מתקפת סייבר חסרת תקדים על הטכניון: במוסד האקדמי בחיפה הודיעו הבוקר (ראשון) כי בשעות הלילה הותקפו השרתים ומערכות המחשוב על ידי האקרים. בעקבות כך, האתר נפל וסטודנטים התבקשו לנתק מחשבים מהחשמל. לוואלה! טכנולוגיה נודע כי מי שעומד מאחורי מתקפת הסייבר היא קבוצה לא מוכרת בשם Darkbit, שדורשת כופר של 80 ביטקוין (כ-6 מיליון שקלים). בטכניון מסרו: "מערכות המחשוב נבדקות כעת ולכן נותקו באופן יזום. אנחנו לומדים את המצב, נמשיך ונעדכן בקרוב".
בינתיים, ממערך הסייבר הלאומי נמצא כי הם בקשר מול הטכניון לקבלת תמונת מצב מלאה, לסיוע באירוע ולבחינת השלכותיו, והוסיפו כי "מגזר ההשכלה הגבוהה מהווה יעד מרכזי למתקפות סייבר: בשנת 2022 המערך זיהה וטיפל ב-53 אירועים באקדמיה, שרובם נבלמו. המערך פועל לאורך השנה מול המוסדות לאיתור נקודות חולשה ולהטמעת הגנות. באחרונה אף התקיימו מספר פגישות עם המועצה להשכלה גבוהה ונציגי המוסדות האקדמיים מתוך הבנת האיום הדורש הידוק שיתוף הפעולה ואף לבחינת אפשרות להקמת מרכז בקרה משותף".
במקביל, תוקפי הסייבר הקימו אתר ייעודי בדארקנט (הרשת האפלה), שבו נכתב: "הרשת והכוננים הקשיחים שלכם מוצפנים באמצעות הצפנה בדרגה צבאית AES-256. ב-DarkBit יעזרו לך לשחזר את הנתונים המוצפנים שלך. נא הזינו את תעודת הזהות שלכם הכתובה בהערה על מנת להמשיך. אי יצירת קשר איתנו בזמן עשויה לגרום לנזקים וחיובים נוספים. אנו נפרסם את הדלפות הנתונים שלנו בבלוג ההדלפות שלנו".
"סביר להניח שעכשיו צוות תגובה לאירועי סייבר (צוות IR) יחקור את האירוע, יבדוק את כמות המחשבים המודבקים, ימצא את נקודת החדירה ואת התאריך שבו התוקפים לראשונה קיבלו גישה למחשבים ויסגור את הפרצה שגרמה לתוקפים לקבל שליטה על המחשבים", אומר חוקר מודיעין הסייבר תום מלכה, בשיחה עם וואלה! טכנולוגיה. "אם מערך ה-IT של הטכניון השתמש בגיבויים, על צוות התגובה לבדוק שבחזרה מהגיבוי לתוקפים אין עדיין שליטה והחור אבטחה נסגר. באירועים שכאלו מומלץ לא לשלם לתוקפים, באותה נשימה משפט זה מאוד תלוי במצב הנוכחי בשטח ולפי החלטות של מקבלי ההחלטות".
"אין מן הנמנע שהקבצים שהוצפנו לא נלקחו לפני על ידי התוקף וזאת על מנת להשתמש בהם כגורם ממנף להפעלת לחץ לתשלום, בנוסף, יש לזכור שגם בר אילן הותקפה בעבר הלא רחוק על ידי קבוצה איראנית ובמתקפה זה נלקחו קבצים עם פרטים מזהים על סטודנטים", הוסיף מלכה.
רם לוי, מנכ"ל ומייסד "קונפידס", החברה להגנה ולניהול משברי סייבר, הגיב למתקפת הסייבר על הטכניון ואמר כי "הקבוצה שלקחה אחריות, Darkbit, איננה מוכרת ואף ציינה שהיישות הציונית צריכה לשלם על הפשעים שלה. לכן, בשלב זה ולפי דפוס הפעולה, נראה שמדובר במתקפה למטרות לאומניות ומדובר ב'פייק-כופרה'. קשה להעריך את היקף הנזק, אבל מניסיון עבר, ייתכן ותהיה לה השפעות משמעותיות על הסטודנטים, הסגל והצוות של האוניברסיטה אבל מניסיון העבר הם יעשו מאמץ רב כדי לעורר את כלי התקשורת לפרסם את התקיפה באמצעות הדלפות מאסיביות של מידע".
ענר יזרעאלי ראש מערך אבטחת מידע בחברת TORQ, מסביר כי "פריצה לטכניון זאת רעידת אדמה, אנו מתריעים כבר זמן רב על כך שיש עליה דרמטית בכמות הפריצות לחברות וארגונים, רק מעטים מהם מגיעים לתקשורת. האקרים ברחבי העולם, הצליחו למצוא פירצה המאפשרת להם גישה פנימה ולגנוב מידע. ההשפעה של הפריצות אדירה, מלבד המבוכה עשויה להביא לעוד חקיינים שיגבירו את הנסיונות לחדור לקודש הקודשים של ארגונים המהווים סמלים של מדינת ישראל. במקרה של הטכניון, נראה שהתקיפה צבועה בסימנים לאומניים".
ד"ר הראל מנשרי, ראש תחום סייבר ב-HIT מכון טכנולוגי חולון וממקימי מערך הסייבר בשב"כ:
"צריך לזכור שהטכניון אינו רק מוסד חינוכי אלא גם מחקרי, לכן צריך לראות ראות מה היקף הנזק והאם ניזוקו מערכות המחקר של המוסד. בטכניון הודיעו שנתקו את המערכות, המטרה של המהלך הזה הוא למנוע את המשך ההדבקה של המחשבים שמחוברים לרשת של הטכניון. הקבוצה התוקפת אינה מוכרת, וצריך לזכור שבעבר ראינו מתקפות של פרוקסי איראניים שהתחזו למתקפות כופר כמו במקרה של שירביט. במידה והם יתחילו לפרסם בעוד כמה שעות את חומרים מן המערכת, אפשר יהיה להניח שאכן מדובר בהתחזות למתקפת כופר".
לדברי מיי ברוקס-קמפלר, מומחית סייבר ומייסדת קהילת "בטוחים אונליין" בפייסבוק, קיים הבדל בין כופרה רגילה לכופרה כפולה: "בכופרה הרגילה - המידע מוצפן ובמידה ולחברה המותקפת יש גיבויים, ניתן כך להימנע מתשלום. בכופרה כפולה, טרם הצפנת הקבצים, התוקפים מדליפים את כל המידע ומאיימים בחשיפתו. במקרה של כופרה כפולה, קריטי להבין את מניעי התוקפים. אם מדובר על תקיפה אידיאולוגית, אז שתשלום לא באמת ישנה את המניעים ולכן ההמלצה היא לא לשלם".
אלכס שטיינברג מנהל מוצרים בחברת אבטחת המידע ESET מציין כי "המוטיבציה לגניבת מידע מהטכניון יכולה להיות מכמה סיבות, הראשונה היא על רקע מדיני, מדינות כמו איראן, סין ורוסיה למשל יכולות להפיק תועלת רבה מהמידע. בנוסף, ייתכן כי הם רוצים לגנוב את המידע כדי למכור אותו למי שיהיה מוכן לשלם עבורו וכך להרוויח. בהודעת הכופר שמופצת נראה התוקפים מבקשים סכום כספי גבוה, אך זה יכול להיות מסווה למטרות אחרות. ישנם מקורות שונים שמציינים כי גופים ביטחוניים ופרטיים מבקשים מהטכניון לבצע מחקרים אשר תוצאותיהם הן פרטיות ולא מיועדות לפרסום. אנו מקווים כי מידע רגיש לא דלף במסגרת המתקפה הזו".
אלי לוין, מנכ"ל ELPC Networks LtD, המתמחה באבטחת מידע וסייבר, מסביר כי מוסודות כמו הטכניון הן מטרה בקרב אקרים. "אחת הסיבות שאנו רואים יותר ויותר מתקפות על ארגונים מוסדיים היא שקבלת ההחלטות שם לוקחת המון זמן, מה שמשאיר פרצות אבטחה גלויות לעולם לאורך זמן ובכך לפורצים יש זמן רב לממש חולשות אלו. חייבים לייצר פרוטוקול שיאפשר לארגונים קריטיים בעלי חשיבות לקבל החלטות מהירות יותר, הן מסחרים והן מקצועית".
בחברת אבטחת הסייבר צ'ק פוינט מציינים כי ארגוני חינוך בישראל מותקפים כפול מהממוצע הכללי - 3383 מתקפות מדי שבוע (לעומת 1624 מתקפות שבועיות בממוצע הכללי). ארגוני חינוך הם מטרות מועדפות של האקרים שכן הם מאחסנים מידע אישי בעל ערך, לרוב מדובר במוסדות שפחות משקיעים בהגנה, ותקיפה מוצלחת שלהם יכולה לייצר הד נרחב במיוחד.