ארגוני פשע שנפגעו מהקורונה גילו את הכסף הגדול באינטרנט

יחד עם הקורונה, מגפה של מתקפות כופר שוטפת את ישראל והעולם ■ הסיבה: העבודה מהבית הופכת את החברות לפגיעות יותר

שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
מפעל של חברת טאואר

בתחילת החודש דיווחה חברת השבבים הישראלית טאואר על אירוע סייבר חריג: לא רק שהוא פגע במערכות ה-IT שלה, אלא שהחברה נאלצה להשבית גם חלק ממערכות הייצור שלה (OT), מערכות ב"עולם האמיתי" - מה שנחשב לגביע הקדוש של ההאקרים.

טאואר היא חברה ציבורית שדיווחה ברבעון השני על הכנסות של 310 מיליון דולר. כלומר, בחישוב גס אובדן יום עבודה שלה בעקבות פגיעה כזאת יכול להגיע ל-3.4 מיליון דולר. זוהי מתקפה שבה הפצחנים מצפינים קבצים במחשבי הקורבנות, ודורשים דמי כופר כדי לנפק את "מפתחות ההצפנה" (כדי לשחרר את ה"נעילה" של הכופר), כך שהחברה המותקפת תוכל לחזור לעבודה סדירה. סוג המתקפה הזה אינו חדש ונמצא אתנו כבר חמש שנים לפחות, אך בשנה האחרונה ישנה עלייה חדה במספר המתקפות, כמו גם השתכללות היכולות של התוקפים.

בעקבות המתקפה עליה טאואר שילמה, והרבה. "תשלום הכופר בוצע בעידוד חברת הביטוח שלה, ומוערך בכמה מיליוני דולרים - ממש לא רבע מיליון דולר כפי שפורסם בכמה מקומות", כתבה עינת מירון, יועצת בתחום חסינות סייבר לארגונים, שמכירה את האירוע היטב, בקבוצה בטלגרם Cyber Resilince הדנה בנושא. טאואר עצמה מסרה לבורסה כי בשל הנזק התפעולי מהמתקפה היא צופה פגיעה בתוצאותיה ברבעון השלישי. בתגובה להודעה נפלה המניה במסחר ביום חמישי שעבר ב-1.3% (כ-25 מיליון דולר בשווי שוק).

המתקפה על טאואר היא מקרה קצה שיצא לתקשורת, אך אירועים כאלו קורים בישראל ברמה יומיומית. למשל, כנופיית כופר מוכרת בשם NetWalker דיווחה בתחילת ספטמבר בחשבון הטוויטר שלה על פריצה (לכאורה) שביצעה לחברת התוכנה הישראלית Panorama. ההאקרים אף פירסמו צילום מסך המעיד כביכול על המסמכים שהוצפנו, הכוללים מידע על עובדי החברה ולקוחותיה. ההאקרים אפילו טרחו לכתוב בטוויטר את מספר העובדים בחברה, 170, ואת היקף הכנסותיה השנתי, 31 מיליון דולר. בחברה לא הגיבו לדברים.

על פי נתוני מערך הסייבר הישראלי, "בחציון הראשון של 2020 היו 120 אירועי כופר, לעומת 200 ב-2019 כולה". כלומר, קצב של 240 מתקפות בשנה - עלייה של 20% - ואלו רק האירועים שמובאים לידיעת מערך הסייבר. יש אירועים רבים שבהם החברות מחליטות מטעמים שונים לא ליידע את רשויות המדינה על הפריצה.

לדברי שי סימקין, ראש תחום ביטוח הסייבר העולמי בחברת הביטוח האודן, "2019 היתה שנה קשה מאוד של אירועי מתקפות כופר. כל תעשיית הביטוח שילמה הרבה כסף, אבל 2020 כבר עברה אותה בגדול". בישראל, רק חברות גדולות רוכשות ביטוח סייבר, אך סימקין מדווח על עשרות תביעות ביטוח בשנה שקורות בישראל ומעריך שעם העלייה במספר המתקפות ובדרישת התשלום, שגם היא מטפסת - הפרמיות על ביטוח סייבר יתייקרו בעד כ-25%.

על פי חברת אבטחת המידע Bitdefender, ב-2020 נרשמה עלייה של 715% במספר המתקפות מסוג כופר בעולם. על פי חברת הביטוח Coalition, העלייה בתביעות הקשורות באירועי כופר עלתה ב-260% בחצי הראשון של 2020 לעומת התקופה המקבילה ב-2019. עוד מסרה החברה, כי אירועים מסוג זה היוו את החלק הגדול ביותר מכלל התביעות שהוגשו נגדה (41%).

"גם העבריינים עוברים לדיגיטל"

"אחת הסברות היא שבחודשים האחרונים הרבה מאוד אנשים עובדים מהבית והרבה ארגונים לא מאבטחים את תחנות הקצה (המחשבים; א"ז) של העובדים בבית", אומר אדי בובריצקי, מנכ"ל מינרבה לאבס, סטארט־אפ בתחום הסייבר שעוסק בהגנה על תחנות קצה. "זה הרי לא עניינו של המעסיק מה אני עושה במחשב אחרי שעות העבודה. אז הארגונים מגינים על החיבור לרשת הארגונית, שיהיה מוצפן, אבל המחשב הפרטי נשאר חשוף".

בובריצקי מעריך שייתכן שהאקרים ניצלו את החודשים האחרונים של העבודה מהבית, למשל, כדי לגנוב סיסמאות וכעת מנסים באמצעותן לחדור באמצעותן לרשת הארגונית. "אלה וירוסים חמקניים", הוא אומר, "כי ההאקר יודע שככל שיצפין יותר מהרשת - כך עולה הסיכוי לקבל יותר כסף".

במלים אחרות, בובריצקי טוען כי "שטח התקיפה" גדל. העבודה מהבית הגדילה להאקרים את הזדמנויות התקיפה. אגב, גם תוכנות הגישה מרחוק נהפכו לנקודת כשל בעצמן, וראינו כמה מתקפות שמנצלות חולשות בתוכנות VPN (רשת פרטית וירטואלית) ואמצעים אחרים לעבודה מרוחקת.

"העובדה שארגונים דיגיטליים יותר הופכת את הכופר לאפקטיבי יותר, והתוקפים יכולים לבקש יותר", אומר עופר מאור, סמנכ"ל הטכנולוגיות של Mitiga, סטארט־אפ העוסק בניהול אירועי סייבר אחרי שהפריצה כבר התרחשה. "יש רמות שונות של כופרות, אבל אנחנו יודעים שהתוקפים החזקים לומדים את הביזנס של הארגון אותו הם תוקפים ויודעים כמה הוא יכול לשלם. אם פעם דרישת הכופר לארגון בינוני היתה עשרות אלפי דולרים - כיום זה מאות אלפי דולרים. אבל אף שמשטח התקיפה גדל, יש גידול במתקפות בשל הגדלת המאמצים מצד התוקפים. כמו שכל התעשייה צומחת ועוברת לדיגיטל - גם העבריינים עוברים לדיגיטל. הם רואים שזה עובד קל ומשתלם - ומאמצים את הסייבר".

אותם עבריינים שמאור מדבר עליהם הם ארגוני פשע מסורתיים שספגו גם הם מכה בהכנסות "המסורתיות" שלהם בתקופת הקורונה. כך למשל, קרטלים בתחום הסמים חוו פגיעה משמעותית בשרשרת האספקה וההפצה שלהם. ההערכה היא שחלק מאותם ארגונים העבירו מאמצים לזירה המקוונת, כאשר בעקבות גלי הפיטורים בחברות הטכנולוגיה - הארגונים אף הצליחו לגייס אליהם מהנדסים.

שעון של חברת גרמיןצילום: ללא קרדיט

"ההתפתחות הראשונה שעברו הכופרות ב-2019 זה מעבר מתקיפה של חברות העובדות עם צרכנים (B2C) - לתקיפה של חברות המשווקות לעסקים (B2B), שבאופן מסורתי הן גדולות יותר. כך אפשר לדרוש מיליוני דולרים למתקפה, כמו המתקפה ההרסנית שעברה באחרונה חברת שעוני הכושר גרמין, שנאלצה לשלם כופר המוערך ב-10 מיליון דולר", אומר אלון ארבץ, מנכ"ל Intsights, חברת הזנק שמתמחה במודיעין סייבר. לטענתו, קבוצות פשע מאורגן באמריקה הלטינית עוברות תהליך של דיגיטציה ועובדות בשיתוף פעולה עם האקרים מנוסים - לצורך מתקפות או הלבנת הון.

"ב-2019 האקרים גם החלו להתאגד בקבוצות, ממש פשע מאורגן, שהידועה שבהן היא Maze", מוסיף ארבץ. מייז יצרה קרטל בין הפצחנים: ההאקרים חולקים ביניהם ידע, ומסייעים אחד לשני בתהליך הסחיטה.

שינוי נוסף שחל הוא הגדלת מידת הלחץ שהתוקפים מפעילים על הארגון - לא רק בהצפנת הקבצים, אלא גם בגניבתם. "הם מאיימים שאם מישהו לא ישלם את הכופר - הם יפרסמו את המידע שלו אונליין", אומר ארבץ. "תחשוב על חברה ציבורית שמאיימים לפרסם את כל המידע שלה ברשת. התוקפים הרבה פעמים מתחילים לשחרר לרשת דוגמיות של המידע שבידיהם, וזה מאפשר להם לגבות הרבה כסף".

התפתחות עסקית רביעית במתקפות שאותה מציין ארבץ היא מה שמכונה RaaS, "וירוס כופר כשירות". "נתקלנו במערכות כאלו שלמעשה מאפשרות להתחבר אליהן, לפתוח יוזר ולהתחיל קמפיין תקיפה. החברה תוקפת בשבילך, תמורת אחוזים מהכופר", מספר ארבץ. אפילו יש מחירון, שנע בין 16% ל-20% מהכופר שהולך למפעילת השירות. מן הסתם הפעילות הזאת הורידה חסמים והגדילה את הנגישות למתקפות כופר למעשה לכל מי שמעוניין.

"אפשר להגיד שווירוס הכופר השתכלל לכדי עסק, עם צ'אטים מסודרים עם הקורבנות, מערך משא ומתן, מחויבות לרמת שירות וכו'", אומר ארבץ. למשל, חברים בקרטל מייז מתחייבים (אחד בפני השני) תמיד להשיב את הקבצים למי ששילם.

לגבות ולתרגל

מה אפשר לעשות נגד מתקפת כופר? מלבד התחמשות בהגנות הרגילות, אנטי וירוס ופיירוול, אחד הדברים הטריוואליים הוא גיבוי הקבצים, כך שניתן לשחזר אותם במהירות גם אחרי אירוע הצפנה. "אבל גיבוי טוב, שמוגדר בקפידה, ושלא ניתן לדרוס אותו", מדגיש מאור, "כי אחד הדברים שהתוקפים עושים הוא לחפש את הגיבויים ולדרוס אותם או לנטרל אותם".

עצה נוספת היא להחזיק ביטוח סייבר. העלויות שלו מגוחכות לעומת העלות של שעות עבודה של איש פורנזיקה שמוקפץ לאירוע (ולכן גם צפויה עלייה בפרמיות). "אתה חייב להבין איך חדרו לך למערכת, אחרת תוך חודש יחדרו לך שוב. הגענו לארגון בצפון אמריקה שהוצפן כבר שש פעמים", אומר בועז דולב, מנכ"ל חברת מודיעין הסייבר ClearSky.

דולב, אגב, לא בטוח שהדבר הנכון הוא לשלם את הכופר: "גם אם הפושעים מקפידים להעביר את מפתחות ההצפנה, תהליך ההצפנה הוא ברוטלי ולפעמים, אפילו בדרך כלל, בסיסי הנתונים לא עוברים את זה בשלום, ובתהליך השחזור הקבצים פגומים. יוצא שהתהליך נכשל גם אם שילמת, אז רכישת המפתחות לא עוזרת". לדברי סימקין, "הדבר הכי חשוב זה לתרגל, להבין שאירוע כזה יכול לקרות יום אחד ולהחליט מראש בסימולציה - מי מטפל ומה עושים, מה-IT ועד המחלקה המשפטית".

לחצו על הפעמון לעדכונים בנושא:

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker