"אירוע מתקפת הכופרה על עיריית אטלנטה במרץ 2018, שבמסגרתו הושבתו שירותים עירוניים רבים, היה אחד מאירועי הסייבר הגדולים של אותה השנה. החזרה לשגרה לאחר אובדן מערכות מידע רבות ארכה שבועיים. המגמה הרווחת עד אז הייתה של מתקפות כופרה מאוד רחבות ולא ממוקדות. אירוע זה היה שונה באופיו, כי, בין השאר, התוקפים הציגו יכולות התחמקות ממערכות בקרת האבטחה העירוניות", כך אמר עדי פרץ, המנהל הטכני של טרנד מיקרו ישראל.
פרץ דיבר במפגש מיוחד בנושא כופרות, שהתקיים במסגרת הפורומים C3 ו-CSC מבית אנשים ומחשבים. המפגש נערך היום (ב') והנחה אותו יהודה קונפורטס, העורך הראשי של הקבוצה.
לדברי פרץ, "הכופרה, מסוג SamSam, ייצגה תחילת מגמה של תקיפה ממוקדת, תוך ידיעה מוקדמת שהקורבן ישלם את דמי הכופר. החדירה הראשונית התבססה על ניצול חולשה ברשת הארגון, ולאחריה, בעזרת כמה כלי תקיפה, ההאקרים אספו סיסמאות והרשאות. אחרי התבססותם ברשת הארגון, תוך התבססות על הרשאות של משתשים פריבילגיים, הם הפעילו את הכופרה. העירייה שכרה את שירותי כמה חברות אבטחה וייעוץ, ביניהם של דל סקיור וורקס, להשבת השליטה".
הוא ציין את מאפייני המתקפה: "ביצוע פעולות אוטומטיות, שינוי טקטיקות בזמן אמת, מציאת נקודות חשופות בתשתית ויכולת הארגון לעמוד בתשלום כופר של עשרות אלפי דולרים. ברור שלו עיריית אטלנטה הייתה מיישמת פתרון אנטי נוזקה, ניתן היה למנוע את המתקפה".
הנזק הכולל – יותר מפי 50 מדמי הכופר
"ארגונים", אמר פרץ, "נדרשים לפתרון אנטי נוזקה מתקדם, המספק הגנה על הקצה, השרתים ותחנות העבודה, עם סוכן שמנתח את הפעולות בקצה, מזהה ומונע את מימוש המתקפה. היכולות הנדרשות הן: זיהוי קבצים זדוניים על ידי חתימות וחסימתם, זיהוי קבצים זדוניים נטולי חתימה על ידי מודל לימוד מכונה, זיהוי התנהגות אנומלית בתחנת הקצה, מנגנון שלומד פעילות נורמלית של תחנות הקצה ומתריע בהתאם, יכולת ביצוע תחקור אחורנית כדי לספק הקשר ונרטיב סביב ההתרעות".
הוא הוסיף כי "אף שדמי הכופר עמדו על 50 אלף דולר, העלות הכוללת של האירוע הסבה נזק של יותר מ-2.6 מיליון. אלא שהנזק היה לא רק כלכלי, כי אם גם תדמיתי ושירותי. התובנות ממנו הן שכדי לנהל בעתיד כזה אירוע, ואף למנוע אותו, יש לדאוג לגיבוי מסודר של המידע העסקי, להפריד רשתות בתשתית הארגונית, לנהל נכון את המשתמשים הפריבילגיים, להגדיר מדיניות, לבחון מה ההשלכות לתשלום הכופר ולהטמיע באופן הנכון פתרון אנטי נוזקה מתקדם".
https://www.pc.co.il/wp-content/uploads/2019/09/רואי-לקנר-300x210.jpg 300w" sizes="(max-width: 601px) 100vw, 601px" />רואי לקנר, מהנדס טכני בכיר בטרנד מיקרו. צילום: ניב קנטור
רואי לקנר, מהנדס טכני בכיר בטרנד מיקרו, אמר כי "אחת הבעיות בארגונים היא ריבוי ממשקים, המספקים נראות – אבל חלקית ולא מוכללת. אם יש אירוע רוחבי, זה מקשה על קבלת תמונת מצב רוחבית. אם אירוע כופרה מתחיל ברשת, רואים את תחנת הקצה, אבל חשוב שהאנליסט, או מנהל האבטחה, יקבל את כלל פיסות המידע לטובת יצירת תמונה גדולה".
לדבריו, "בסוף, רואים את הכול ב-'עמודים' שונים, כאשר מה שרצוי הוא ממשק אחוד ומערכת שמתכללת את כלל האירועים, וכך היא מבטלת את כל הרעש. נדרש לספק תמונת מצב מהיכן הגיעה הכופרה, לאן היא התפשטה ומה השפעתה, תוך שיקוף האנומליות וניתוח ההתנהגויות. כך, המערכת תכלול את כלל ממדי האירוע ותביא להנגשה שלו, עם נראות וגם אכיפה בסוכן אחד – לכל הרמות".
https://www.pc.co.il/wp-content/uploads/2021/02/עדי-פרץ-300x210.jpg 300w" sizes="(max-width: 600px) 100vw, 600px" />
הפוסט איך הייתה עיריית אטלנטה יכולה להימנע ממתקפת כופרה ענקית? הופיע ראשון באנשים ומחשבים - פורטל חדשות היי-טק, מיחשוב, טלקום, טכנולוגיות