הרשות הלאומית להגנת הסייבר הודיעה הערב (שלישי) , כי לאחרונה התקבלו אינדיקציות לתקיפות של פוגען כופר ותיק בשם Crysis באמצעות פרוטוקול RDP המשמש לחיבור מרחוק. גל התקיפות הנוכחי של הפוגען מתרכז במדינות במזרח התיכון ובדרום אמריקה.
המידע הראשוני הגיע מחברת האבטחה ESET שדיווחה כי קיימות מספר אינדיקציות לפגיעה בחברות ישראליות בגל התקיפות הנוכחי כמו גם במקומות נוספים בעולם, בעיקר בדרום אמריקה.
על פי ההערכות, וקטור התקיפה הוא באמצעות פרוטוקול RDP, המשמש לחיבור מרחוק לעמדות עבודה כדי להשתלט עליהן מרחוק ולחילופין על מנת לקבל גישה מרחוק לשרת המספק יישומים ארגוניים.
תוכנת הכופר Crysis היא תוכנת כופר ותיקה, ובין תוכנות הכופר הנפוצות ביותר בעולם במהלך השנים האחרונות. לאורך השנים יצאו גרסאות שונות שלה כאשר כל אחת משנה את סיומות הקבצים לשם אחר, לגרסאות אלו גם יצאו כלים לשחרור הקבצים. בגרסתה החדשה של Crysis היא משנה את סיומת הקבצים אותם היא מצפינה לסיומת arena.
אם יש צרכים עסקיים המחייבים שימוש בפרוטוקול זה, מומלץ להשתמש ב-VPN עם הזדהות חזקה טרם החיבור ל-RDP. כמו כן מומלץ להתקין את כל עדכוני האבטחה שפרסמה חברת מיקרוסופט, לאחר בדיקתם במערכותיכם.
מומלץ להגביל באמצעות FW את הגישה של עמדה או שרת הנגישים בפרוטוקול זה, כך שיוכלו לגשת למינימום המערכות והמידע הנדרשים ברשת הארגונית. הרשות ממליצה לא לאפשר גישה ישירה מרשת האינטרנט באמצעות פרוטוקול RDP (פורט 3389).
במהלך הסופ"ש האחרון זיהתה חברת האבטחה ESET גל תקיפות העושה שימוש בנוזקת הכופר Crysis בישראל. החדירה הראשונית של הנוזקה מתבצעת תוך שימוש בפרוטוקול RDP (Remote Desktop Protocol ) פתוח לרשת של הגורם המותקף.
לאחר התקיפה, הקורבנות מתבקשים ליצור קשר עם התוקפים וסכום הכופר בביטקוין ייקבע בהתאם למהירות התגובה של הקורבן. נכון לעכשיו, לגרסה זו טרם קיים כלי לפענוח ההצפנה שהיא מבצעת.