דוח חדש של Sophos מנתח את כופרת Matrix וקובע: הטרנד של כופרות ממוקדות ממשיך.
עיקר הממצאים:
- Sophos גילתה 96 דוגמאות ל- Matrix במרחב הרשת, עם גרסאות חדשות יותר שיכולות לסרוק ולמצוא קורבנות פוטנציאליים ברגע שנכנסו לרשת.
- דרישת הכופר היא במטבעות קריפטו באופן שווה ערך לדולר אמריקאי, בין היתר על מנת להתגבר על התנודתיות בערך מטבעות הקריפטו.
- דרישות כופר הגיעו עד 2,500 דולר אמריקאי, אבל התוקפים צמצמו את הכופר כאשר חוקרי SophosLabs הפסיקו להגיב לדרישות.
- אמצעי הגישה העיקרי של התוקפים הוא דרך פיירוולים בהם מופעל Remote Desktop Protocol.
Matrix (מטריקס), כופרה הפועלת משנת 2016
Sophos גילתה 96 דוגמאות במרחב הרשת. כמו כופרות ממוקדות קודמות, כולל BitPaymer, Dharma ו- SamSam, התוקפים שמדביקים מחשבים עם Matrix פרצו לרשתות הארגון והדביקו את המחשבים באמצעות (Remote Desktop Protocol (RDP, כלי גישה מרחוק שנמצא בילט-אין במחשבי Windows. יחד עם זאת, שלא כמו משפחות כופרות אחרות אלו, Matrix מתמקדת רק במכונה אחת ברשת במקום להתפשט באופן נרחב בארגון.
בדוח האחרון שלהן, מעבדות SophosLabs הנדסו לאחור את הקוד והטכניקות, אשר מיושמים על ידי התוקפים, וכמו גם את השיטות ומכתבי הכופר ששימשו על מנת לסחוט כספים מהקורבנות. פושעי ה- Matrix פיתחו את הפרמטרים של ההתקפה שלהם לאורך זמן עם קבצים וסקריפטים חדשים שנוספו על מנת לפרוס משימות שונות ותוצאות הרסניות שונות ברשת.
מכתבי הכופר של כופרת ה- Matrix מוטמעים בקוד ההתקפה, אבל הקורבנות לא יודעים כמה הם צריכים לשלם עד שנוצר קשר עם התוקפים. במשך רוב תקופת הקיום של Matrix, הכותבים השתמשו בשירות הודעות מידיות מוצפן שנקרא bitmsg.me, אבל שירות זה הופסק כעת והכותבים עברו לשימוש בחשבונות אימייל רגילים.
הסחטנים מתעקשים לקבל את הכופר במטבעות קריפטו
השחקנים מאחורי Matrix דורשים כופר במטבעות קריפטו באופן שיהיה שווה ערך לדולר אמריקאי. זהו דבר בלתי רגיל שכן דרישות למטבעות קריפטו מגיעות בדרך כלל עם ערך ספציפי של מטבעות קריפטו ולא כשווה ערך לדולר.
זה לא ברור האם דרישת הכופר היא ניסיון ישיר להנחיה מוטעית או רק ניסיון להתגבר על התנודתיות הפראית של ערך הסחר של מטבעות הקריפטו. בהתבסס על תקשורת ש- SophosLabs ערכה עם התוקפים, דרישות הכופר הגיעו ל- 2,500 דולר אמריקאי, אבל התוקפים בסופו של דבר צמצמו את הכופר כאשר החוקרים הפסיקו להגיב לדרישות.
Matrix היא כמו האולר השוויצרי של עולם הכופרות, עם גרסאות חדשות יותר שיכולות לסרוק ולמצוא קורבנות פוטנציאליים ברגע שנכנסו לרשת. למרות נפח הדוגמאות הקטן, זה לא הופך את הכופרה לפחות מסוכנת. Matrix מתפתחת וגרסאות חדשות מופיעות ככל שהתוקף משתפר עם לקחים שנלמדו מכל התקפה.
המלצות ליישום מידי
Sophos ממליצה ליישם את חמשת האמצעים הבאים באופן מידי:
- הגבילו גישה ליישומים בשליטה מרחוק דוגמת (Remote Desktop (RDP ו- VNC.
- סריקות מלאות שגרתיות לפגיעויות ומבחני חדירה לאורך הרשת. אם לא ערכתם דוחות מבחני חדירה לאחרונה, עשו זאת עכשיו. אם לא תענו לעצות שנותן לכם בודק החדירות שלכם, פושעי הסייבר ינצחו.
- אותנטיקציה מולטי-פקטוריאלית למערכות פנימיות רגישות, אפילו עבור עובדים ב- LAN או VPN.
- יצרו גיבויים שהנם offline ו- offsite ופתחו תכנית התאוששות מאסון שמכסה את שחזור המידע והמערכות של כל הארגונים, כולם באותו זמן.
- השתמשו באמצעי הגנה מתקדמים בעלי יכולות טיפול באיומי כופר, הן בהגנה על תחנות הקצה והשרתים והן בהגנה על שער הארגון.
למידע נוסף ובדיקות עובדות, בקרו בדוח המלא:
Matrix: A Low-Key Targeted Ransomware report by Sophos
תגובה
ארז תמיר
קודם כל גיבוי קבוע