תוכנות הכופר בעלייה: הכירו את Monti, BlackHunt ו...פוטין

חוקרי FortiGuard Labs, גוף המחקר של ענקית אבטחת הסייבר הבינלאומית פורטינט, אספו נתונים אודות מספר גרסאות של תוכנות כופר ברמת סיכון גבוהה שבלטו לאחרונה במאגרי הנתונים של FortiGuard ובקהילת מודיעין של הקוד הפתוח (OSINT). כל התוכנות אשר תועדו הצפינו קבצים על ההתקנים שהושפעו, יחד עם הדרישה לתשלום כופר עבור שחרורם. החוקרים מספקים תובנות העולות מניתוח תוכנות הכופר הללו בנוגע לנוף מתקפות הכופר המתפתח ללא הרף, לצד דרכי התגוננות מפני המתקפות.

תוכנת הכופר Monti

Monti היא תוכנת כופר חדשה יחסית אשר תוכננה כדי להצפין קבצים על מערכות Linux. הקבצים אשר הוצפנו כוללים את הסיומת ".puuuk". כמו כן, דווח על גרסאות אפשריות של Monti אשר פועלות על מערכות Windows.

בתמונה: קבצים שהוצפנו על ידי תוכנת הכופר Monti

תוכנת הכופר Monti כוללת קובץ txt הכולל את דרישות הכופר עם הכותרת README.txt, אשר דומה לזה של תוכנת הכופר הידועה לשמצה Conti. בניגוד לתוכנות כופר טיפוסיות, גורם האיום של Monti הפעיל 2 אתרי TOR נפרדים: אחד לאירוח נתונים אשר נגנבו מהקורבנות והשני לניהול משא ומתן בנוגע לכופר. באתר דליפת הנתונים מופיע "קיר הבושה", בו לא מופיעים כרגע קורבנות כלשהם, אך מופיעה הודעה שיכולה לרמז כי קורבנות רבים של Monti שיתפו פעולה ושילמו את הכופר, מלבד קורבן אחד בארגנטינה. תוכנת הכופר גם כוללת קובץ טקסט עם השם result.txt אשר מראה כמה קבצים היא הצפינה במכשיר שנפרץ.

בתמונה: אתר דליפת הנתונים של תוכנת הכופר Monti

תוכנת הכופר BlackHunt

BlackHunt היא תוכנת כופר חדשה יחסית, אשר לפי הדיווחים ניגשת לרשתות הקורבנות דרך תצורות Remote Desktop Protocol דרך נקודות תורפה.

ניתן לזהות קבצים אשר הוצפנו על ידי BlackHunt באמצעות הדפוס הבא של שם הקובץ: [unique ID assigned to each compromised machine].[contact email address].Black. תוכנת הכופר מוחקת גם עותקי shadow, מה שמקשה על שחזור הקבצים. התוכנה כוללת 2 פתקי כופר: אחד בשם #BlackHunt_ReadMe.hta והשני בשם #BlackHunt_ReadMe.txt. למרות ש-2 פתקי הכופר שייכים ל-BlackHunt, הפתקים כוללים כתובות דוא"ל שונות וגם ID שונים שהוקצו לכל קורבן.

בתמונה: קבצים אשר הוצפנו על ידי תוכנת הכופר BlackHunt

תוכנת הכופר Putin

Putin היא תוכנת כופר עדכנית המצפינה קבצים על המכשירים של הקורבן. לאחר ההצפנה, התוכנה מנסה לסחוט כסף כדי לשחרר את הקבצים ולא להדליף את הנתונים הגנובים לציבור הרחב. הקבצים אשר הוצפנו על ידי Putin כוללים את המילה .PUTIN בסיומת הקובץ.

תוכנת הכופר כוללת פתק כופר בשם README.txt, אשר קובעת כי לקורבנות יש רק יומיים כדי לבצע את תשלום הכופר. אחרת, הקבצים המוצפנים שלהם לא ישוחזרו. מדובר בשיטה נפוצה הנמצאת בשימוש של גרסאות כופר רבות כדי להלחיץ את הקורבנות לשלם את הכופר במהירות האפשרית.

בתמונה: קבצים שהוצפנו על ידי תוכנת הכופר Putin

פתק הכופר מכיל 2 ערוצי טלגרם: אחד לניהול משא ומתן לגבי תשלום הכופר והשני להדלפת הנתונים הגנובים של הקורבנות. בזמן החקירה של תוכנת הכופר, הערוץ המשמש להדלפת הנתונים כלל חברות בסינגפור ובספרד. יחד עם זאת, התאריכים של הפוסטים מגיעים רק עד לנובמבר 2022, מה שמעיד על כך שתוכנת הכופר Putin עדיין לא התפשטה בצורה רחבה.

בתמונה: ערוץ הטלגרם של תוכנת הכופר Putin

כיצד ניתן להתגונן מפני מתקפות כופר

בשל הקלות שבה תוכנות הכופר עלולות לגרום לשיבוש הפעילות היום-יומית, להשפיע על המוניטין של הארגון, לגרום להרס או דליפה של מידע מזהה אישי (PII) ועוד, חוקרי האבטחה של FortiGuard Labs ממליצים לעדכן בקביעות את האנטי-וירוס וחתימות ה-IPS.

היות ומרבית תוכנות הכופר מסופקות באמצעות פישינג, ניתן להיעזר בהדרכה החינמית של פורטינט NSE 1, המתמקדת במודעות לאבטחת מידע וכוללת מודול אודות איומי אינטרנט, אשר תוכנן כדי לעזור למשתמשי קצה ללמוד כיצד לזהות ולהגן על עצמם ממגוון סוגים של מתקפות פישינג. ארגונים יכולים להוסיף את הקורס בקלות לתוכניות ההדרכה הפנימיות שלהם.

כמו כן, ארגונים יצטרכו לבצע שינויים מהותיים לתדירות, המיקום והאבטחה של גיבוי הנתונים שלהם כדי להתמודד ביעילות עם סיכוני תוכנות הכופר המתפתחים במהירות. בשילוב עם פגיעה בשרשרת האספקה הדיגיטלית וכוח העבודה המחובר לרשת הארגונית מרחוק, קיים סיכון ממשי כי המתקפות עלולות להגיע מכל מקום. ארגונים צריכים לשקול לכלול פתרונות אבטחה מבוססי-ענן כמו SASE כדי להגן על התקנים מחוץ לרשת; אבטחה מתקדמת לנקודות קצה כמו פתרונות EDR (איתור ותגובה לנקודות קצה) אשר יכולים לשבש את המתקפה גם תוך כדי הפעילות; ואסטרטגיות גישת Zero Trust וחלוקת רשת המגבילות את הגישה ליישומים ומשאבים בהתבסס על מדיניות והקשר כדי להפחית את הסיכון וההשפעה של מתקפת כופר מוצלחת.

שיטות העבודה המומלצות ביותר כוללות סירוב לשלם כופר

ארגונים כמו CISA, NCSC, ה-FBI ו-HHS מזהירים את קורבנות מתקפות הכופר מפני תשלום כופר, היות והדבר לא מבטיח את השבת הקבצים. לפי ההנחיות של משרד האוצר האמריקאי לבקרה על נכסים זרים (OFAC), תשלום כופר עלול לעודד את הפושעים לתקוף ארגונים נוספים ולעודד גורמי פשיעה אחרים להפיץ תוכנות כופר ו/או לממן פעילויות בלתי חוקיות.