ייתכן שלחברות שנדבקו בתוכנות כופר לכאורה כבר לא תהיה אפשרות לשלם כופר.
תוכנה זדונית חדשה פועלת בדיוק כמו תוכנת כופר קריפטו - מחליפה ומשנה שמות של קבצים, ואז מורידה קובץ טקסט עם פתק כופר וכתובת ביטקוין לתשלום - אבל התוכנית במקום זאת מוחקת את תוכן הקבצים של הקורבן. התוכנית, CryWiper, מכוונת כיום לארגונים רוסים, אך יכולה לשמש בקלות נגד חברות וארגונים במדינות אחרות, על פי חברת אבטחת הסייבר קספרסקי, שניתחה את התוכנית.
תוכנית המגבים המוסואים ממשיכה במגמה של שימוש בתוכנות כופר - בכוונה או בשוגג - כמגב, כך ציינו חוקרי החברה בניתוח.
"בעבר ראינו כמה זני תוכנות זדוניות שהפכו למגבים בטעות - עקב טעויות של יוצריהם שיישמו בצורה גרועה אלגוריתמי הצפנה", חוקרים כתבתי. "עם זאת, הפעם זה לא המקרה: המומחים שלנו בטוחים שהמטרה העיקרית של התוקפים היא לא רווח כספי, אלא השמדת נתונים. הקבצים לא באמת מוצפנים; במקום זאת, הטרויאני מחליף אותם בנתונים שנוצרו פסאודו אקראית."
תוכנות זדוניות שמוחקות נתונים קריטיים, המכונה מגבים, הפכו לאיום משמעותי הן עבור המגזר הפרטי והן עבור המגזר הציבורי. מגבים היו בשימוש סוכנויות רוסיות בסכסוך עם אוקראינה בניסיון לשבש את השירותים הקריטיים במדינה ואת התיאום ההגנתי ביניהם. לפני עשור, איראן השתמשה בתוכנית Shamoon Wiper כדי להצפין ולהפוך לחסר תועלת יותר מ-30,000 כוננים קשיחים בקונגלומרט הנפט הממשלתי של האומה היריבה ערב הסעודית, Saudi Aramco.
התקיפה האחרונה כוונה לארגון רוסי, הצהירו חוקרי קספרסקי בניתוח שלהם, והציעו כי זו עשויה להיות גמול על ידי כוחות אוקראינים או האקרים פרטיזנים.
"בהתחשב בכיסוי השמיכה שבו נעשה שימוש - המעמיד פנים שהוא תוכנת כופר - והזמן המוגבל שלוקח לכתוב מגב פשוט, נראה שכל אחד יכול לעמוד מאחורי המתקפה הזו", מקס קרסטן, חוקר תוכנות זדוניות בחברת אבטחת הסייבר Trellix. "קספרסקי מציין שהקורבנות הם רוסים, כלומר פעילים אנטי-רוסים, פעילים פרו-אוקראינים, אוקראינה כמדינה, או מדינות התומכות באוקראינה, יכולים לעמוד מאחוריה, כפי שאני רואה זאת".
תוכנות כופר מזויפות או פושעים עצלנים?
CryWiper היא תוכנית ההתקפה האחרונה שנראית כתוכנת כופר, אך למעשה פועלת כמגב במקום זאת. בעוד שדוגמאות קודמות לרוב מחקו נתונים בגלל שגיאת מפתח, היוצר של CryWiper התכוון לפונקציונליות שלו, על פי תרגום של הניתוח הרוסי של קספרסקי.
"לאחר שבדקנו מדגם של תוכנות זדוניות, גילינו שהטרויאני הזה, למרות שהוא מתחזה לתוכנת כופר וסוחט כסף מהקורבן עבור 'פענוח' נתונים, אינו מצפין בפועל, אלא הורס בכוונה נתונים במערכת המושפעת", אמר קספרסקי . "יתרה מכך, ניתוח של קוד התוכנית של הטרויאני הראה שזו לא הייתה טעות של מפתח, אלא כוונתו המקורית."
CryWiper היא לא תוכנת הכופר הראשונה שמחליפה נתונים מבלי לאפשר את פענוחם. תוכנית נוספת שהתגלתה לאחרונה, W32/Filecoder.KY!tr, גם מחליפה קבצים, אך במקרה זה, בגלל תכנות לקוי, לא ניתן לשחזר את הנתונים.
"תוכנת הכופר לא הפכה בכוונה למגב. במקום זאת, היעדר הבטחת איכות הוביל למדגם שלא פעל כראוי", חוקר פורטינט, גרגלי ריבאי נאמר בניתוח. "הבעיה עם הפגם הזה היא שבגלל פשטות התכנון של תוכנת הכופר אם התוכנית קורסת - או אפילו נסגרת - אין דרך לשחזר את הקבצים המוצפנים."
קווי דמיון לתוכנות כופר קודמות
נראה ש-CryWiper הוא תוכנה זדונית מקורית, אבל התוכנה הזדונית ההרסנית משתמשת באותו אלגוריתם פסאודו-אקראי מחולל מספרים (PRNG) כמו IsaacWiper, תוכנית המשמשת לתקוף ארגונים במגזר הציבורי באוקראינה, בעוד שנראה ש-CryWiper תקף קבוצה ב- הפדרציה הרוסית, קבע קספרסקי את הניתוח הרוסי.
מספר גרסאות של משפחת תוכנות הכופר Xorist ומשפחת Trojan-Ransom.MSIL.Agent השתמשו באותה כתובת דוא"ל בפתק שהשאיר אחריו ה-CryWiper בעקבות השחתת הנתונים שלו, אך קרסטן של Trellix מאמינה שזה יכול היה לגרום לבלבול.
"השימוש החוזר בכתובת האימייל בתעודת הכופר בדגימות שונות יכול להיעשות כדי לזרוק אנליסטים שמחפשים לחבר את הנקודות, או שזו יכולה להיות טעות ממשית", הוא אומר. "זה האחרון, אני חושב, פחות סביר שכן הקוד של התוכנה הזדונית מכיל כמה טעויות המראות שהוא לא נבדק ביסודיות, מה שגורם לי לחשוב שהיוצר [או היוצרים] היו בלחץ הזמן."
בעבר, חברות שמטרתן תוכנות כופר התייסרו על ההחלטה אם לשלם לקבוצות של תוכנות כופר כדי להשתמש בגיבויים ובעותקים לא מקוונים כדי להתאושש מאירוע של תוכנת כופר קריפטו.
“CryWiper ממצבת את עצמה כתוכנת כופר, כלומר היא טוענת שהקבצים של הקורבן מוצפנים ואם ישולם כופר ניתן לשחזר אותם. עם זאת, זו מתיחה: למעשה, הנתונים מושמדים ולא ניתן להחזירם", קבע קספרסקי. "הפעילות של CryWiper שוב מראה שתשלום הכופר אינו מבטיח שחזור קבצים".
