לאחרונה חווה בית החולים "הלל יפה" שבחדרה מתקפת כופרה, שהובילה להשבתת מערכות ה-IT של בית החולים, להאטת פעילותו, למעבר לתהליכי רישום חולים ידניים ולדחיית טיפולים שאינם דחופים. תקיפה זו מצטרפת לתקיפות רבות שאירעו על ענף הבריאות ברחבי העולם בשנתיים האחרונות, ביניהן מתקפות כופרה על בתי חולים, מרפאות, חברות ביטוח רפואי ושירותי בריאות לאומיים בארה"ב, באוסטרליה, בניו-זילנד, בצרפת ובאירלנד. ההד התקשורתי והנזק שהסבו מתקפות אלו הובילו לקשת רחבה של מענים, אולם לא נראה כי בדרכה להיעצר בזמן הקרוב.
מגמות באיומי מתקפות הכופרה
מתקפות הכופרה, במסגרתן מדביק התוקף את מטרתו בנוזקה המצפינה קבצים ודורש כופר תמורת שחזורם, אינן איום חדש. מתקפת הכופרה הראשונה בהיסטוריה תועדה בשנת 1989 כשווירוס בשם AIDS Trojan הופץ על גבי דיסקט והאיום הפך לתופעה נרחבת כבר ב-2012. עם זאת, במהלך 2020 ו-2021, עברייני כופרה הפכו לנועזים ומתוחכמים יותר והחלו להשתמש בשיטות נוספות לסחיטת קורבנותיהם. אם בעבר מתקפות כופרה היו מסתכמות בהצפנת המידע על מחשבו של הקורבן, הרי שכיום מוכרים העבריינים את המידע ברשת האפילה, מפרסמים אותו לציבור ומודיעים על התקרית לשותפים וללקוחות של הקורבן וגורמים לנזק תדמיתי משמעותי אף יותר.
לצד זאת, ההתמקדות בתשתיות קריטיות הציבה את מתקפות הכופרה על קו התפר שבין פעילות עבריינית בעלת מניעים כספיים לבין פעילות המאיימת על הביטחון הלאומי. על קו התפר הזה, ארגוני פשיעה, הפועלים לרוב משטחן של מדינות זרות, מקיימים לעיתים מערכת יחסים שנויה במחלוקת עם ממשלות, המבוססת על רמות משתנות של הכוונה או העלמת עין מכוונת מצד גופי האכיפה המקומיים. דוגמה לכך היא קביעתם של גורמי אכיפה ומודיעין אמריקניים, לפיה ממשלת רוסיה מאפשרת במודע לקבוצות עברייני סייבר לפעול משטחה. כמו כן, ביולי קבע הבית הלבן, כי האקרים שפעלו בחסות ממשלת סין, פועלים גם מטעמי רווח אישי ומעורבים במתקפות כופרה ובסחיטה.
מענים ממשלתיים ובין-לאומיים
האופי התקשורתי והציבורי של מתקפות הכופרה והנזק שנגרם הובילו להבנה שיש צורך במענה ממשלתי לאומי להתמודדות עם התופעה. המאמצים הבולטים ביותר בהקשר זה, היו של הממשל האמריקני, שהגדיר את מתקפות הכופרה כאיום על הביטחון הלאומי והודיע על כוונתו לשפר את חסינותם של חברות וגופים אמריקניים ולהעלות את מודעותו של הציבור האמריקני לאיומי הכופרה. לצד זאת, החלו גופי ממשל, אכיפה וצבא אמריקניים, כגון מחלקת המשפטים, מחלקת האוצר, ה-FBI ופיקוד הסייבר לשבש את פעילותם של עברייני סייבר, לעקוב ולחסום תשלומי כופר במטבעות דיגיטליים ולהטיל סנקציות על מדינות המאפשרות לעברייני סייבר לפעול משטחן וכן על פלטפורמות להמרת מטבעות דיגיטליים המעבירות תשלומי כופר לעבריינים.
כמו כן, ארה"ב פועלת לקדם את המאבק במתקפות הכופרה גם בזירה הבין-לאומית. ביולי פרסמו מנהיגי מדינות ה-G7 הצהרה, בה קראו למדינות לפעול נגד קבוצות עברייני כופרה הפועלות משטחן והודיעו כי יראו בהן אחראיות לפעילותם. במקביל, כינס הבית הלבן נציגים מ-30 מדינות על מנת לדון בהגברת התיאום בין גופי האכיפה בנושא המאבק בהלבנת תשלומי כופר, ובחקירה והגשת כתבי אישום כנגד עברייני סייבר המעורבים במתקפות כופרה.
שימוש בכוח כנגד עברייני סייבר
מאמציו של הממשל האמריקני להתמודד עם מתקפות הכופרה הובילו לדיון בנושא יעילות המענים המתגבשים. בשל השלכותיהן של מתקפות אלו והקשר שבין עברייני כופרה לממשלות זרות, הוקדש נתח משמעותי מהדיון לכוונתו של הממשל להשתמש ביכולות סייבר התקפיות כנגד עברייני סייבר.
השימוש בכוח צבאי לטובת שיבוש מתקפות כופרה טומן בחובו מספר אתגרים. האתגר הראשון הוא איום הזליגה של יכולות סייבר התקפיות, כגון וירוסים ותולעים לידיהם של גורמים זדוניים. אתגר זה מסתמך על העובדה שקוד זדוני עלול להישאר ברשת או במערכות הקורבן, לעבור הנדסה לאחור ולשמש אותו לצרכיו. דוגמה לכך היא מחקר של חברת Check Point שקבע כי נוזקה, שפותחה במקור על-ידי הסוכנות האמריקנית לביטחון לאומי (NSA), נפלה לידי האקרים הפועלים בחסות סין והוסבה מחדש לשימושם בין השנים 2017-2014. על-פי המחקר, הנוזקה נגנבה ככל הנראה במהלך מבצעי סייבר של ה-NSA שהתמקדו במטרות סיניות, או במטרות במדינת צד-שלישי. כמו כן, גורם אמריקני בכיר, שהתראיין בעילום שם למגזין Newsweek ביוני 2021, הזהיר כי יכולות סייבר התקפיות, שפותחו במקור על-ידי ארה"ב, זולגות ומגיעות לידיהם של גורמים מדינתיים ושל עברייני סייבר ומשמשות לצורך מתקפות כופרה על ארגונים ומטרות בארה"ב. דבריו מובילים להערכה כי השימוש ביכולות סייבר התקפיות במטרה לשבש את פעילותם של עברייני סייבר, עלול דווקא לחזק אותם ולתת להם גישה לכלי תקיפה מתוחכמים.
סיכון נוסף, הוא שעל-ידי שימוש בכוח צבאי נגד עברייני סייבר, ארה"ב עלולה לייצר תקדימים שיאפשרו ליריבותיה להצדיק שימוש ביכולות סייבר צבאיות כנגד מטרות בארה"ב או במדינות אירופה, המהוות גם הן מקור למתקפות כופרה. כמו כן, פעילות סייבר צבאית המכוונת להרתעת גורמים זדוניים עלולה להיות "רועשת" באופייה, דבר שעלול לעודד תגובה מצד מדינות זרות שברשתותיהן זוהתה הפעילות.
לבסוף, נשאלת השאלה של עלות ותועלת. ההתמקדות הצבאית והמודיעינית בקבוצות עברייני כופרה היא עניין מורכב בשל העובדה שקבוצות אלו נוטות להיעלם ולהופיע מחדש תחת שמות חדשים. לעומת זאת, התועלת שבמבצעים אלו לרוב מוגבלת. באוקטובר 2020 פעל פיקוד הסייבר במטרה לנטרל את רשת הבוטים Trickbot. חודשים ספורים לאחר מכן, שבו מפעילי הרשת לפעילות מלאה.
פגיעה ברווחיות שוק מתקפות הכופרה
בדומה לצורות אחרות של פשיעה, הדרך למזעור תופעת מתקפות הכופרה כוללת פגיעה ברווחיות שלהן. כחלק מכך, על ארה"ב ובעלות בריתה להתמקד בהקמת קואליציה של מדינות, שתשמש כפלטפורמה לשיתופי פעולה בין גופי האכיפה לטובת מעקב ושיבוש של העברת תשלומי כופר וכן החרמה של כספי כופר. דוגמה לכך היא פעילותו של ה-FBI לאחר מתקפת הכופרה על Colonial Pipeline, במסגרתה פרץ לחשבון הארנק הדיגיטלי של התוקפים והחרים חלק מסכום הכופר ששילמה החברה. פעולות אלו עשויות להיות יעילות, אולם הן אינן מהוות פתרון עבור כל מתקפות הכופרה ויובילו לכל היותר לירידה במספר מתקפות הכופרה המתמקדות בארגונים גדולים ובתשתיות קריטיות. כמו כן, פעילויות אלו יחייבו קבלת תמונת מצב מלאה של היקף התופעה ודיווח לרשויות על מתקפות כופרה מצד הקורבנות.
לצד זאת, על ארגונים וחברות לנסח מדיניות אבטחת סייבר ברורה, המגדירה לוחות זמנים לעדכון תוכנות תקופתי, להטמיע פתרונות של אימות משתמשים רב-שלבי ולפצל את רשתותיהם הפנימיות, במטרה למנוע מתוקף פוטנציאלי מלנוע ברחבי הרשת הארגונית.
הכותב הוא חוקר בכיר ואחראי פרויקט הסייבר של סדנת יובל נאמן למדע, טכנולוגיה וביטחון באוניברסיטת תל-אביב
