סופוס עוקבת אחר האבולוציה של WannaCry – מטורף מסוכן למנגנון חיסון עצמי

sophos

סופוס (Sophos), מובילה גלובלית באבטחת נקודות קצה ורשתות, פרסמה את WannaCry Aftershock, דוח המסכם את הידוע עד כה על הקוד הזדוני הידוע לשמצה WannaCry שהתגלה לראשונה בהתקפה גלובלית שהחלה ב-12 במאי, 2017. המחקר שביצעה SophosLabs מראה כי WannaCry לא נעלם, והוא עדיין טורף מסוכן האחראי על מיליוני ניסיונות הדבקה מדי חודש. עוד מגלה הדוח כי בעוד שהקוד הזדוני המקורי לא התעדכן עד היום, אלפי גרסאות אחרות, בעלות חיי מדף קצרים, מסתובבות בשטח.

הקיום המתמשך של איום WanaaCry מיוחס בעיקר הודות ליכולת של הגרסאות החדשות שלו לעקוף את "מתג החיסול". עם זאת, כאשר חוקרי סופוס ניתחו והפעילו מספר דוגמיות, הם גילו כי נוטרלה היכולת שלהן לבצע הצפנה של נתונים כתוצאה מהשחתה של הקוד.

כתוצאה מהדרך שבה WannaCry מדביק קורבנות חדשים – הוא בודק האם מחשב כבר הודבק, ואם כן, הוא ממשיך למטרה הבאה – הדבקה של מכשיר בקוד שאינו פעיל משמשת למעשה כאמצעי הגנה על המכשיר מפני הדבקה נוספת. באופן זה, הגרסאות החדשות של הקוד הזדוני פועלות כחיסון בלתי מכוון, כשהן מאפשרות למחשבים פגיעים ושאינם מעודכנים סוג של הגנה מפני התקפות חוזרות מצד אותו קוד זדוני.

עם זאת, העובדה כי מחשבים אלה הודבקו מלכתחילה, מצביעה על כך כי לא בוצע במחשבים עדכון אבטחה מפני כלי הפריצה המרכזי שמשמש בהתקפות WannaCry – עדכון שפורסם כבר לפני יותר משנתיים.

WannaCry המקורי זוהה רק 40 פעמים, ומאז חוקרי מעבדת סופוס זיהו 12,480 גרסאות של הקוד המקורי. בחינה מקיפה יותר של יותר מ- 2,700 דוגמיות (המהוות 98% מכלל הזיהויים) חושפת כי כולן שוכללו כדי לעקוף את "מתג החיסול" – URL ספציפי שאם הקוד הזדוני מתחבר אליו הוא מסיים באופן אוטומטי את תהליך ההדבקה. בכולם היה גם רכיב תוכנת כופר, ואף אחד מהם אינו מסוגל להצפין נתונים.

באוגוסט 2019, נתוני טלמטריה של סופוס זיהוי 4.3 מיליון מופעים של WannaCry. מספר הגרסאות השונות שנצפו עמד על 6,963. מתוכן, 80% היו קבצים חדשים.

חוקרי Sophos הצליחו להתחקות אחר ההופעה הראשונה של הגרסה הנפוצה ביותר כיום, אשר התרחשה רק יומיים אחר ההתקפה המקורית: 14 במאי, 2017. היא הועלתה ל- VirusTotal, ועדיין לא נצפתה בשטח.
"ההתפרצות של WannaCry ב-2017 שינתה לעד את אופק האיומים. המחקר שלנו ממחיש את מספר המחשבים שעדיין לא הותקנו עליהם עדכונים. ואם עדיין לא התקנתם עדכונים שפורסמו לפני יותר משנתיים, מה זה אומר לגבי עדכונים אחרים שפורסמו במהלך השנתיים האחרונות? במקרה הזה, כנראה שלחלק מהקורבנות היה מזל, מכיוון שגרסאות קודמות של הקוד הזדוני חיסנו אותם מפני גרסאות חדשות יותר. אבל לאף ארגון אסור להסתמך על כך. במקום זאת, ההתנהלות הבסיסית צריכה לכלול מדיניות של התקנת עדכונים ברגע שהם מתפרסמים, ולכלול הפעלה של פתרון אבטחה חזק המגן על כל נקודות הקצה, הרשתות והמערכות", אמר פיטר מקנזי, מומחה אבטחה בסופוס ומוביל המחקר.

כיצד להגן מפני הקוד הזדוני WannaCry ותוכנות כופר -
בדקו כי אתם מודעים לכל המכשירים המחוברים לרשת שלכם וכי בכולם בוצעו עדכוני תוכנות אבטחה
התקינו תמיד את העדכונים החדשים כאשר הם מתפרסמים, בכל המכשירים ברשת

וודאו כי המחשבים מעודכנים מפני כלי הפריצה Eternal Blue המשמש את WannaCry. עקבו אחר ההוראות הבאות: How to Verify if a Machine is Vulnerable to EternalBlue - MS17-010
בצעו גיבויים קבועים של הנתונים החשובים ביותר אל מכשירי אחסון מנותקים מהרשת. זו הדרך הטובה ביותר כדי להימנע מתשלום כופר כאשר נדבקים בתוכנת כופר.

אין פתרון אבטחה אחד שמגן על הכל. מודל אבטחה שכבתי הוא ההמלצה הטובה ביותר לעסקים וארגונים.
לדוגמא, Sophos Intercept X מספק הגנת עומק מקיפה בנקודות הקצה, כשהוא משלב מספר טכניקות הדור הבא לזיהוי קוד זדוני, הגנה מפני כלי פריצה, והגנה ותגובה מובנים עבור נקודות קצה (EDR)

About Sophos
As a worldwide leader in next-generation cybersecurity, Sophos protects nearly 400,000 organizations of all sizes in more than 150 countries from today’s most advanced cyberthreats. Powered by SophosLabs – a global threat intelligence and data science team – Sophos’ cloud-native and AI-enhanced solutions secure endpoints (laptops, servers and mobile devices) and networks against evolving cybercriminal tactics and techniques, including automated and active-adversary breaches, ransomware, malware, exploits, data exfiltration, phishing, and more. The award-winning Sophos Central cloud-based platform integrates Sophos’ entire portfolio of best-of-breed products, from the Intercept X endpoint solution to the XG Firewall, into a single system called Synchronized Security. Sophos products are exclusively available through a global channel of more than 47,000 partners and Managed Service Providers (MSPs). Sophos also makes its innovative commercial technologies available to consumers via Sophos Home. The company is headquartered in Oxford, U.K., and is publicly traded on the London Stock Exchange under the symbol “SOPH.” More information is available at www.sophos.com.