בשבוע האחרון פרסם מערך הסייבר הלאומי עוד מספר עדכונים והמלצות הקשורים בפגיעויות שנחשפו בשרתי המייל exchange, של חברת מיקרוסופט. בעדכונים אלו, נמסרו לארגונים ולחברות המלצות על עדכונים וכלים שפיתחה מיקרוסופט לטובת מניעת תקיפות אלו.
בהודעת מערך הסייבר אף ציינו כי הם יודעים "שפגיעויות אלו מנוצלות בפועל ע"י קבוצות תקיפה שונות", ואף הוסיפו "כי קיימים דיווחים על עשרות אלפי שרתים שהותקפו בעולם".
כזכור חברת מיקרוסופט פועלת בנושא, ואף פרסמה עדכוני אבטחה חריגים, בהם קראה ללקוחותיה להתקין את העדכונים בהקדם.
חברות האבטחה חוקרות
זה היה רק עניין של זמן עד שתוקפים יתחילו לנצל את הפגיעויות, וההתקפה הראשונה, כך מדווחים חוקרי חברת האבטחה סופוס היא DearCry, תוכנת כופר חדשה שחוקרי סופוס החלו לנתח את דרך הפעולה שלה.
לדברי מארק לומן, מומחה תוכנות כופר בסופוס, "מנקודת מבט של התנהגות ההצפנה, DearCry הוא מה שמומחי סופוס מכנים תוכנת כופר "מעתיקה". היא יוצרת עותקים מוצפנים של הקבצים המותקפים ומוחקת את המקור. הדבר מביא לכך שהקבצים המוצפנים מאוחסנים באזור לוגי נפרד, והוא יכול לאפשר לקורבן לאחזר חלק מהנתונים – תלוי בזמן בו מערכת חלונות עושה שימוש חוזר באזורים הלוגיים שהתפנו.
עוד הוסיף לומן, כי אנשי IT ואבטחה צריכים לנקוט בצעדים דחופים להתקנת עדכונים של מיקרוסופט, כדי למנוע ניצול של שרתי Microsoft Exchange. אם הדבר לא מתאפשר, יש לנתק את השרת מהאינטרנט או לנטר אותו באופן הדוק באמצעות צוות תגובה לאיומים, בעקבות כך עדכנו בחברה את הפתרונות כך שיוכלו לזהות ולהגן מפני DearCry"
גם חברת האבטחה ESET, דיווחה ממחקר שביצעה, כי "למעלה מעשר קבוצות תקיפה מנצלות את הפגיעויות השונות, ולכן החשיבות בטיפול ועדכון השרתים".
יצא עדכון תוכנה? הזדרזו להתקין
עינת מירון, מומחית לענייני סייבר בארגונים, מסבירה כי אם בעבר נדרשו אנשי התשתיות לבצע עדכונים אחת לרבעון או מחצית, כיום עם התגברות מציאת החולשות ותקיפת האקרים, החברות והארגונים נדרשים לעדכונים שוטפים בקצב גבוה יותר.
נכון שזה מתיש ודורש התעסקות נוספת, ולעיתים כפי שטוענים אנשי תשתיות עלול ליצור תקורה בעקבות השינויים ובעיות שצצות לאחר העדכונים, אך עדיף לטפל לפני שיהיה מאוחר ונמצא את עצמנו באירוע.
עוד הדגישה כי רבים מהמתקפות הסייבר שהתממשו בפועל, ניצלו חולשה או באג אשר היה להם בפועל עדכון זמין, דבר שהיה חוסך לחברות את כל הכאב ראש.
האם החברות שינו גישה בעקבות אירועים קודמים?
לשאלתנו אם לאחר אירועי תקיפה קודמים שהתפרסמו בתקשורת (כגון שירביט ועוד), ניתן כיום בחברות דגש רב יותר לעדכונים ולנושא אבטחת המידע?
ענתה מירון כי ישנו שיפור מסוים בחברות, אך עדיין לא ברמה מספקת.
בפועל מאז אירוע שירביט, למרות שעברו מס' חודשים, טרם נשמעו מסקנות חקירת הרגולטורים בנושא.
