תוכנת כופר

מתוך ויקיפדיה, האנציקלופדיה החופשית
Disambig RTL.svg המונח "כופרה" מפנה לכאן. אם הכוונה למשמעות אחרת, ראו כופרה (פירושונים).

תוכנת כופר (על פי החלטת האקדמיה ללשון העברית: כָּפְרָה[1], בכתיב מלא: כופרה; באנגלית: Ransomware) היא נוזקה המגבילה גישה למערכות המחשב הנגוע, ומשמשת לסחוט מהמשתמש תשלום כסף (דמי כופר) על מנת שתוסר מגבלת הגישה. חלק מתוכנות הכופר מבצעות הצפנה לקבצים על הכונן הקשיח, ובכך הופכות את תהליך הסרת ההצפנה לקשה מבלי לשלם כופר עבור מפתח ההצפנה, בעוד תוכנות כופר אחרות פשוט נועלות את המערכת ומציגות הודעת שווא כי לא ניתן לגשת לקבצים, על מנת לרמות את המשתמש ולהמריצו לשלם. לרוב, תוכנת הכופר חודרת למחשב כסוס טרויאני, המוסווה כקובץ תמים.

השימוש בתוכנות כופר היה נפוץ ברוסיה, אך מאז הוא התפשט לכל העולם. ביוני 2013 פרסמה חברת אבטחת המידע מקאפי מידע אשר הצביע על 250,000 דוגמאות ייחודיות של תוכנות כופר ברבעון הראשון של 2013, יותר מכפול מהכמות שהוצגה ברבעון הראשון של 2012. התקפות הקשורות בתוכנות כופר גברו באמצעות סוסים טרויאניים כגון קריפטולוקר, אשר גרם לנזק המוערך בכ-3 מיליון דולר לפני שהורד על ידי הרשויות, ו-Cryptowall, אשר לפי הערכת ה-FBI, גרם לנזק של כ-18 מיליון דולר נכון ליוני 2015. במאי 2021 מוסדות של מערכת הבריאות באירלנד הותקפו על ידי קבוצת Wizard Spider במטרה לקבל כופר כספי.

מפעילים שונים בדארקנט מציעים תוכנות כופרה במודל של תוכנה כשירות.

סחיטת כופר נעשית גם בדרך של גנבת מידע רגיש מהמחשב ואיום בפרסומו אם לא ישולם כופר, ללא פגיעה במחשב הקורבן או בקבצים שבו. הערך שלפנינו אינו עוסק בסחיטה מסוג זה.

פעולה[עריכת קוד מקור | עריכה]

תוכנת כופר מוסווית לרוב כסוס טרויאני, ויכולה לחדור למערכת על ידי קובץ שהורד למחשב או ניצול פרצות בשירותי רשת שונים. לאחר מכן התוכנה מבצעת את הפקודות הזדוניות. במסגרת הפעלת התוכנה ייתכן שתופיע הודעת אזהרה מזויפת מטעם רשויות החוק, לדוגמה, טענות שקריות על כך שהמערכת שימשה למטרות לא חוקיות, ושהיא מכילה תוכן לא חוקי כגון פורנוגרפיה ותוכן פיראטי, או שהמערכת היא גרסה לא חוקית של Microsoft Windows.

חלק מתוכנות הכופר מתוכננות לנעול או להגביל את המערכת עד שיבוצע התשלום. ההגבלה מבוצעת בשיטות שונות. ישנן תוכנות כופר שמשנות את ה-Master boot record או את הגדרות ה-Windows shell. הדרך המתוחכמת ביותר היא הצפנת קבצים: מרבית תוכנות הכופר משתמשות בהצפנה חזקה כך שרק לכותב הנוזקה יש מפתח ההצפנה המתאים.

לרוב, המטרה היא קבלת תשלום על מנת להסיר את תוכנות הכופר על ידי אספקת תוכנה אשר יכולה לפענח את הקבצים או על ידי שליחת הקוד המתאים לפתיחת ההצפנה - דבר שייתכן ואכן יקרה, וייתכן שלא. מרכיב מרכזי בדרישת התשלום היא שהתשלום יבוצע באמצעות מערכת תשלומים שלא ניתנת למעקב. קיים מגוון רחב של שיטות תשלום, כולל: העברה בנקאית, העברה באמצעות מסרון, ושימוש במטבע הדיגיטלי ביטקוין.

היסטוריה[עריכת קוד מקור | עריכה]

תוכנת כופר מצפינה[עריכת קוד מקור | עריכה]

בשנת 1989 הופצה תוכנת הכופר הראשונה הידועה בשם AIDS (וגם בשם PC Cyborg) אשר נכתבה על ידי ג'וזף פופ, בהרצת התוכנה הוצגה הודעה כי הרישיון של תכנה מסוימת פג, בוצעה הצפנה לשמות הקבצים בכונן הקשיח, והוצגה דרישה לתשלום של 189 דולר ל"תאגיד PC Cyborg" במטרה לפתוח את נעילת המערכת. פופ טען לאי שפיות במשפטו והבטיח לתרום את הרווחים מהתוכנה למחקר בנושא איידס[2]. הרעיון להשתמש במפתח ציבורי להתקפות שכאלה הוצג על ידי אדם ל. יאנג ומוטי יונג האמריקאי הישראלי בשנת 1996. השניים גרסו כי תוכנת AIDS הייתה לא יעילה בשל השימוש בצופן סימטרי, והציגו וירוס הצפנה למקינטוש SE/30 באמצעות שימוש ב-RSA ו-Tiny Encryption Algorithm לשם הצפנת המידע במחשב הקורבן. ההתקפה תוארה על ידם ב-IEEE S&P באותה שנה, כמתקפה בה התוקף סוחט כסף אלקטרוני מהקורבן, "וירוס ההצפנה המיוחד יכול להיות מעוצב כך שהוא יחפש אחר נתוני כסף אלקטרוני ויצפין אותם. בדרך זו כותב הווירוס יכול להחזיק בכל הכסף ככופר עד שיתנו לו חצי ממנו" (עמוד 135).

המודעות לסחיטה באמצעות תוכנת כופר עלתה בשנת 2005. עד אמצע 2006, סוסים טרויאניים כגון Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, ו-MayArchive עשו שימוש בהצפנות RSA מתוחכמות יותר, עם מפתח הצפנה שרק הולך וגדל. Gpcode.AG, שהתגלה ביוני 2006, הוצפן בעזרת מפתח ציבורי של 660 ביט בהצפנת RSA. ביוני 2008 התגלתה גרסה מתקדמת יותר בשם Gpcode.AK. היא עשתה שימוש במפתח RSA של 1204 ביט; האמינו כי המפתח היה גדול כל כך עד שיהיה ניתן לפצח אותו רק באמצעות מאמצי חישוב מבוזר.

תוכנות כופר מוצפנות חזרו למודעות הציבור בסוף שנת 2013 עם הפצת הקריפטולוקר שעשה שימוש בביטקוין לאסוף את כסף הכופר. בדצמבר 2013 העריכו ב-ZDNet כי מפעילי הקריפטולוקר גרפו לכיסם כ-27 מיליון דולר מקורבנותיהם בין 15 באוקטובר ל-18 בדצמבר. השיטה של קריפטולוקר הועתקה בחודשים שלאחר מכן, והוצגו גרסאות שונות.

מבחינה קריפטוגרפית, רוב תוכנות הכופרה היום עושות שימוש במודל הצפנה היברידי. כלומר, הן משתמשות באלגוריתמי צופן סימטרי ואסימטרי במקביל. לדוגמה, מודל הצפנה היברידי למטרת כופרה עשוי לעבוד בצורה הבאה: לקוח על המחשב הנגוע יצפין את הקבצים הרלוונטיים (שלצורך העניין יסומנו ) באמצעות פונקציה סימטרית במפתח , כך שיתקבל המידע המוצפן:

לאחר מכן יצור באמצעות אלגוריתם הצפנה אסימטרי מפתח ציבורי ופרטי מקומיים שיקראו ו- בהתאמה. את המפתח המקורי יצפין באמצעות המפתח הציבורי , כלומר:

את המפתח הפרטי יצפין במפתח הציבורי שנוצר מראש עבור כל הקליינטים שיסומן , או בנוסחה מתמטית:

את המפתח הפרטי ישמור התוקף על השרת. כאשר ישלם הקורבן את הכופר הלקוח ישלח את המפתח הפרטי המוצפן לשרת שיפענח מתוכו את כך:

וישלח אותו חזרה ללקוח שיפענח באמצעותו את בפונקציה:

ובכך יקבל את המפתח לפונקציה הסימטרית. לבסוף הלקוח יפענח את המידע המוצפן ויוכל שוב לגשת לקבצים שנלקחו בערובה. כלומר:

תוכנת כופר לא מצפינה[עריכת קוד מקור | עריכה]

באוגוסט 2010 עצרו הרשויות ברוסיה מספר בני אדם הקשורים לתוכנת הכופר WinLock. בשונה מ-Gpcode, ב-WinLock לא נעשה שימוש בהצפנה. במקום זה נעשה שימוש בהגבלת הגישה למערכת על ידי הצגת תמונות פורנוגרפיות והמשתמשים התבקשו לשלוח SMS למספר בתעריף גבוה (כ-10 דולר להודעה) על מנת לקבל קוד לביטול נעילת המערכת. העוקץ פגע במספר גבוה של משתמשים ברוסיה ובמדינות השכנות - על פי דיווחים הקבוצה הרוויחה כך מעל 16 מיליון דולר.

בשנת 2011 הופצה תוכנת כופר אשר הציגה חיקוי של מסך האקטיבציה של Windows, והודיעה למשתמשים כי נדרשת אקטיבציה מחדש בשל הונאה. הוצעה אפשרות לאקטיבציה באמצעות האינטרנט (בדומה לתהליך האמיתי), אך היא לא פעלה ועל כן הוצע למשתמשים להתקשר למספר בינלאומי על מנת לקבל את קוד האקטיבציה. בעוד התכנה הציגה את המספר כשיחת חינם, השיחה נותבה למדינות בעלות תעריף שיחה גבוה ושם השאירו את המתקשרים על המתנה, מה שגרר עלות שיחה בין-לאומית גבוהה.

בפברואר 2013 הופצה תוכנת כופר באמצעות אתרי שירותי אירוח למיזמי תוכנה חופשיתסורספורג' ו-GitHub. ביולי 2013 הופצה תוכנת כופר אשר כוונה למערכות OS X, התכנה הציגה עמוד אינטרנט שהאשים את המשתמש בהורדת חומר פורנוגרפי. בשונה מהתכנות ל-Windows, התוכנה לא חסמה את כל המחשב, אלה רק ניצלה את התנהגות הדפדפן.

ביולי 2013, אדם בן 21 מווירג'יניה הסגיר עצמו למשטרה בעקבות תוכנת כופר שהתחזתה להודעה מטעם ה-FBI והאשימה אותו בצריכת פורנוגרפיית ילדים. חקירה גילתה כי הוא החזיק על מחשבו האישי תמונות של קטינות איתן יצר קשרים מיניים ברשת, והוא הואשם בהתעללות מינית בילדים. בינואר 2016 התגלתה תוכנת כופר המאיימת על המשתמש כי תופץ היסטוריית הגלישה שלו.

התגוננות[עריכת קוד מקור | עריכה]

בדומה לנוזקות אחרות, ייתכן שתוכנת אבטחה לא תזהה את תוכנת הכופר אלא רק אחרי שההצפנה תושלם, בפרט אם מדובר במתקפת אפס ימים. אם מתעורר חשד להתקפה, או שהיא מתגלה בשלביה המוקדמים, יש עדיין זמן עד שההצפנה תושלם; הסרה מיידית של תוכנת הכופר (תהליך פשוט למדי) לפני שהתהליך הושלם תמנע נזק נוסף למידע, אך מבלי אפשרות להציל את המידע שכבר נפגע. מומחי אבטחה מציעים אמצעי זהירות להתמודדות עם תוכנת כופר. שימוש בתוכנות אבטחה והגדרות אבטחה לחסימת התקנתן של תוכנות כופר ידועות יעזרו למנוע הדבקה, אך לא יגנו מפני כל ההתקפות. יש לשמור את הגיבויים במיקום שאינו נגיש למחשב הנגוע – תוכנת הכופר יכולה להצפין למשל דיסק און קי אם הוא מחובר למחשב. גיבוי בנפרד מהמחשב הנגוע יאפשר לאחזר את המידע שאבד בהצפנה.

בישראל[עריכת קוד מקור | עריכה]

מערך הסייבר הלאומי פרסם הנחיות בסיסיות להתמודדות עם מתקפות כופרה,[3] והוא מתחקר אירועי כופרה. גם חברות פרטיות עוסקות בהגנת סייבר ובסיוע לקורבנות של מתקפות כופרה. לפי סקר שערכה התאחדות התעשיינים, בשנת 2020 חברות ישראליות שילמו כופר של יותר ממיליארד דולר.[4]

מתקפות כופרה בולטות:

  • ב-13 אוקטובר 2021 המרכז הרפואי הלל יפה נפל קורבן למתקפת כופרה, ששיתקה את מערכות המחשוב של בית החולים לימים רבים, ואילצה את צוות בית החולים לתפקד ללא מחשוב, תוך דחייה של ניתוחים אלקטיביים והפניית חולים לבתי חולים אחרים. בהחלטה של משרד הבריאות בית החולים נמנע מלשלם את הכופר הנדרש, כ-3.5 מיליון דולר.[5]

קישורים חיצוניים[עריכת קוד מקור | עריכה]

ויקישיתוף מדיה וקבצים בנושא תוכנת כופר בוויקישיתוף

הערות שוליים[עריכת קוד מקור | עריכה]