מתקפת הסייבר נתונים חדשים מחברת רדוור מומחית עולמית לאבטחת סייבר

"זוהי מתקפה מתוחכמת מאוד שעדיין תחת חקירה. הנוזקה בגירסתא המקורית הופיעה כבר כתוכנת כופר באביב שעבר (2016). לצורך המתקפה של אתמול היא עברה שיפורים והתאמות. עדיין קיימים ספקות לגבי מקור הזיהום הראשוני. ישנה סברה שמדובר בניצול עדכון גרסה של תוכנת ניהול חשבונות בשם ‘MeDoc’ אותה מפתחת חברה אוקראינית, ומי שמעדכן את התוכנה נפגע בעת עדכון הגירסא. התוכנה הזו נפוצה באוקראינה ורוסיה. למרות שקיימות ראיות המאששות טענה זו, היא עדיין לא מסבירה כיצד הופצה המתקפה גם במערב. חברת התוכנה שמייצרת את MeDoc דוחה את הטענות.

משטרת אוקראינה פרסמה פוסט המצביע על השימוש בעדכוני התוכנה של MeDoc להפצת המתקפה. בפוסט מתוארת סדרת הפקודות שמופעלות ברגע שמורידים את עדכון התוכנה הנ"ל(צרפתי את הפוסט בסוף המייל).

 

לנוזקת הכופר יש שני רכיבים, היא משתלטת על פעולת האתחול של המחשב, ואז מופיעה הודעת דרישת כופר. בנוסף, הרכיב השני מאפשר לה להצפין קבצים, ואז לבקש את הכופר בתמורה לשחרורם.

 

בניגוד למתקפת הנוזקה של WannaCry המתקשרת עם שרתים מחוץ לארגון, הנוזקה הנ"ל נכנסת למחשבים בתוך הארגון ומקבלת הרשאות ניהול בעזרתן היא סורקת את הרשת הארגונית בכדי להפיץ את עצמה לנקודות קצה נוספות כמו מחשבים, שרתים וכו'.

 

בכל אופן ההמלצות הן (בדומה למערך הסייבר הלאומי):

לא לשלם כופר!
להתקין את עדכוני האבטחה שמיקרוסופט הפיצה בחודשים האחרונים .CVE-2017-0199, MS-17-010
יש לעדכן חתימות אנטי וירוס עם תעדוף למנועי סריקה של דוא"ל
מומלץ לחסום את תעבורה מפורט 445 לרשת האינטרנט לכניסה ויציאה.
יש למנוע במידת האפשר, תעבורה בין תחנות עבודה ברשת. לאפשר תעבורה רק בין תחנות לשרתים השונים ולהיפך (Private LAN).

דילוג לתוכן