אם פעם היינו מדמיינים האקר כמישהו עם קפוצ'ון שמקליד בקדחתנות במרתף אפל, 2025 כבר נראית יותר כמו פס ייצור. דו"ח פשעי הסייבר השנתי של קבוצת KELA מצייר תמונה לא נעימה: הגניבה הגדולה באמת כבר לא מתרחשת דרך "פריצה" קלאסית כמו שראינו בסרטים, אלא דרך הדבר הכי מביך לארגונים - התחברות עם שם משתמש וסיסמה אמיתיים: 2.86 מיליארד פרטי גישה שנחשפו במהלך השנה, כשכ־30% מהם קשורים לשירותי ענן עסקיים ומערכות אימות.
באותו זמן, מתקפות הכופר לא רק לא נחלשות, הן מתגברות. לפי מרכז המודיעין והסייבר של קבוצת KELA תועדו ב־2025 לא פחות מ־7,549 קורבנות של מתקפות כופר, עלייה של 45% לעומת השנה הקודמת, וכצפוי חצי מהצרות בעולם עדיין מרוכזות בארה"ב: 53% מהקורבנות שם.
אבל הנתון שמסביר למה העסק נהיה מסוכן יותר הוא לא הכמות, אלא האופן. הדו"ח מדבר על מעבר מעוזרי AI ככלי שרק מסייע לתוקפים, למערכות כמעט אוטונומיות שמנהלות חלקים נרחבים מהפעילות ללא מגע יד אדם. גם ההאקרים משתמשים ב-וייב קודינג, ומצליחים להטעות סייעני AI, כדי לבצע פעולות זדוניות שמתחפשות לבקשות לגיטימיות.
וכשארגון מחבר עוד ועוד סוכני AI ומערכות אוטומציה, הוא מייצר לעצמו "פער אמון": אם סוכן אחד נפל בפח, הרבה יותר קל לגרור אחריו את השאר ולהעביר הוראות לאורך כל השרשרת - תוך עקיפה של שכבות ההגנה המסורתיות. כן, זה בדיוק הרגע שבו "אינטגרציה" הופכת למילה קצת פחות חגיגית.
גם כשכופר נכנס לתמונה, לא תמיד הוא הסיפור המרכזי. הדו"ח מתאר מגמה שבה מתקפות כופר -במיוחד כאלה שמקושרות לשחקנים מדינתיים - משמשות כהסחת דעת. בזמן שהארגון מתרוצץ כמו תרנגולת שחוטה בלי ראש סביב הצפנת המידע הארגוני, המטרה האמיתית יכולה להיות גניבת מידע, ריגול או פגיעה בפעילות העסקית. כלומר, הכופר הוא ההסחה, והחדירה למערכות היא התקיפה האמיתית.
עוד נתון מנפץ את המיתוס של "מערכת הפעלה בטוחה". אין יותר דבר כזה: תוכנות גניבת נתונים (keyloggers, פישינג וכיוצא באלה) כבר לא מתעניינות במערכת הפעלה מסוימת - והדו"ח מציין קפיצה דרמטית בהדבקות של macOS, מכ־1,000 מקרים ב־2024 ליותר מ־70,000 ב־2025. אם מישהו קונה מק "בגלל האבטחה" זה כבר לא ממש נכון.
עוד נתונים מעניינים מהדו"ח המסכם של קבוצת KELA הם הופעתן של 80 קבוצות כופר חדשות, ועלייה של 400% בהאקטיביזם, פעולות תקיפת סייבר על רקע פוליטי עם מתאם גיאוגרפי הדוק לאזורי סכסוך פעילים, ביניהם כמובן, ישראל ואיראן.
דוד כרמיאל, מנכ"ל קבוצת KELA, מסכם את השינוי: "אנחנו עדים לשינוי יסודי בהתנהגות התוקפים: מעבר מכלים שמסתייעים ב-AI, למערכות אוטונומיות לחלוטין, בהן מעל ל-80% מהפעילות מתבצעת ללא מעורבות אנושית. התוקפים כבר לא צריכים לפרוץ דרך 'הדלת האחורית', הם פשוט מוצאים את המפתח ונכנסים בדלת הקדמית. ארגונים שממשיכים להסתמך על מודיעין מיושן והגנות סייבר מסורתיות, במקום פתרונות מתקדמים מבוססי AI, משאירים את הדלת הקדמית פתוחה לרווחה".