תארו לעצמכם מצב שבו אתם נעולים מחוץ לבית, כשארגון פשע מחזיק במפתחות שלכם ומוכן להחזיר לכם אותם רק אם תשלמו דמי כופר של כמה מאות דולרים. הוא לא מאיים לגנוב משהו או לפגוע בכם פיזית, אלא מונע מכם גישה לנכס הפרטי שלכם ולרכוש שנמצא בו, אלא אם תשלמו לו סכום של כמה אלפי שקלים. לא יותר. מצב די מלחיץ ומתסכל.
זה בדיוק מה שקורה בשבועות האחרונים לישראלים לא מעטים - אבל ברמה הווירטואלית. בתקופה האחרונה משתוללת בישראל מתקפת תוכנות כופר קשה וכואבת במיוחד. בבסיסן, אלו תוכנות וירוס, שאינן שונות מהותית מכל וירוס אחר המוחדר למחשב, אך פגיעתן של תוכנות הכופר מפחידה וחמורה פי כמה; היא גם מחייבת מעורבות של המשתמש בניהול המשבר וגוררת תסכול.
"בוקר בהיר אחד ניסיתי להגיע לאיזה קובץ במחשב, ולא הצלחתי למצוא אותו. זה היה נראה מוזר, כי רק אתמול קיבלתי את הקובץ במייל", מספר ירון, בעל עסק קטן מאזור המרכז. "ואז, תוך כדי שאני מנווט בקבצים, אני רואה שכל הקבצים שלי שינו את שמם ועכשיו הם רצפים של אותיות ומספרים. בנוסף, ראיתי בכל תיקייה קובץ JPEG, קובץ תמונה, שכשאני פותח אותה - אני מקבל הנחיות, להגיע לכתובת אינטרנט מסוימת כדי לפתוח את הקבצים שלי. אני מפעיל חברת לואו-טק, עוסק בסחר במוצרים פיזיים - וכמובן שאני עובד עם מחשב וקבצים. לכן בהתחלה לא נלחצתי, לקחתי את הזמן. התקשרתי לחבר ודרכו הגעתי למומחה בתחום אבטחת המידע. בסוף הוא אמר לי: 'או שתשלם את הכופר, או שתיפרד מהקבצים'".
כאן המקום לציין שעבור שחרור הקבצים, תוכנת הכופר דרשה מירון סכום שווה ערך ל-500 דולר, שישולם במטבע ביטקוין - מטבע מבוזר שמקשה מאוד על יכולתם של גורמי האכיפה להתחקות אחר מקבל הכסף.
עוד ב-TheMarker
המשטרה חסרת אונים
ירון לא מיהר לשלם: "הלכתי למשטרה. זה היה יום שישי, אז אמרו לי 'תבוא ביום ראשון'. ביום ראשון נסעתי כבר לסניף המשטרה בתלפיות, שם יושבת המחלקה לפשעי מחשב. שם פחות או יותר אמרו לי: 'למה באת בכלל', והודיעו לי שזאת כמובן החלטה שלי אם לשלם או לא, אבל התלונה שהגשתי הולכת למגירה".
בצר לו, החליט ירון לשלם, לא בלי חשש: "לא היה מושג אם התשלום ישחרר את הקבצים או לא", הוא מסביר. "תורת המשחקים אומרת שהם כן ישחררו, בשביל המקרים הבאים, אבל לך תדע. אמרתי על החיים ועל המוות, כי בסוף לא היו לי הרבה אלטרנטיבות".
ואולם גם כשמחליטים לשלם, זה לא טריוואלי: "מהרגע שנכנסתי לאתר שלהם, התחיל שעון חול של שבוע לתשלום, שלאחריו המחיר עולה ל-1,000 דולר. נכנסתי לאתר שממיר שקל לביטקוין, חברה ישראלים בשם ביטס אוף גולד (Bits of Gold), ומסתבר שזה כל כך שכיח - שיש להם תעריף מוזל למי שנפגע מתוכנת כופר. הבעיה היא שבגלל המבנה של הביטקוין, שהוא חייב להסתנכרן עם כל ההיסטוריה של הביטקוין אי פעם, לקח ארבעה ימים רק עד שהארנק הסתנכרן. בסוף הצלחתי לשלם ארבע שעות לפני הדד-ליין. הקבצים נפתחו. מבחינת מס, אני מתייחס להוצאה כאל גניבה לכל עניין ודבר.
"בעצם זה עלה לי הרבה יותר מ-500 דולר", מסכם ירון את החוויה הלא נעימה, "כי לא רק ששילמתי להם, גם החלפתי את האנטי-וירוס החינמי שלי בתוכנת קספרסקי שרכשתי, קניתי גרסת ווינדוס חדשה, וכמובן שאיבדתי יומיים רק מללכת למשטרה. מאז המקרה אני עושה גיבוי קבוע כל שבוע, גם לדיסק חיצוני וגם לענן. למזלי אין לי הרבה קבצים. בסוף, קצת כמו בגניבות רכב, כל מי שמסביב, מרוויח: חברות אבטחת המידע, חברות הגיבוי, חברת הביטקוין, הכוננים הקשיחים ואולי עוד".
בתחילת השבוע הגיע אלינו קורבן נוסף: מוטי, פנסיונר וסוכן ביטוח מאשדוד עם סיפור כמעט זהה: "לא רק שהדיסק המרכזי נחטף, גם הדיסק גיבוי שהיה מחובר למחשב הוצפן. חלק מהחומר שיש לי בדיסק שלישי, ומה שאני אצליח להציל - אציל", מספר מוטי. לדבריו, בכל מקרה הוא לא מתכוון לשלם לגנבים.
מוטי נפל קורבן לתוכנת כופר בשם CryptoWall, אחת החמורות מאלו שמסתובבות היום בשוק, ושאין לה ככל הידוע מפענח הצפנה. בשונה מירון, ובעצה עמנו, מוטי התקשר ל-CERT הלאומי (Cyber Emergency Response Team), גוף צעיר ברשות הלאומית להגנת הסייבר שנועד לסייע לאזרחים ועסקים בדיוק במקרים כאלה. למוטי זה לא ממש עזר: בשלב זה של המתקפה הם לא יכלו לסייע.
גל עולמי
האם אנחנו נמצאים בעיצומה של מתקפה רחבה? צחי אלון, ראש תחום אירועים ב-CERT הלאומי מאשר: "יש גל, לא רק ישראלי, אלא עולמי, של מתקפות כופר (Ransomware) - ואכן חלק מהקורבנות משלמים - בניגוד לעצה שלנו. בשבועות האחרונים הגיעו אלינו עשרות פניות של ארגונים בינוניים וגדולים שנפגעו ממתקפה כזאת, ומטבע הדברים יש כאלה שלא מדווחים. מתקפות סייבר נהיו עסק משתלם ומחקרים מראים שארגוני פשיעה מקוונת מרוויחים עשרות מיליוני דולרים בשנה. אנחנו פועלים בכל המנעד, מלהנחות את האזרח הבודד ועד רמת המדינה - כדי למנוע מתקפות כאלו".
התקשרנו לחברת המרת הביטקוין ביטס אוף גולד (הכפופה לרגולציה ישראלית ובעלת תעודה לשירותי מטבע ממשרד האוצר) כדי לברר אם מתקפות הכופר הפכו נפוצות. "זה בא אצלנו בגלים, אבל תופעה בולטת לאורך כל השנה האחרונה", מסביר יובל רואש, סמנכ"ל התפעול של החברה. "זאת לא הפרנסה שלנו, אבל אנחנו עוזרים ללקוחות כאלה ואפילו נותנים להם 20% הנחה בשער ההמרה, כי בדרך כלל זה המפגש הראשון שלהם עם עולם הביטקוין. אני יכול להגיד שבשבועיים-שלושה האחרונים יש עלייה בהמרות כאלו, בדומה לגלים קודמים שהיו. חלק ממירים כסף באמצעות העברה בנקאית, חלק בכרטיס אשראי וחלק באים לכאן וממירים מזומן. מגיעים אנשים פרטיים שגנבו להם את התמונות, אבל גם מנהלי מחשוב של חברות, שאם החבר'ה של הכופר היו יודעים על מי הם נפלו הם היו מבקשים הרבה יותר".
לטענת רואש, לא כל ארנק ביטקוין מחייב סינכרון ארוך והורדה ג'יגות של מידע, ויש גם דרכים הרבה יותר מהירות לפתוח ארנק ביטקוין, גם בזה הם מסייעים לקורבנות מתקפות כופר. החברה עובדת לאחרונה בצמוד עם רשויות האכיפה כדי לנסות להילחם בתופעת הכופר הווירטואלי.
לא רק צרכנים פרטיים חוטפים: בשבועות האחרונים התפורסמו כמה מקרים של מתקפות כופר על מוסדות וחברות, כמו מקרה שבו נפל קורבן למתקפה בית חולים באזור המרכז. מבית החולים נמסר אז על "עמדות בודדות" שנפגעו, אך בשבועות האחרונים נפלו קורבן לתוכנת כופר גם מחשבי רשות החשמל. בכנס הסייברטק שנערך בסוף ינואר, חשף שר האנרגיה יובל שטייניץ כי מחשבי רשות החשמל נפלו קורבן ל"פיגוע סייבר חמור", אך גם במקרה זה היתה זאת תוכנת כופר שהשתלטה על רשת המחשבים (לא היה שום איום לחברת החשמל או רשת החשמל, בניגוד לכמה פרסומים בנושא).
מעבדות חברת אבטחת המידע ESET אישרו כי בימים אלה מתחוללת מכת תוכנות כופר: "שתי תוכנות כופר תופסות חמישה מתוך עשרת הזיהויים הנפוצים ביותר בישראל בשבוע האחרון". התוכנות שהיו נפוצות במיוחד הן TeslaCrypt ו-Locky.
באמצע פברואר פורסם מקרה של בית החולים בהוליווד שנפל קורבן למתקפת כופר קשה, שבמסגרתה העובדים הפסיקו להשתמש במחשב וחזרו לתיעוד בדף ועט של המטופלים והטיפול, עד שלבסוף מנהלי המוסד נכנעו והסכימו לשלם 17 אלף דולר. מנהל בית החולים צוטט אז באומרו כי: "תשלום דמי הכופר היה הדרך היעילה והמהירה ביותר להשיב לבית החולים את השליטה במערכת המחשוב".
נראה כי דורשי הכופר חושבים היטב על הסכום - ונוקבים בסכום המקסימלי שנראה שהוקרבן יהיה מוכן לשלם. מחקר של חברת אבטחת המידע ביטפנדר (Bitdefender) מצא כי משתמשים ברומניה יסכימו לשלם עד 132 דולר במקרה של תוכנת כופר; לקוחות מגרמניה וצרפת, ישלמו 250-200 דולר; לקוחות מברטיניה כ-350 דולר; ואמריקאים יהיו מוכנים להיפרד מכ-570 דולר כדי לקבל חזרה את חייהם הדיגיטליים.
תוכנות הכופר פוגעות גם במובייל
תוכנות הכופר אינן רק איום ללקוחות Windows ולמשמשי המחשב הביתי. מתקפות מסוג זה הופכות נפוצות יותר ויותר גם במובייל, או ליתר דיוק - במערכת ההפעלה אנדרואיד. מחקר חדש של חברת ESET, חברת אבטחת המידע החמישית בגודלה בעולם, טוען ל"זינוק חד בתוכנות הכופר הלוקחות מכשירי אנדרואיד כבני ערובה".
תוכנות הכופר הראשונות לאנדרואיד התגלו אי שם באמצע 2013, נכתב בעבודה. החברה מבחינה בין שתי סוגי מתקפות: Lock–Screen Ransomware ו–Crypto Ransomware. בראשונה ננעל המסך ונדרש תשלום כופר, ובשנייה הקבצים מוצפנים ואם המשתמש רוצה חזרה את התמונות של הילדים, או הקבצים הרגישים - הוא צריך לשלם.
סוג נוסף של מתקפה הוא באמצעות אפליקציית פורנו, שמצלמת את המשתמש על ידי הפעלה שקטה של המצלמה הקדמית, ודורשת כסף - אחרת תפרסם את תמונותו ברבים. בווריאציה אחרת, תוכנת הכופר משדרת על מסך הטלפון הנייד תמונות פורנו קשות - והדרך היחידה להפסיק את המטרד המביך היא כמובן תשלום כופר. מתקפת כופר נוספת היא מסוג "משטרה", שקיימת גם ב-PC, שבה התוכנה מתחזה לסוכנות אכיפת חוק מקומית וטוענת בפני המשתמש כי הוא עשה שימוש לא חוקי במכשיר ולכן עליו לשלם קנס.
מרגע ההשתלטות על המכשיר, תוכנת הכופר לא רק נועלת אותו, אלא גם מתקשרת לשרת פיקוד ושליטה (C&C), וכך ההאקר יכול להזיק למכשיר, למשל לכבות את ה-WiFi, או אפילו להשתמש במכשיר כחלק מרשת מחשבים למתקפה (מכונה Botnet) אחרת. התוכנות מחוכמות ויודעות להגן על עצמן מפני ניסיונות הסרה או כיבוי משימות.
אפליקציות כופר בנייד היו נפוצות בעיקר במזרח אירופה, אך לא עוד. "היקף הפעולה מתרחב למדינות רבות נוספות, בעיקר בארה"ב. דוגמה למגמת ההתפשטות של תוכנות הכופר במדינות העולם, היא העובדה ש-72% מההדבקות בתוכנת הכופר לאנדרואיד LockerPIN, שנחשפה בשנה שעברה, התרחשו בארה"ב", מסרו גורמים ב-ESET.
"הטרנד כיום הוא לנדוד ממכשירי PC למכשירי מובייל, בעוד שהרבה יותר מידע אישי או עסקי מאוחסן על המכשירים האלה מאשר בעבר. כל עוד המגמה הזאת נמשכת, תוכנות כופר לאנדרואיד פשוט הופכות לעסק משתלם ביותר עבור ההאקרים, וכתוצאה מכך אנחנו צפויים לראות התפתחות ניכרת של האיומים בתחום", אומר גיל נוילנדר, מנכ"ל ESET ישראל.
מה עושים? אותם צעדי מיגון פשוטים כנגד וירוסים בנייד תופסים גם לגבי מתקפות אלו: "אנו ממליצים למשתמשי אנדרואיד לנקוט בצעדים מקדימים כדי להימנע מאיום הכופר, למשל, התקנת אפליקציית אבטחה על המכשיר וגיבוי המידע השמור עליו", אומר נוילנד. "כמו כן, מומלץ להימנע מחנויות אפליקציות לא רשמיות או מלחיצה על קישורים חשודים בהודעות דואר אלקטרוני או בהודעות SMS".