ההיסטוריה של איום תוכנות הכופר: עבר, הווה ועתיד

נבחן את ההיסטוריה של תוכנות כופר ואת אופן ההתפתחות שלהן לאורך השנים.

המתקפה הענקית של התוכנה הזדונית WannaCry במאי 2017 עשתה כותרות בכל העולם והכניסה ביטוי חדש לשימוש הציבור הרחב – תוכנת כופר (Ransomware).

עם זאת, בחוגי טכנולוגיה ואבטחת סייבר דובר על תוכנות כופר כבר מזמן, ובמשך יותר מדי זמן. למעשה, במהלך העשור האחרון אפשר לומר שתוכנות כופר היו איום הסייבר הנפוץ והפורה ביותר שיש. על פי נתוני ממשלת ארה"ב, מאז 2005 מתקפות תוכנת כופר עלו במספרן על פרצות מידע מקוונות.

אולי העובדה שבאופן מסורתי מתקפות כופר לא התבצעו בקנה מידה גלובלי עזרה להשאיר אותן מחוץ לתודעת הציבור הרחב. מתקפת WannaCry שינתה את כל זה. מתקפת WannaCry השפיעה על יותר מ-300,000 מחשבים בכל העולם ונכנסה לכותרות כשהפילה כמה מוסדות גדולים, כולל שירות הבריאות הלאומי של אנגליה (ה-NHS).

אם WannaCry הייתה מתקפת סייבר רחבת היקף מהסוג שיכול לגרום לעולם כולו להזדקף ולשים לב, הסימנים מראים שהיא עשויה לקבוע את פני הדברים שעתידים לבוא. כשהתולעים המשמשות להפצת תוכנות זדוניות הופכות למתוחכמות יותר ויותר והשיטות המשמשות להפצתן מתייעלות, הסבירות למתקפות גדולות יותר עולה.

במאמר זה נבחן את ההיסטוריה של תוכנות כופר ונעקוב אחר ההתפתחות שלהן, עד שהן הגיחו מהצללים כאחד מאיומי אבטחת הסייבר הגדולים ביותר של המאה ה-21. נמפה את התקריות הגדולות, את השיטות השונות שנמצאות בשימוש, את החידושים הגדולים שהובילו לאחרונה למבול של מתקפות גלובליות, לפני שנבחן מה אנחנו יכולים לצפות בעתיד.

מהי תוכנת כופר?

קודם כל, כמה הגדרות. תוכנת כופר נכנסת לקטגוריה של תוכנות זדוניות שנועדו במיוחד לרווח פיננסי. אבל בניגוד לווירוסים המשמשים למתקפות האקרים, תוכנות כופר לא נועדו להשיג גישה למחשב או למערכת IT על מנת לגנוב מידע. הן גם לא מבקשות להונות קורבנות ולגנוב מהם כסף, כפי שקרה עם מספר תוכנות אנטי-וירוס מזויפות שהשתמשו בהפחדה והונאות התחזות.

לרוע מזלם של הקורבנות, ההשפעות של תוכנות כופר ממשיות לגמרי.

תוכנת כופר עובדת על ידי הפרעה לפעולה של מערכת מחשוב שמוציאה אותה מכלל שימוש. לאחר מכן התוקפים שולחים הודעת כופר לבעלים, בה הם דורשים כסף בתמורה להפיכת השינויים.

רוב הדוגמאות לתוכנות כופר נכנסות לאחת משתי קטגוריות. יש תוכנות כופר עם וירוסים שיחסמו את הגישה של משתמש למכשיר שלו על ידי הקפאת המעבד, השתלטות על מערכת זיהוי המשתמש, או שיטה דומה. תוכנות כופר מסוג אחר, שמכונות לעתים "מתקפות הצפנה", מצפינות את כונני האחסון ואת התוכן שלהם, כך שבלתי אפשרי לפתוח תיקיות או קבצים או להריץ תוכנות.

ברוב המקרים, לאחר שמריצים קטע קוד של תוכנת כופר על המערכת, תישלח גם הודעת הכופר. היא עשויה להופיע על מסך המערכת החסומה, או במקרה של מתקפות הצפנה היא עשויה אפילו להישלח באימייל או בהודעה פרטית לקורבן.

פרהיסטוריה של תוכנות כופר

הסוס הטרויאני 'איידס'

התקרית הראשונה של תוכנת כופר שזכתה להכרה רחבה למעשה קודמת להופעת האיום המקוון שאנחנו מכירים כיום כמעט בשני עשורים. ב-1989 אקדמאי הרווארד בשם ג'וזף אל. פופ נכח בוועידה של ארגון הבריאות העולמי בנושא מחלת האיידס. כהכנה לוועידה, הוא יצר 20,000 דיסקטים לשליחה לנציגים, להם הוא נתן את הכותרת "מידע על איידס – דיסקטים למבוא".

מה שהנציגים התמימים לא ידעו הוא שהדיסקטים למעשה הכילו וירוס מחשב, שנותר חבוי על מחשב הקורבן לזמן מה לאחר הרצת שאר התוכן על הדיסקט. אחרי 90 אתחולים הווירוס נכנס לפעולה, הצפין במהרה קבצים, והחביא תיקיות. הודעה הוצגה ובה נאמר למשתמש שהמערכת שלו תוחזר לקדמותה לאחר שישלח $189 לתיבת דואר בפנמה.

החדשנות של דר' פופ הקדימה את זמנה, ויעברו עוד 16 שנה עד שמישהו יאמץ את רעיון תוכנת הכופר שלו וירוץ אתו בעידן האינטרנט. פופ עצמו נעצר, אבל מעולם לא הועמד לדין בגלל בריאותו הנפשית הלוקה.

2005: שנת האפס

עד שהופיעו הדוגמאות הבאות לתוכנות כופר, דר' ג'וזף אל. פופ כבר נשכח מזמן ועולם המחשוב עבר מהפכה בזכות האינטרנט. על כל מעלותיו, האינטרנט הפך את ההפצה של תוכנות זדוניות מכל סוג להרבה יותר קלה לעברייני סייבר, והשנים שעברו מאז אפשרו למתכנתים לפתח שיטות הצפנה הרבה יותר חזקות מאלה ששימשו את דר' פופ.

GPCoder

אחת הדוגמאות הראשונות לתוכנת כופר שהופצה אונליין הייתה הסוס הטרויאני GPCoder. היא זוהתה לראשונה ב-2005, ו-GPCoder הדביקה מערכות וינדוס שמה לה למטרה קבצים עם מגוון סיומות. לאחר שנמצאו, הקבצים הועתקו באופן מוצפן וקבצי המקור נמחקו מהמערכת. לא ניתן היה לקרוא את הקבצים המוצפנים החדשים, והשימוש בהצפנה חזקה מסוג RSA-1024 הבטיח שניסיונות לפענח אותם לא היו סבירים להצליח. הודעה הוצגה על מסך הבית של המשתמשים וכיוונה אותם לקובץ טקסט (.txt) שנוצר על שולחן העבודה שלהם, והכיל פרטים לגבי אופן תשלום הכופר וביטול הנעילה על הקבצים שהושפעו.

Archievus

באותה שנה ש-GPCoder זוהתה, עוד סוס טרויאני שהשתמש בהצפנת RSA מאובטחת של 1024 ביט נכנס לזירה. במקום להתמקד בקבצי הרצה מסוימים ובסיומות קבצים, Archievus פשוט הצפין את כל התוכן בתיקיית "המסמכים שלי" של הקורבן. מבחינה תיאורטית, זה אומר שהקורבן עדיין היה יכול להשתמש במחשב ובכל קובץ שנשמר בתיקיות אחרות. אבל מאחר שרוב האנשים אחסנו קבצים חשובים רבים, כולל מסמכי עבודה, בתיקיית "המסמכים שלי" כברירת מחדל, ההשפעה עדיין הייתה הרסנית.

כדי להיפטר מ-Archievus, הקורבנות הופנו לאתר שבו היה עליהם לרכוש סיסמה בת 30 ספרות – אין הרבה סיכוי לנחש סיסמה כזאת.

2009-2012: הכסף מתגלגל

לקח זמן מה עד שהצורות המקוונות האלה של תוכנות כופר תפסו תאוצה בעולם התחתון של פשעי הסייבר. התשואות מסוסים טרויאניים כמו GPCoder ו-Archievus היו נמוכות יחסית, בעיקר מפני שהיה קל לזהות ולהסיר אותם עם תוכנת אנטי-וירוס, מה שאומר שחיי המדף שלהם להכנסת רווחים היו קצרים.

באופן כללי, כנופיות הסייבר העדיפו להמשיך לפרוץ, להתחזות ולעבוד על אנשים אם הונאות זיוף אנטי-וירוס.

סימני השינוי הראשונים החלו להופיע ב-2009. באותה שנה, וירוס "הפחדה" ידוע שנקרא Vundo שינה טקטיקה והחל לפעול בתור תוכנת כופר. קודם לכן, Vundo הדביק מערכות מחשוב ואז הקפיץ את התראת האבטחה נגד עצמו, וכך הנחה משתמשים להתקנת תיקון מזויף. אבל ב-2009 אנליסטים הבחינו ש-Vundo החל להצפין קבצים על מחשבי הקורבנות ולמכור תוכנת נגד כדי לפענח אותם.

זה היה הסימן הראשון לכך שהאקרים התחילו לחוש שאפשר להרוויח כסף מתוכנות כופר. בתמיכת השגשוג של פלטפורמות תשלום מקוונות אנונימיות, גם נהיה קל יותר לקבל תשלומי כופר בקנה מידה גדול. בנוסף, כמובן, התחכום של תוכנות הכופר עצמן השתפר.

עד 2011 הטפטוף הפך לגשם זלעפות. ברבעון הראשון של אותה שנה זוהו 60,000 מתקפות כופר חדשות. ברבעון הראשון של 2012, המספר זינק ל-200,000. עד סוף 2012, חוקרים מתאגיד "סימנטק" העריכו שהשוק השחור של תוכנות הכופר הגיע לשווי של 5 מיליון דולר.

הסוס הטרויאני WinLock

ב-2011 הגיחה צורה חדשה של תוכנת כופר. הסוס הטרויאני WinLock נחשב לדוגמה הנפוצה הראשונה של מה שנודע בתור תוכנת כופר "נעילה". במקום להצפין קבצים על המכשיר של הקורבן, תוכנת נעילה הופכת את ההתחברות והכניסה למכשיר לבלתי אפשריות.

הסוס הטרויאני WinLock יצר טרנד של תוכנות כופר שהתחזו למוצרים מקוריים, והתכתבו עם הטקטיקה הישנה של תוכנות ההפחדה. התוכנה הדביקה מערכות וינדוס וחיקתה את מערכת "הפעלת מוצר" של וינדוס, וכך נעלה משתמשים מחוץ לחשבון עד שהם קנו מפתח הפעלה. כדי להוסיף טאץ' של חוצפה נועזת למתקפה, ההודעה שהוצגה על מסך ההפעלה המזויף למעשה אמרה לקורבנות שחשבון וינדוס שלהם דורש הפעלה מחדש בגלל הונאה, לפני שהנחתה אותם לבצע שיחה למספר בינלאומי כדי לפתור את הבעיה. מספר הטלפון נראה כמו מספר ללא תשלום, אבל למעשה גבה חשבון מנופח שכנראה נכנס לכיסיהם של הפושעים מאחורי התוכנה הזדונית.

התוכנות הזדוניות Reveton ו-"משטרה"

וריאציה על התמה של חיקוי מוצרי תוכנה כדי לרמות קורבנות ולגרום להם לשלם על מנויים מזויפים הייתה ההופעה של תוכנות כופר שכונו "משטרה". במתקפות האלה, התוכנה הזדונית הייתה מתקיפה מערכות נגועות בהודעות שטוענות שמקורן בסוכנויות אכיפת חוק וברשויות מדינה, ובהן הוצהר שנמצאו ראיות לכך שהמכשיר שימש לפעילויות בלתי חוקיות. המכשיר היה ננעל, כביכול "מוחרם", עד ששוחד או קנס כלשהו היה משולם.

הדוגמאות האלה הופצו לעתים קרובות דרך אתרי פורנוגרפיה, שירותי שיתוף קבצים, וכל פלטפורמת רשת אחרת שהייתה יכולה לשמש למטרות שעשויות להיות בלתי חוקיות. הרעיון היה ללא ספק להפחיד או לבייש קורבנות עד שישלמו את השוחד, לפני שהייתה להם הזדמנות לחשוב בהיגיון אם האיום להעמדה לדין הוא אמיתי או לא.

כדי שהמתקפות ייראו אותנטיות ומאיימות יותר, לעתים קרובות תוכנות "משטרה" היו מתאימות את עצמן לפי מיקום הקורבן, מציגות את כתובת ה-IP שלו, או במקרים מסוימים וידאו חי ממצלמת הרשת שלו, כרמיזה לכך שצופים עליו ומקליטים אותו.

אחת הדוגמאות הידועות ביותר לתוכנת משטרה נודעה בשם Reveton. בתחילה היא הופצה ברחבי אירופה, עד ששלוחות של Reveton הגיעו לתפוצה רחבה מספיק כדי להתחיל להופיע בארה"ב, שם נאמר לקורבנות שהם נתונים לפיקוח האף.בי.איי ומצווים לשלם "קנס" בסך $200 כדי לפתוח את המכשיר שלהם. התשלום נלקח דרך שירותי אסימון אלקטרוני משולם מראש כמו MonkeyPak ו-Ukash. הטקטיקה הזאת אומצה על ידי תוכנות משטרה אחרות, כמו Urausy ו-Kovter.

2013-2015: בחזרה להצפנה

במחצית השנייה של 2013 הופיעה גרסה חדשה של מתקפת הצפנה, שמתחה גבול חדש במאבק לאבטחת סייבר. CryptoLocker שינתה את חוקי המשחק לתוכנות כופר במספר דרכים. קודם כל, היא לא הטריחה את עצמה בטקטיקות ההונאה והמרמה של תוכנות הפחדה או תוכנות "משטרה". המתכנתים של CryptoLocker היו ישירים מאוד לגבי מעשיהם ושלחו הודעה בוטה לקורבנות, שכל הקבצים שלהם הוצפנו ויימחקו אם כופר לא ישולם תוך שלושה ימים.

שנית כל, CryptoLocker הראתה שכוחות ההצפנה שפושעי סייבר יכולים לנצל כעת היו חזקים באופן משמעותי מאלה שהיו זמינים כשמתקפת ההצפנה הראשונה יצאה לאור כמעט עשור קודם לכן. באמצעות שרתי C2 על הרשת החבויה Tor, המתכנתים של CryptoLocker הצליחו לייצר הצפנת מפתח ציבורי ופרטי מסוג RSA 2048-bit ולהדביק קבצים עם סיומות מסוימות. זה פעל בתור מלכוד כפול – כל מי שחיפש את המפתח הציבורי כבסיס לפענוח הקבצים נתקל בקושי רב, כי המפתחות היו מוסתרים ברשת Tor, בעוד שהמפתח הפרטי שהחזיקו המתכנתים היה חזק ביותר בפני עצמו.

דבר שלישי, שיטת ההפצה של CryptoLocker הייתה בגדר פריצת דרך. ההתפשטות החלה דרך הרובורשת (botnet) שנקרא Gameover Zeus, רשת של מחשבי "זומבי" נגועים ששימשה במיוחד להפצת תוכנות זדוניות דרך האינטרנט. זאת אומרת ש-CryptoLocker הייתה הדוגמה הראשונה לתוכנת כופר שהופצה דרך אתרים נגועים. אבל CryptoLocker הופצה גם באמצעות התחזות ממוקדת, ובפרט דרך אימיילים עם קבצים מצורפים שנשלחו לעסקים והתחזו לתלונה של לקוח.

כל התכונות האלה הפכו למאפיינים בולטים של מתקפות כופר מאז, בהשפעת ההצלחה של CryptoLocker. היא גבתה בכל פעם $300 כדי לשחרר מערכות נגועות, ועל פי הערכות, המפתחים שלה הרוויחו סכום קרוב ל-3 מיליון דולר.

בצלים וביטקוין

CryptoLocker יצאה ברובה מכלל פעולה ב-2014, כשרובורשת Gameover Zeus הושבת, אבל עד אז שפע של חקיינים היו מוכנים להרים את הכפפה. CryptoWall הייתה המשמעותית מכולן, והפעילה את אותה הצפנת RSA עם מפתח ציבורי-פרטי, שיוצרה מאחורי המסך של רשת Tor והופצה באמצעות תרגילי התחזות.

"נתב הבצל", או בשמו הנפוץ Tor (The Onion Router), החל למלא תפקיד גדול יותר ויותר בפיתוח ובהפצה של תוכנות כופר. שמו נובע מהאופן שבו הוא מנתב תעבורת אינטרנט, דרך רשת עולמית מורכבת של שרתים, שהמבנה שלה מזכיר שכבות של בצל. Tor הוא פרויקט אנונימיות שהוקם כדי לעזור לאנשים לשמור על פרטיות הפעילות שלהם ברשת. לרוע המזל, הוא משך פושעי סייבר שרצו לשמור על הפעילות שלהם חבויה מעיני החוק, וזה התפקיד שקיבל Tor בהיסטוריה של תוכנות הכופר.

CryptoWall גם העניקה משנה תוקף לתפקיד המתרחב שביטקוין מילא במתקפות תוכנת כופר. עד שנת 2014, המטבע המבוזר הפך לאמצעי התשלום המועדף. אשראי אלקטרוני משולם מראש היה אנונימי, אבל היה קשה לפדות אותו ללא הלבנת כספים, בעוד שבביטקוין אפשר היה להשתמש אונליין כמו מטבע רגיל לסחר ישיר.

ב-2015, הערכות גרסו ש-CryptoWall לבדה גרפה 325 מיליון דולר.

מתקפות אנדרואיד

עוד צעד משמעותי בסיפור של תוכנות הכופר היה פיתוח של גרסאות שהתמקדו במכשירים ניידים. הן כוונו באופן בלעדי למכשירי אנדרואיד בהתחלה, תוך ניצול הקוד הפתוח של מערכת ההפעלה.

הדוגמאות הראשונות הופיעו ב-2014 והעתיקו את הפורמט של תוכנות "משטרה". Sypeng, שהדביקה מכשירים דרך הודעה מזויפת לעדכון תוכנת Adobe Flash, נעלה את המסך והציגה הודעה מהבהבת מזויפת של האף.בי.איי שדרשה $200. Koler היה וירוס דומה, שראוי לציון בשל היותו אחת הדוגמאות הראשונות של תולעת כופר, פיסה של תוכנה זדונית שמשכפלת את עצמה ויוצרת נתיבי הפצה משלה. Koler שלחה אוטומטית הודעה עם קישור להורדת התולעת לכל אנשי הקשר שהיו שמורים על המכשיר נגוע.

למרות שמה, SimpleLocker הייתה זן מוקדם של מתקפת הצפנה למכשירים ניידים, כשרוב השאר הגיעו בצורת מתקפות נעילה. עוד חידוש שהגיע עם תוכנות הכופר לאנדרואיד היה התופעה של ערכות "עשה זאת בעצמך", ערכות שפושעי סייבר לעתיד יכלו לקנות ברשת ולהגדיר בעצמם. אחת הדוגמאות המוקדמות הייתה ערכה שהתבססה על הסוס הטרויאני Pletor ונמכרה ברשת עבור $5000.

2016: האיום מתפתח

2016 הייתה שנה משמעותית לתוכנות כופר. צורות הפצה חדשות, פלטפורמות חדשות, וסוגים חדשים של תוכנות זדוניות, התלכדו יחד ליצירת איום עם התפתחות רצינית שהכשיר את הקרקע למתקפות הגלובליות הגדולות שבאו בעקבותיו.

ההתפתחות של CryptoWall

בניגוד לדוגמאות רבות של תוכנות כופר, שנהנות מרגע של תהילה ואז מנוטרלות על ידי תיקון כזה או אחר, האיום של CryptoWall מעולם לא נעלם. CryptoWall התפתחה לאורך 4 גרסאות מובהקות, והייתה חלוצה של טכניקות שחוקו אחר כך על ידי תוכנות כופר אחרות, כמו השימוש בערכי מפתח רישום (קובץ ה-registry של מערכת ההפעלה) כך שהתוכנה הזדונית נטענת בכל אתחול של המכשיר. זה חכם מפני שתוכנה זדונית לא תמיד מופעלת מיד, אלא מחכה עד שהיא תוכל להתחבר לשרת מרוחק המכיל את מפתח ההצפנה. טעינה אוטומטית עם אתחול המכשיר מגדילה את הסיכוי שזה יקרה.

Locky

עם ההפצה האגרסיבית שלה המבוססת התחזות, Locky יצרה תקדים לתוכנות כמו WannCry בעצם המהירות וקנה המידה של ההפצה שלה. בשיאה, דווח שהיא הדביקה עד 100,000 מערכות חדשות ביום, והשתמשה במערכת הזכיינות ששימשה במקור את ערכות הפיתוח של אנדרואיד, כדי לתמרץ עוד ועוד פושעים להצטרף להפצה שלה. היא גם בישרה על בואה של מתקפת WannaCry בכך שהתמקדה בספקי שירותי בריאות, כשהיוזמים שלה עלו על העובדה ששירותים ציבוריים חיוניים משלמים כופר מהר יותר כדי שהמערכות שלהם ישובו לפעולה.

ריבוי פלטפורמות

2016 גם חזתה בהגעתו של קוד תוכנת הכופר הראשון שהשפיע על מערכות מקינטוש. KeRanger הייתה זדונית במיוחד, כי היא הצליחה להצפין גיבויי "מכונת זמן" בנוסף לקובצי מק רגילים, וכך התגברה על היכולת הרגילה של מחשבי מק לחזור לגרסאות קודמות בכל פעם שצצה בעיה.

זמן קצר לאחר KeRanger הופיעה תוכנת הכופר הראשונה שמסוגלת להשפיע על מספר מערכות הפעלה. Ransom32 תוכנתה ב-JavaScript והייתה מסוגלת, בתאוריה, להשפיע על מכשירים מבוססי וינדוס, מק או לינוקס.

איום על נקודות תורפה ידועות

הכינוי "ערכות ניצול" ניתן לפרוטוקולים למסירת תוכנות זדוניות שהתמקדו בנקודות תורפה ידועות במערכות תוכנה פופולריות על מנת להשתיל וירוסים. ערכת Angler היא דוגמה לערכה כזאת ששימשה למתקפות כופר כבר ב-2015. ב-2016 חלה עליית מדרגה, עם מספר וירוסים ידועים של תוכנות כופר שהתמקדו בפרצות ב-Adobe Flash וב-Silverlight של מייקרוסופט – אחת מהן הייתה CryptoWall 4.0.

תולעי הצפנה

בהמשך להמצאת וירוס Koler, תולעי הצפנה נכנסו למיינסטרים של תוכנות הכופר ב-2016. דוגמה אחת הייתה תולעת ZCryptor, שדווחה לראשונה על ידי מייקרוסופט. בהתחלה היא הופצה דרך מתקפות ספאם מתחזה, ו-ZCryptor יכלה להתפשט אוטומטית דרך מכשירים מקושרים על ידי שכפול עצמי והרצה עצמית.

2017: שנת הפריצה של תוכנות הכופר

בהתחשב בהתקדמות המואצת בתחכום ובקנה המידה של מתקפות כופר ב-2016, אנליסטים רבים מתחום אבטחת הסייבר האמינו שזה רק עניין של זמן עד שתקרית גלובלית באמת תתרחש, שתשתווה בגודלה למתקפות ההאקינג ופרצות המידע הגדולות ביותר. WannaCry איששה את החששות האלה ויצרה כותרות מסביב לעולם. אבל WannaCry רחוקה מלהיות תוכנת הכופר היחידה שאיימה על משתמשי מחשב באותה השנה.

WannaCry

ב-12 במאי 2017, תולעת הכופר שתתפרסם בכל העולם תחת השם WannaCry תקפה את הקורבנות הראשונים שלה בספרד. תוך מספר שעות, היא התפשטה למאות מחשבים בעשרות מדינות. כמה ימים לאחר מכן, סך המחשבים הגיע ליותר מרבע מיליון, מה שהפך את WannaCry למתקפת הכופר הגדולה ביותר בהיסטוריה והבטיח שכל העולם זקף אוזניים קשובות לאיום הזה.

השם WannaCry הוא קיצור ל-WannaCrypt, שמתייחס לעובדה שזוהי תוכנת הצפנה. ליתר דיוק זו תולעת הצפנה, שמסוגלת להשתכפל ולהתפשט אוטומטית.

מה שהפך את WannaCry ליעילה כל-כך, ולמזעזע כל-כך בעיני הציבור הרחב, היה אופן ההתפשטות שלה. לא היו הונאות התחזות, לא הורדות מאתרי רובורשת נגועים. במקום זאת, WannaCry סימנה פרק חדש לתוכנות כופר והתמקדה בנקודות תורפה ידועות על מחשבים. היא תוכנתה לסרוק את הרשת ולחפש מחשבים שמריצים גרסאות ישנות יותר של וינדוס סרבר – שהייתה עם פגם אבטחה ידוע – ולהדביק אותם. ברגע שהיא הדביקה מחשב אחד ברשת, היא חיפשה במהירות אחרים עם אותו פגם והדביקה גם אותם.

כך WannaCry התפשטה בכזאת מהירות, והייתה יעילה במיוחד בהתקפת מערכות של ארגונים גדולים, כולל בנקים, רשויות תעבורה, אוניברסיטאות ושירותי בריאות ציבוריים, כמו שירות הבריאות הלאומי של אנגליה. זאת גם הייתה הסיבה שהיא תפסה כותרות רבות כל-כך.

אבל מה שזעזע אנשים רבים הייתה העובדה שנקודות התורפה ש-WannaCry ניצלה בווינדוס למעשה זוהו על ידי הסוכנות לביטחון לאומי של ארה"ב (ה-NSA) לפני שנים. אבל במקום להזהיר את העולם לגביהן, ה-NSA שמרו על שתיקה ופיתחו קוד משלהם כדי לנצל את נקודת התורפה בתור נשק סייבר. למעשה, WannaCry נבנתה על גבי מערכת שפותחה על ידי סוכנות ביטחון מדינית.

Petya

בצמוד לעקביה של WannaCry, מתקפת כופר בין-יבשתית נוספת השביתה אלפי מחשבים בכל קצווי תבל. היא נודעה בשם Petya, והדבר הכי מדהים לגבי המתקפה הזאת היה שהיא השתמשה בדיוק באותה פרצה בווינדוס סרבר ש-WannaCry ניצלה, והוכיחה כמה חזק עשוי היה להיות נשק הסייבר שתכננו ב-NSA. היא גם הראתה, למרות התיקון שהופץ בעולם בעקבות מתקפת WannaCry, כמה קשה לגרום למשתמשים להתקין עדכוני אבטחה באופן שוטף.

LeakerLocker

כמעין סימן לנזילוּת הגדולה של איום תוכנות הכופר, אחת המתקפות הגדולות האחרונות שהגיעו לכותרות חוזרת לימים של תוכנות הפחדה וטקטיקות סחיטה, אבל עם טוויסט עדכני. LeakerLocker התמקדה במכשירי אנדרואיד ואיימה לשתף את כל התוכן על המכשיר הנייד של המשתמש עם כל רשימת אנשי הקשר שלו. אז אם היה שמור לכם על הטלפון משהו מביך או מפליל, כדאי היה שתשלמו, או שכל החברים, הקולגות וקרובי המשפחה שלכם יוכלו בקרוב לראות מה יש לכם להסתיר.

מה צופן העתיד לתוכנות כופר?

בהתחשב בצמיחה המעריכית ברווחים שעברייני סייבר הצליחו לגרוף מתוכנות כופר, אפשר להניח שנשמע עליהן הרבה יותר בעתיד. העובדה ש-WannaCry הצליחה לשלב טכנולוגיית תולעת שמשכפלת את עצמה עם התמקדות בנקודות התורפה הידועות של המערכת כנראה קבעה תקדים לאופיין של מרבית המתקפות בעתיד הקרוב. אבל יהיה נאיבי להאמין שמפתחי תוכנות כופר לא חושבים קדימה כבר עכשיו, ומפתחים דרכים חדשות להדביק, להפיץ ולהפיק רווחים מהתוכנות הזדוניות שלהם.

אז למה אנחנו יכולים לצפות?

אחד החששות הגדולים הוא האפשרות שתוכנות כופר יתחילו להתמקד במכשירים דיגיטליים מלבד מחשבים ומכשירי סמארטפון. ככל ש"האינטרנט של הדברים" צובר תאוצה, יותר ויותר ציוד כללי שמשמש אותנו בחיי היומיום נהפך לדיגיטלי ומחובר לאינטרנט. זה יוצר שוק חדש וענקי לפושעי סייבר, שעשויים לבחור להשתמש בתוכנות כופר כדי לנעול בעלי רכב מחוץ למכוניות שלהם או לכוון את התרמוסטט של מערכת המיזוג המרכזית בבתים לטמפרטורות מקפיאות אלא אם משלמים כופר. מהבחינה הזאת, היכולת של תוכנות כופר להשפיע ישירות על חיי היומיום שלנו רק תגדל.

עוד אפשרות היא שתוכנות כופר יפסיקו להתמקד במכשירים בודדים ובמשתמשים שלהם. במקום לשים למטרה את הקבצים המאוחסנים על מחשב אחד, יתכן שתוכנת כופר תשתמש בהזרקות SQL כדי להצפין מאגרי נתונים שלמים השמורים על שרת רשת. התוצאות יהיו קטסטרופליות – כל התשתית של ארגון גלובלי תוכל להשתבש במהלך אחד, או ששירותי אינטרנט מלאים יושבתו, ומאות אלפי משתמשים יושפעו.

לא משנה איך הן יתפתחו, כדאי שנתכונן לכך שתוכנות כופר יהיו איום סייבר גדול בשנים שיבואו. אז שימו לב אילו אימיילים אתם פותחים, באילו אתרים אתם מבקרים, ותדאגו להתקין עדכוני אבטחה, או שגורלכם עשוי להיות זהה לגורל של קורבנות מתקפות הכופר שבאו לפניכם.

האם VPN יכול למנוע מתקפות כופר?

על אף ששימוש ב-VPN לא יכול להגן עליכם מפני מתקפות תוכנה זדונית, הוא כן מגביר את רמת האבטחה של המערכת שלכם והופך אותה לבטוחה יותר. יש יתרונות רבים לשימוש ב-VPN.

  • כשמשתמשים ב-VPN, כתובת ה-IP מוסתרת וניתן לגשת לרשת באנונימיות. כך קשה יותר ליוצרי תוכנות זדוניות להתמקד במחשב שלכם. לרוב הם מחפשים משתמשים פגיעים יותר.
  • כשמשתפים מידע או ניגשים אליו ברשת באמצעות VPN, המידע הזה מוצפן ונשאר ברובו מחוץ להישג ידם של יצרני תוכנות זדוניות.
  • שירותי VPN אמינים יכולים גם לחסום כתובות URL מפוקפקות.

בזכות הגורמים האלה, השימוש ב-VPN ישמור עליכם בטוחים יותר מתוכנות זדוניות, הכוללות גם תוכנות כופר. יש הרבה שירותי VPN לבחירה. תוודאו שאתם רוכשים מנוי לספקית VPN בעלת מוניטין טוב ועם המומחיות הדרושה בתחום אבטחת רשת.

אם אתם מחפשים שירות VPN, בדקו את שירותי ה-VPN המומלצים ביותר של משתמשים אמינים שלנו.

האם זה היה מועיל? שתף את זה!