10 דברים שאתם צריכים לדעת על מתקפת הכופר WannaCry
מי שיגר אותה ומה יצא לו מזה, האם ניסה לפגוע בבתי חולים ומה הסיכוי שיצליח לפגוע במוסדות רפואיים בארץ, כיצד אפשר לדעת שנפגעתם והכי חשוב - איך מתגוננים מפני מתקפת הכופר הגדולה ביותר שתועדה
16:1914.05.17
1. מהי נוזקת כופר?
נוזקת כופר (Ransomware), היא תוכנה שמוחדרת למחשב של המשתמש באופן זדוני. לרוב היא מועברת במייל בשיטה המכונה, פישינג בה המשתמש מפותה ללחוץ על לינק לאתר ממולכד שברגע שהוא מגיע אליו מציע לו להוריד קובץ למחשב. קובץ זה מכיל את הנוזקה וברגע שמפעילים אותו היא מתקינה את עצמה. השיטה השנייה כוללת משלוח של מייל עם קובץ מצורף. זה יכול להיות קובץ וורד או תמונה וכתובת השולח דומה לכתובת שנחנו מכירים אבל לא בדיוק. כמו בשיטה הראשונה, גם כאן ברגע שמורידים את הקובץ למחשב ופותחים אותו הנוזקה מתחילה לפעול. לאחר ההפעלה, נוזקת הכופר מחפשת קבצי מידע על המחשב, זה יכול להיות סרטונים, טקסט, תמונות או קובצי מערכת ההפעלה. ברגע שהיא מוצאת אותם היא מפעילה עליהם תהליך הצפנה. התוצאה: אי אפשר לפתוח אותם יותר ללא שימוש במפתח הצפנה מיוחד שנמצא באותו רגע בידי התוקפים. בדרך כלל אלה דורשים תשלום של כמה מאות עד כמה אלפי דולרים ומבקשים שאלה ישולמו להם במטבע וירטואלי כגון ביטקוין או דומיו.
קראו עוד בכלכליסט:
- נתניהו על מתקפת הסייבר: "הפגיעה בישראל - מינורית"
- בלוגר בריטי בן 22 הצליח לנטרל חלק ניכר ממתקפת הסייבר
- חברת החשמל והבנקים מוגנים ממתקפה, בתי החולים הם החוליה החלשה
2. מהי WannaCry?
WannaCry היא גרסה של נוזקת כופר שחודרת למחשבים דרך פרצת אבטחה שקיימת בווינדוס. הפרצה הזו נחסמה בעדכון מיוחד של מיקרוסופט עוד במרץ שעבר. במקרים מסוימים כגון מחשבים עליהם מותקנת גרסה ישנה כגון XP או 7, או בארגונים שם העדכונים מתבצעים בתאריכים קבועים, העדכון לא הותקן וכך המחשבים נותרו חשופים לנוזקת הכופר הזו. לאחר שהיא חודרת למחשב היא מחפשת מחשבים אחרים המחוברים לרשת ומדביקה אותם.
נוזקת WannaCry צילום: איי פי 3. מי שיגר אותה?
לא ידוע בשלב זה. נדיר שמצליחים להתחקות אחר האקרים במהירות משום שזיהוים דורש הינדוס לאחור של השיטות בהן השתמשו, התשתית דרכה שיגרו את המתקפה ועוד. בדרך כלל מה שמפיל אותם זה הניסיון לפדות את הכסף מארנקי הביטקוין שחלקם דורשים הזדהות כדי להמיר את המטבע הווירטואלי למזומן. כיום הביטקוין כבר הפך למוכר במדינות כיפן ואוסטרליה, מה שהופך אותו למטבע עובר לסוחר ומקשה על זיהוי ההאקרים. ההערכות הן שמדובר בהאקרים פליליים וכנראה לא מתוחכמים במיוחד. הם כנראה ממקור אסייתי לאור אופן הפעולה והניסוח של הודעת הכופר.
פורצים, סוחטים, עושים כסף 4. מה היא עשתה?
מהרגע שהיא שוגרה, הנוזקה חדרה למאות אלפי מחשבים ברחבי העולם תוך כ-48 שעות. במקרים מסוימים היא גרמה לנזק רב, כמו בבריטניה - שם הנוזקה השביתה את הפעילות של עשרות בתי חולים, מרפאות ומפעלי תעשיה. במקרים אחרים היא חדרה למחשבי משרדי ממשלה כמו ברוסיה או באיטליה. הנוזקה לא מבדילה בין מטרה למטרה ומתפשטת כאש בשדה קוצים. מהרגע שהמחשב נפגע, הוא הופך לבלתי שמיש ואם מדובר במחשב המריץ תהליך או קשור לפעילות עסקית, הוא ישבית אותם מיידית.
5. איך היא מגיעה ממחשב למחשב?
WannaCry עוברת בין מחשבים בעיקר דרך מיילים זדוניים: מהרגע שהמחשב מודבק בה והיא מזהה שהוא מחובר לרשת פנימית - הנוזקה יודעת לשכפל את עצמה ולהדביק את כל המחשבים הפגיעים ברשת. מחשבים שמעודכנים לא אמורים להיות מודבקים - אך לרוב אם מחשב אחד פגיע ברשת, יש סיכוי רב שגם שאר המחשבים סובלים מאותה חולשה.
6. מי נפגע ממנה?
כולם. ההערכות של קוסטין ראיו, ראש צוות המחקר של חברת הסייבר הרוסית קספרסקי כפי שמסר אותן ל"כלכליסט" הן שפוטנציאל הנזק מגיע למאות אלפי מחשבים בעולם. דרישת הקדם היחידה היא שמערכת ההפעלה לא עודכנה ומכילה את הפרצה עליה נשענת WannaCry.
תחנת רכבת בגרמניה שנפגעה מהנוזקה צילום: EPA 7. איך אני יודע שנפגעתי?
הנוזקה תגיד לכם. המחשב יפסיק לפעול ויופיע מסך שיסביר לכם בשפה הקרובה ביותר לזו של מערכת ההפעלה שלכם (בישראל זה ככל הנראה יהיה באנגלית) שהקבצים במחשב שלכם הוצפנו ושאם אתם רוצים לפתוח אותם אתם צריכים להעביר שווה ערך ל-300 דולר לחשבון (ארנק) ביטקוין שמופיע בהודעה. ההאקרים מצפים מכם להמיר את הסכום מדולרים לביטקוין ולעביר להם אותו דרך הקישור שמופיע בהודעה. לאחר כ-24 עד 48 שעות הם מתחייבים להעביר לכם את מפתח ההצפנה שיאפשר לכם לשחרר את הקבצים. הבעיה היא שאף אחד לא יודע אם הקבצים אכן ישוחררו ואם כן שההאקרים לא ינסו את התעלול פעם נוספת לאחר שנוכחו לדעת שאתם מוכנים לשלם. ההמלצה הגרופת היא לא לשלם ככל שניתן. אם הקבצים שלכם מגובים בענן או בדיסק חיצוני שאינו מחובר באופן קבע למחשב - פשוט פרמטו את המכונה והתקינו מחדש את ווינדוס ושחזרו את הקבצים מהגיבוי.
8. כמה מסוכנת המתקפה?
היא מסוכנת רק לארגונים שלא טרחו לעדכן מחשבים המחוברים לפסי ייצור במפעלים, שירות לקוחות, מערכותבתי חולים וכיוצא באלה. אם אתם משתמשים במחשב רק לעבודה שוטפת ודאגתם לגבות את הקבצים שלכם בענן כגון גוגל, מיקרוסופט, דרופבוקס או פייסבוק, חוץ מהזמן והטרחה שבהתקנת המחשב מחדש - אין כאן ממש סכנה אמיתית. הנוזקה די פשוטה ועד כמה שנותחה, היא לא מסוגלת למשל לגנוב מידע אישי או פרטי גישה לחשבונות הבנק שלכם למשל.
9. האם תוכל לפגוע גם בבתי חולים בארץ?
באופן עקרוני, הנוזקה יכולה לפגוע בכל מחשב שלא עבר עדכון. אם בית החולים המקומי שלכם לא עדכן את מחשביו אז בהחלט שהיא מסוגלת לפגוע בו. כבר היו מקרים בודדים בהם נפגעו בתי חולים בישראל מנוזקות כופר. אך עד היום זה לא גרם לאובדן חיי אדם או אפילו לעיכובים מיותרים. בתי חולים בעולם ובארץ ערוכים לפעול ולטפל בחולים גם ללא מחשבים, כחלק ממוכנות שגרתית לאסונות טבע או מלחמה למשל. במקרים של ניתוחים או שימוש בציוד רפואי ממוחשב, קשה להאמין שהנוזקה הזו תגרום לפגיעה בציוד כגון מכונות סי טי או משאבות תרופות - אם כי הדבר אפשרי באופן תיאורטי. בסך הכל הפגיעה העיקרית היא בתהליכי קבלת החולים וניהול המיון וכיו"ב - בבריטניה הבעיה התגלתה במלוא עוזה בגלל שבחלק מהמטרות שנפגעו הופעל ציוד קצה מיושן. הדחיות בטיפולים היו רק לגבי חולים שלא היו בסיכון חיים ועד כה לא ידוע על מקרי מוות כתוצאה מהתקיפה.
10. איך מתגוננים?
רוב חברות האבטחה עדכנו את תוכנות האנטי וירוס או יישומי הפיירוול שלהן לזיהוי ונטרול הנוזקה. אם אתם נוהגים לעדכן את המחשבים שלכם בעדכוני האבטחה האחרונים באופן שוטף, או שאתם מורים לווינדוס לעדכן באופן אוטומטי את המערכת - אתם אמורים להיות מוגנים. עם זאת, מחשבים ישנים ולא מעודכנים יהיו פגיעים יותר מאחרים וכדאי לעדכן את מערכת ההפעלה שלהם מיידית. מיקרוסופט שחררה עדכונים לכל הגרסאות לאחר שנוכחה לגלות שבמקרים רבים ביטול התמיכה עשוי לגרום לה יותר נזק מתועלת מסחרית.
