בחודש האחרון אנו עדים לגל של מתקפות כופרה כנגד חברות ישראליות, האחרונה מביניהן היא חברת H&M Israel השייכת ל-MATCH RETAIL LTD. מאחורי התקיפות הללו עומדת ככל הנראה קבוצת התקיפה המכונה N3tw0rm המקושרת לקבוצת Pay2Key אשר פועלת כנגד גופים בישראל בתדירות גוברת בחודשים האחרונים ומיוחסת לאיראן.
לצד התקיפות אשר השתמשו בנוזקות כופרה קלאסיות, ניתן להבחין בטכניקות הרסניות אשר מטרתן היא אחת - להשמיד את המחשבים עצמם. דוגמא לכך היא קובץ הנוזקה הנוסף שהוחדר לארגונים ישראלים (שאינו מסוג כופרה), במספר תקיפות המשויכות לקבוצת N3tw0rm, אשר גרם לכתיבת כמות עצומה של קבצים על המחשב ובכך מילא את זיכרון האחסון במחשב הקורבן עד לאפס מקום והוביל בסופו של דבר לקריסת המחשב הנפגע. פעולה זו מהווה רמז נוסף לכך שהתקיפות המדוברות התבצעו על-ידי גוף מדינתי, המכוון לפגוע במדינת ישראל ובמגזר העסקי במדינה, מאחר ומטרתן המפורשת הינה לגרום לנזק ממשי ולא רק לגבות כופר כספי.
אמנם בפעולת התקיפה שנראתה כעת לא הסתמן שימוש חדשני או מתוחכם בשונה משנראה מאירועי עבר, אך ההרס הפוטנציאלי הטמון בו גדול מאוד. Ransomware (בעברית כופרה) הינו סוג של תוכנה זדונית אשר מושתלת במחשב הקורבן ומצפינה את כלל הקבצים במכשיר בצורה מתוחכמת ונסתרת לעין. ברגע שפעולת הצפנת הקבצים הושלמה על ידי התוכנה הזדונית, התוקף יחשוף במכשיר הקורבן את ה- Ransom Note, קובץ טקסט אשר יציג את דרישת התוקפים ואת הנחיותיהם המפורטות עבור תשלום הכופר לטובת שחרור ופענוח הקבצים הגנובים. התשלום לרוב יתבצע באמצעות ביטקוין או כל מטבע וירטואלי אחר וזאת בשל האנונימיות ותשתית ההצפנה שמלווה את צורת התשלום הזו אשר מסייעת בשמירה על חיסיון התוקף.
בחודשים האחרונים נראה כי השימוש בתקיפות כופרה גובר, והוא מתבסס כאיום המוביל בעולמות הסייבר. מעבר להרס הגדול שעשוי לגרום, דרישת הכופר של התוקף המתלווה לתקיפה עצמה, עלולה להגיע לסכומים אסטרונומים של מיליוני דולרים ומעמידה את הקורבן בפני דילמה גדולה- האם לשלם ולהיכנע לסחטנות או לסרב ולהסתכן באיבוד המידע. רק במרץ האחרון היינו עדים לדרישת כופר בשווי 50 מיליון דולר אשר שברה את שיא עולמי חדש ומפוקפק.
לאחרונה, מסתמן שינוי בדפוס הפעילות של מתקפות כופרה בעולם. אם בעבר פעילות התוקפים הסתכמה בהצפנת קבצי המחשב עד לקבלת תשלום הכופר, היום אנו עדים לאסטרטגיית תקיפה המכונה "סחיטה כפולה". לצד נוזקת הכופרה אשר מצפינה ונועלת את הגישה אל הקבצים, התוקפים מאיימים על חשיפת המידע הרגיש לצד הסחיטה הכספית, וזאת במטרה לזרות אימה גדולה עוד יותר בקרב הקורבן. קבוצת Pay2Key ידועה בדפוס פעולה זה, וכמותה נראה שגם קבוצת N3tw0rm משתמשת בשיטה זו, ואף כבר הספיקה לפרסם כמות לא קטנה של מידע המכיל פרטי לקוחות, הזמנות ודוחות שונים של הקורבנות מישראל. המידע שהופץ מהווה הוכחה לכך שהחברות השונות לא נכנעו לתוקפים ואכן לא שילמו את דרישות הכופר, ככל הנראה גם מתוך חשש שהקבצים המוצפנים לא ישוחררו גם עם תשלום הכופר, דבר שקרה לא מעט במקרי תקיפה בעולם.
הקלות שבה ניתן לחדור לארגונים בעזר תקיפות כופרה הגבירה את השימוש בהן על ידי תוקפים. חלק ניכר מהצלחת התקיפות מקורן בטעות אנוש של עובד בודד אשר לא תיאר לעצמו מצב בו לחיצה על קישור תיגרור תקיפה שתעלה לארגון מיליוני דולרים. יחד עם זאת, התוקפים הופכים למתוחכמים יותר, בעלי כלי תקיפה חדישים, ובעזרת עבודה מודיעינית נרחבת הם מצליחים לאתר בצורה מדויקת עובדים בעלי מודעות אבטחת מידע חלשה, דרכם יצליחו להשתחל בקלות לרשת הארגונית ולהגיע לקבצים רגישים וזאת באמצעות שימוש בטכניקת הנדסה חברתית פשוטה.
הבנה ומודעות הן שם המשחק, באמצעותן ניתן לפתור חלק גדול מהבעיה. עם חינוך נכון של עובדים, הנגשת מידע חיוני וביצוע סדנאות רענון של נהלי אבטחת מידע, עובדים ידעו לזהות סימני היכר, לחשוד בחריגות ולערוך מספר בדיקות פשוטות לפני פעולה - וכך גם למנוע בסבירות גבוהה את המתקפה הבאה שהייתה עולה לארגון כסף רב.
הארגונים הישראלים עומדים בפני אתגרי סייבר רבים. כשמוסיפים למשוואה גם תקיפות גיאו-פוליטיות, משימת ההגנה על הארגונים הופכת לעוד יותר מאתגרת. אנו חייבים לשנות את איום הייחוס ואת מאזן הכוחות אל מול התוקפים, עלינו לחמש את הארגונים הישראלים בפתרונות הגנה מובילים, בעלי טכנולוגיה מתקדמת אשר מסוגלים לעצור תקיפות מסוג זה וכך למנוע אסונות שיכולים להתבטא בפגיעה קשה הן בהיבט הכלכלי והן בהיבט הביטחוני המדיני. לצורך כך, איננו צריכים להרחיק- הפתרונות הטובים בעולם הם פרי פיתוחן של חברות ישראליות ומרכזי פיתוח ישראליים.
מתן אבוטבול, ראש צוות SOC, ישראל ואירופה, סייבריזן