טרם קיים כלי לפענוח ההצפנה שהיא מבצעת.
במהלך השנים האחרונות עסקים בישראל חווים גל אחרי גל של התקפות כופר באמצעות פרוטוקול RDP לחיבור מרחוק. על אף ההזהרות של חברות האבטחה נראה שעדיין בכל סוף שבוע מותקפות חברות ישראליות שמשאירות את חיבור ה RDP פתוח לחיבור מרחוק.
כאשר מתבצעת התקפה דרך פרוטוקול RDP על עסק או ארגון כמו גם על מחשבים פרטיים, מנסים התוקפים להתחבר באמצעות יישום של פרצת אבטחה בפורטוקול RDP - במקרה ולא בוצעו עדכוני מיקרוסופט רלוונטיים, לא יהיה אפילו צורך לתוקפים לפרוץ את הסיסמה. במידה וקיימים עדכוני האבטחה של מיקרוסופט, ינסו התוקפים לפרוץ את הסיסמה באמצעות התקפה הנקראת Bruteforce אשר עושה שימוש בטבלאות המכילות עשרות אלפי צירופים אפשריים של סיסמאות.
אמיר כרמי, מנהל הטכנולוגיות של ESET ישראל: "כאשר התוקף מקבל גישה לשרת עם הרשאות מנהל, הוא יכול להסיר תוכנות אבטחה כמו אנטי וירוס ואז להפעיל את נוזקת הכופר בצורה ידנית בכל שרת או תחנה ברשת. גם אם התוקף לא הסיר את האנטי וירוס הוא יכול לנטרל אותו ידנית לזמן מסוים. לכן אנחנו ממליצים לארגונים, עסקים ואנשים פרטיים לא לאפשר חיבור מרחוק באמצעות פרוטוקול RDP, אלא להגדיר חיבור מרחוק באמצעות VPN ולהשתמש באמצעי הגנה המאפשר אימות דו-שלבי (2FA)".