קבוצת ההאקרים Black Shadow, הפועלת ככל הנראה מטעם הממשל באיראן, ואחראית למתקפת הסייבר על חברת הביטוח שירביט בדצמבר האחרון, הפיצה הלילה (שבת) הודעה בעמוד הטלגרם שלה וכתבה: "שוב שלום! יש לנו חדשות בשבילכם. כנראה שלא הצלחתם להתחבר לאתרים רבים היום". לדברי התוקפים, הם הצליחו לפרוץ למאגר המידע של Cyberserve, חברה לבניה ואחסון אתרים.
על השרתים של Cyberserve נמצאים אתרים גדולים ומוכרים - בהם מפעל הפיס, תאגיד השידור כאן, תגלית, חברת דן, חברת קווים, לשכת עורכי הדין בישראל, האגודה למלחמה בסרטן, מוזיאון הילדים בחולון והסתדרות המורים.
הבוקר (שבת) החלו התוקפים להדליף צילומים של רשומות מתוך מאגר מידע של חברת האוטובוסים "קווים", לצד הכיתוב: "הם לא יצרו איתנו קשר, אז הנה המידע הראשוני". זמן קצר לאחר מכן, הפיצו קובץ שכולל מאגר של 28 רשומות הכוללות מידע אישי - כמו תעודת זהות, כתובת מגורים, מספר טלפון וכתובת מייל.
כמו כן, חברת Cyberserve נותנת שירות לאתר היכרויות הלהט"ב "אטרף", שנחשב לבעל רגישות גבוהה ואינו זמין מאתמול בשעות הערב. החשש: בידי התוקפים נמצא מידע מרגיש על משתמשים, שאף עלול להוציא חלק מהם מהארון.
"חברת 'Cyberserve' ולקוחותיה נפגעו מאיתנו", הודיעו Black Shadow בהודעה אמש, ואיימו: "אתם בטח שואלים מה עם הנתונים? כמו תמיד, יש לנו הרבה מהם. אם אתם לא רוצים שהם ידלפו על ידינו, צרו איתנו קשר בהקדם".
"מאירועים קודמים נראה כי המניע של הקבוצה הוא בעיקרו הדלפת חומרים כחלק ממלחמת תודעה", אומרת מיי ברוקס-קמפלר, מומחית סייבר ומייסדת קהילת בטוחים אונליין, בשיחה עם וואלה! טכנולוגיה. "ההדלפות הפעם מצטרפות לאירועים נוספים בתקופה האחרונה, בהם ההדלפות של קבוצת moses staff והתקיפה של חברת voicecenter".
"האירוע הנוכחי הוא הדגמה חוזרת לחשיבות אבטחת שרשרת האספקה. כמו במקרים של תקיפת חברת האחסון upress במאי 2020 וחברת פיונט ביולי 2021 - חברות אחסון המחזיקות אתרים רבים יכולול להוות נקודת כשל מרכזית", מוסיפה ברוקס-קמפלר.
"זו לא פעם ראשונה ש CyberServe נתקפת", מסביר תום מלכה, SOC Manager בחברת Security Joes, בשיחה עם וואלה! טכנולוגיה. "אנחנו נגד האופציה לשלם לתוקפים מכיוון שזוהי קבוצה לא אמינה, שכל מטרתה היא מלחמת תודעה ואין שום הבטחה שהחומרים יוחזרו או ימחקו, לכן יש להימנע מתשלום הכופר".
עוד הוסיף מלכה: "אנחנו עתידים לראות המשך של הפעלת לחצים כנגד החברה באיומים של פרסום חומרים נוספים וזאת על מנת לזרז את תשלום הכופר, הקבוצות האלו ניהנות מהסיקור התקשורתי אליו הן זוכות ולכן יחפשו דרכים לחזור "לב העניינים. יש להימנע מלהוריד את הקבצים שהקבוצה מדליפה בערוץ הטלגרם שלהם, שכן קיימת אפשרות גבוהה שקבצים אלו מכילים תוכנות זדוניות".
בהתכתבות עם וואלה! טכנולוגיה שבה נשאלו אם המידע עשוי להתפרסם בקרוב טענו ב-Black Shadow כי המידע יוצע למכירה בקרוב בעמוד הטלגרם שלהם, מה שעשוי להוביל גם להדלפות של חלק מהמידע.
נזכיר כי קבוצת Black Shadow מזוהה עם איראן, ומלבד התקיפה של שירביט - בה דרשו 50 ביטקוין תמורת המידע - היא אחראית גם לפריצה לחברת האשראי לרכב ק.ל.ס קפיטל בחודש מרץ האחרון. בשני המקרים הקבוצה לא קיבלה את הכסף שדרשה, אך הדליפה מידע של לקוחות.
במהלך השבת טענו במערך הסייבר הלאומי כי התריעו בפני החברה על פגיעותה לתקיפות מסוג זה ואף פרסמו אזהרה מצדם לאזרחים שפרטיהם דלפו. "בשנה האחרונה התריע מערך הסייבר הלאומי לחברה מספר פעמים על היותה חשופה לתקיפה", נמסר. "כמו כן, למערך תוכנית מיוחדת להענקת "תו חוסן" לחברות אחסון אתרים אשר יעמדו בסטנדרטים של הגנה. חברות שיצטרפו לתוכנית ויעמדו בסטנדרטים שהציב המערך יצמצמו את הסיכוי להיפגע ממתקפת סייבר. בנוסף, המערך המליץ לחברה שנפגעה ליידע את לקוחותיה על הדלף. לאזרחים אשר פרטי הטלפון והדוא"ל שלהם דלפו, מומלץ לגלות עירנות רבה יותר להודעות דוא"ל ולמסרונים חשודים, להחליף סיסמה ולהטמיע אימות דו שלבי בכל האפליקציות כגון הרשתות החברתיות ואפליקציית הבנק".