Phone: (+972)77-5509948 יצירת קשר

מתקפת כופר בשם ארנה ARENA

במהלך 4 השנים האחרונות עסקים בישראל חווים גל אחרי גל של התקפות כופר באמצעות פרוטוקול RDP לחיבור מרחוק.

הוצאנו כבר מספר עדכונים בנושא, אך נראה שעדיין בכל סוף שבוע מותקפות חברות שמשאירות את חיבור ה RDP פתוח לחיבור מרחוק.

הגל האחרון שתקף היה של נוזקת כופר ותיקה בשם Crysis, שבגרסה החדשה שלה משנה את סיומת הקבצים ל arena.

מדובר בגרסה חדשה של Crysis שעדיין לא קיים עבורה כלי שמסוגל לפתוח את ההצפנה.

כאשר מתבצעת התקפה דרך פרוטוקול RDP על עסק, מנסים התוקפים להתחבר באמצעות יישום של פירצת אבטחה בפורטוקול RDP – במקרה ולא בוצעו עדכוני מיקרוסופט רלוונטיים, לא יהיה אפילו צורך לתוקפים לפרוץ את הסיסמה.

במידה וקיימים עדכוני האבטחה של מיקרוסופט, ינסו התוקפים לפרוץ את הסיסמה באמצעות התקפת Bruteforce אשר עושה שימוש בטבלאות המכילות עשרות אלפי צירופים אפשריים של סיסמאות.

חשוב להבין – כאשר התוקף מקבל גישה לשרת עם הרשאות מנהל של הדומיין, הוא יכול להסיר תוכנות אבטחה כמו אנטי וירוס או מערכות DLP ואז להפעיל את נוזקת הכופר בצורה ידנית.

גם אם התוקף לא הסיר את תוכנות האבטחה, והוא מריץ את הליך ההצפנה של הקבצים באמצעות תוכנה לגיטימית כמו כלי ההצפנה המובנה של Windows, כלומר ללא שימוש בקוד זדוני, מבחינת תוכנות האבטחה מדובר בפעולה לגיטימית.

לכן כאשר מתבצעת התקפת RDP שמפעילה כופר ברשת, תוכנות אנטי וירוס לא יוכלו לחסום אותה.

חשוב לעקוב אחר ההמלצות שלנו לאבטחת הרשת בפני התקפות כופר דרך RDP.

ההמלצות מסודרות על פי סדר, מהמומלצת ביותר עד להכי פחות מומלצת:

• נטרלו את פרוטוקול ה RDP בחיבור מחוץ לרשת – הדרך הטובה ביותר להתגונן בפני פריצה לרשת דרך RDP היא כמובן סגירה שלו. ניתן להשתמש בתוכנות חלופיות לחיבור מרחוק כאשר הצורך עולה.

• הגדירו חיבור VPN מחוץ לרשת – אם בכל זאת יש תוכנות או שירותים שדורשים חיבור ב RDP, ניתן להגדיר VPN שיש להתחבר אליו קודם לחיבור ב RDP מחוץ לרשת.

• הגדירו חיבור באמצעות 2FA – חיבור באמצעות אימות דו שלבי מונע התקפות brute force על הסיסמה של ה RDP.

• אבטחו את נקודות החיבור – חשוב לשלוט באבטחה של המחשבים שמאופשרים לחיבור

• הקשיחו את אבטחת ה RDP , אבל חשוב להבין שגם הקשחה אינה מונעת פריצה אבל בהחלט מפחיתה את הסיכון.

במידה ועדיין עובדים עם RDP – מספר אמצעים להקשחת החיבור:

• הגדרת סיסמה מורכבת – בעלת לפחות 13 תווים שמורכבים מאותיות קטנות וגדולות, מספרים ותווים מיוחדים.

• החלפת הפורט ברירת המחדל 3389 – ניתן להחליף בחומת האש את חיבור ה RDP לפורט הגבוה מ 50,000 על מנת להקשות על סריקת הפורטים.

• הגדרת כתובות IP מהן מותר החיבור – ניתן להגדיר בחומת האש כתובות IP אשר רק מהן יתאפשר חיבור RDP, כמובן שיש לקחת בחשבון שמשתמשים ביתיים הם לא בעלי כתובות IP קבועות.

• הגדרת מדיניות – ניתן להגדיר מקומית בשרת או באמצעות GPO לכל המשתמשים ברשת חסימת משתמש לאחר מספר נסיונות חיבור כושלים ברצף.