כופרה

כּוֹפְרָה[1]אנגלית: Ransomware) היא נוזקה המגבילה גישה למערכות המחשב הנגוע, ומשמשת לסחוט מהמשתמש תשלום כסף (דמי כופר) על מנת שתוסר מגבלת הגישה. חלק מהכופרות מבצעות הצפנה לקבצים על הכונן הקשיח, ובכך הופכות את תהליך הסרת ההצפנה לקשה מבלי לשלם כופר עבור מפתח ההצפנה, בעוד כופרות אחרות פשוט נועלות את המערכת ומציגות הודעת שווא כי לא ניתן לגשת לקבצים, על מנת לרמות את המשתמש ולהמריצו לשלם. לרוב, הכופרה חודרת למחשב כסוס טרויאני, המוסווה כקובץ תמים.

השימוש בכופרה היה נפוץ ברוסיה, אך מאז הוא התפשט לכל העולם. ביוני 2013 פרסמה חברת אבטחת המידע מקאפי מידע אשר הצביע על 250,000 דוגמאות ייחודיות של כופרות ברבעון הראשון של 2013, יותר מכפול מהכמות שהוצגה ברבעון הראשון של 2012. התקפות הקשורות בכופרות גברו באמצעות סוסים טרויאניים כגון קריפטולוקר, אשר גרם לנזק המוערך בכ-3 מיליון דולר לפני שהורד על ידי הרשויות, ו-Cryptowall, אשר לפי הערכת ה-FBI, גרם לנזק של כ-18 מיליון דולר נכון ליוני 2015. במאי 2021 מוסדות של מערכת הבריאות באירלנד הותקפו על ידי קבוצת Wizard Spider במטרה לקבל כופר כספי.

מפעילים שונים בדארקנט מציעים תוכנות כופרה במודל של תוכנה כשירות.

סחיטת כופר נעשית גם בדרך של גנבת מידע רגיש מהמחשב ואיום בפרסומו אם לא ישולם כופר, ללא פגיעה במחשב הקורבן או בקבצים שבו. הערך שלפנינו אינו עוסק בסחיטה מסוג זה.

פעולה

כופרה מוסווית לרוב כסוס טרויאני, ויכולה לחדור למערכת על ידי קובץ שהורד למחשב או ניצול פרצות בשירותי רשת שונים. לאחר מכן התוכנה מבצעת את הפקודות הזדוניות. במסגרת הפעלת התוכנה ייתכן שתופיע הודעת אזהרה מזויפת מטעם רשויות החוק, לדוגמה, טענות שקריות על כך שהמערכת שימשה למטרות לא חוקיות, ושהיא מכילה תוכן לא חוקי כגון פורנוגרפיה ותוכן פיראטי, או שהמערכת היא גרסה לא חוקית של Microsoft Windows.

חלק מהכופרות מתוכננות לנעול או להגביל את המערכת עד שיבוצע התשלום. ההגבלה מבוצעת בשיטות שונות. ישנן כופרות שמשנות את ה-Master boot record או את הגדרות ה-Windows shell. הדרך המתוחכמת ביותר היא הצפנת קבצים: מרבית הכופרות משתמשות בהצפנה חזקה כך שרק לכותב הנוזקה יש מפתח ההצפנה המתאים.

לרוב, המטרה היא קבלת תשלום על מנת להסיר את הכופרות על ידי אספקת תוכנה אשר יכולה לפענח את הקבצים או על ידי שליחת הקוד המתאים לפתיחת ההצפנה - דבר שייתכן ואכן יקרה, וייתכן שלא. מרכיב מרכזי בדרישת התשלום היא שהתשלום יבוצע באמצעות מערכת תשלומים שלא ניתנת למעקב. קיים מגוון רחב של שיטות תשלום, כולל: העברה בנקאית, העברה באמצעות מסרון, ושימוש במטבע הדיגיטלי ביטקוין.

היסטוריה

כופרה מצפינה

בשנת 1989 הופצה הכופרה הראשונה הידועה בשם AIDS (וגם בשם PC Cyborg) אשר נכתבה על ידי ג'וזף פופ, בהרצת התוכנה הוצגה הודעה כי הרישיון של תכנה מסוימת פג, בוצעה הצפנה לשמות הקבצים בכונן הקשיח, והוצגה דרישה לתשלום של 189 דולר ל"תאגיד PC Cyborg" במטרה לפתוח את נעילת המערכת. פופ טען לאי שפיות במשפטו והבטיח לתרום את הרווחים מהתוכנה למחקר בנושא איידס[2]. הרעיון להשתמש במפתח ציבורי להתקפות שכאלה הוצג על ידי אדם ל. יאנג ומוטי יונג האמריקאי הישראלי בשנת 1996. השניים גרסו כי תוכנת AIDS הייתה לא יעילה בשל השימוש בצופן סימטרי, והציגו וירוס הצפנה למקינטוש SE/30 באמצעות שימוש ב-RSA ו-Tiny Encryption Algorithm לשם הצפנת המידע במחשב הקורבן. ההתקפה תוארה על ידם ב-IEEE S&P באותה שנה, כמתקפה בה התוקף סוחט כסף אלקטרוני מהקורבן, "וירוס ההצפנה המיוחד יכול להיות מעוצב כך שהוא יחפש אחר נתוני כסף אלקטרוני ויצפין אותם. בדרך זו כותב הווירוס יכול להחזיק בכל הכסף ככופר עד שיתנו לו חצי ממנו" (עמוד 135).

המודעות לסחיטה באמצעות כופרה עלתה בשנת 2005. עד אמצע 2006, סוסים טרויאניים כגון Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, ו-MayArchive עשו שימוש בהצפנות RSA מתוחכמות יותר, עם מפתח הצפנה שרק הולך וגדל. Gpcode.AG, שהתגלה ביוני 2006, הוצפן בעזרת מפתח ציבורי של 660 ביט בהצפנת RSA. ביוני 2008 התגלתה גרסה מתקדמת יותר בשם Gpcode.AK. היא עשתה שימוש במפתח RSA של 1204 ביט; האמינו כי המפתח היה גדול כל כך עד שיהיה ניתן לפצח אותו רק באמצעות מאמצי חישוב מבוזר.

כופרות מוצפנות חזרו למודעות הציבור בסוף שנת 2013 עם הפצת הקריפטולוקר שעשה שימוש בביטקוין לאסוף את כסף הכופר. בדצמבר 2013 העריכו ב-ZDNet כי מפעילי הקריפטולוקר גרפו לכיסם כ-27 מיליון דולר מקורבנותיהם בין 15 באוקטובר ל-18 בדצמבר. השיטה של קריפטולוקר הועתקה בחודשים שלאחר מכן, והוצגו גרסאות שונות.

מבחינה קריפטוגרפית, רוב תוכנות הכופרה היום עושות שימוש במודל הצפנה היברידי. כלומר, הן משתמשות באלגוריתמי צופן סימטרי ואסימטרי במקביל. לדוגמה, מודל הצפנה היברידי למטרת כופרה עשוי לעבוד בצורה הבאה: לקוח על המחשב הנגוע יצפין את הקבצים הרלוונטיים (שלצורך העניין יסומנו ) באמצעות פונקציה סימטרית במפתח , כך שיתקבל המידע המוצפן:

לאחר מכן יצור באמצעות אלגוריתם הצפנה אסימטרי מפתח ציבורי ופרטי מקומיים שיקראו ו- בהתאמה. את המפתח המקורי יצפין באמצעות המפתח הציבורי , כלומר:

את המפתח הפרטי יצפין במפתח הציבורי שנוצר מראש עבור כל הקליינטים שיסומן , או בנוסחה מתמטית:

את המפתח הפרטי ישמור התוקף על השרת. כאשר ישלם הקורבן את הכופר הלקוח ישלח את המפתח הפרטי המוצפן לשרת שיפענח מתוכו את כך:

וישלח אותו חזרה ללקוח שיפענח באמצעותו את בפונקציה:

ובכך יקבל את המפתח לפונקציה הסימטרית. לבסוף הלקוח יפענח את המידע המוצפן ויוכל שוב לגשת לקבצים שנלקחו בערובה. כלומר:

כופרה לא מצפינה

באוגוסט 2010 עצרו הרשויות ברוסיה מספר בני אדם הקשורים לכופרת WinLock. בשונה מ-Gpcode, ב-WinLock לא נעשה שימוש בהצפנה. במקום זה נעשה שימוש בהגבלת הגישה למערכת על ידי הצגת תמונות פורנוגרפיות והמשתמשים התבקשו לשלוח SMS למספר בתעריף גבוה (כ-10 דולר להודעה) על מנת לקבל קוד לביטול נעילת המערכת. העוקץ פגע במספר גבוה של משתמשים ברוסיה ובמדינות השכנות - על פי דיווחים הקבוצה הרוויחה כך מעל 16 מיליון דולר.

בשנת 2011 הופצה כופרה אשר הציגה חיקוי של מסך האקטיבציה של Windows, והודיעה למשתמשים כי נדרשת אקטיבציה מחדש בשל הונאה. הוצעה אפשרות לאקטיבציה באמצעות האינטרנט (בדומה לתהליך האמיתי), אך היא לא פעלה ועל כן הוצע למשתמשים להתקשר למספר בינלאומי על מנת לקבל את קוד האקטיבציה. בעוד התכנה הציגה את המספר כשיחת חינם, השיחה נותבה למדינות בעלות תעריף שיחה גבוה ושם השאירו את המתקשרים על המתנה, מה שגרר עלות שיחה בין-לאומית גבוהה.

בפברואר 2013 הופצה כופרה באמצעות אתרי שירותי אירוח למיזמי תוכנה חופשיתסורספורג' ו-GitHub. ביולי 2013 הופצה כופרה אשר כוונה למערכות OS X, התכנה הציגה עמוד אינטרנט שהאשים את המשתמש בהורדת חומר פורנוגרפי. בשונה מהתכנות ל-Windows, התוכנה לא חסמה את כל המחשב, אלא רק ניצלה את התנהגות הדפדפן.

ביולי 2013, אדם בן 21 מווירג'יניה הסגיר עצמו למשטרה בעקבות כופרה שהתחזתה להודעה מטעם ה-FBI והאשימה אותו בצריכת פורנוגרפיית ילדים. חקירה גילתה כי הוא החזיק על מחשבו האישי תמונות של קטינות איתן יצר קשרים מיניים ברשת, והוא הואשם בהתעללות מינית בילדים. בינואר 2016 התגלתה כופרה המאיימת על המשתמש כי תופץ היסטוריית הגלישה שלו.

התגוננות

בדומה לנוזקות אחרות, ייתכן שתוכנת אבטחה לא תזהה את תוכנת הכופר אלא רק אחרי שההצפנה תושלם, בפרט אם מדובר במתקפת אפס ימים. אם מתעורר חשד להתקפה, או שהיא מתגלה בשלביה המוקדמים, יש עדיין זמן עד שההצפנה תושלם; הסרה מיידית של הכופרה (תהליך פשוט למדי) לפני שהתהליך הושלם תמנע נזק נוסף למידע, אך מבלי אפשרות להציל את המידע שכבר נפגע. מומחי אבטחה מציעים אמצעי זהירות להתמודדות עם כופרה. שימוש בתוכנות אבטחה והגדרות אבטחה לחסימת התקנתן של תוכנות כופר ידועות יעזרו למנוע הדבקה, אך לא יגנו מפני כל ההתקפות. יש לשמור את הגיבויים במיקום שאינו נגיש למחשב הנגוע – תוכנת הכופר יכולה להצפין למשל דיסק און קי אם הוא מחובר למחשב. גיבוי בנפרד מהמחשב הנגוע יאפשר לאחזר את המידע שאבד בהצפנה.

בישראל

מערך הסייבר הלאומי פרסם הנחיות בסיסיות להתמודדות עם מתקפות כופרה,[3] והוא מתחקר אירועי כופרה. גם חברות פרטיות עוסקות בהגנת סייבר ובסיוע לקורבנות של מתקפות כופרה. לפי סקר שערכה התאחדות התעשיינים, בשנת 2020 חברות ישראליות שילמו כופר של יותר ממיליארד דולר.[4]

מתקפות כופרה בולטות:

  • ב-13 אוקטובר 2021 המרכז הרפואי הלל יפה נפל קורבן למתקפת כופרה, ששיתקה את מערכות המחשוב של בית החולים לימים רבים, ואילצה את צוות בית החולים לתפקד ללא מחשוב, תוך דחייה של ניתוחים אלקטיביים והפניית חולים לבתי חולים אחרים. בהחלטה של משרד הבריאות בית החולים נמנע מלשלם את הכופר הנדרש, כ-3.5 מיליון דולר.[5]
  • מתקפת כופרה מתחזה למשטרת ישראל[6]

ראו גם

קישורים חיצוניים

ויקישיתוף מדיה וקבצים בנושא כופרה בוויקישיתוף

הערות שוליים