מתפרסם מאז שנת 1999
מערך הסייבר הלאומי: המגמה הרווחת בשנה האחרונה לגבי תקיפות כופרה היא שיטת הפעולה של מיקסום הזדמנויות
מערך הסייבר הלאומי השיק היום (14.7.2021) קמפיין להעלאת המודעות להתגוננות מתקיפות כופרה. בהודעת המערך נאמר כי “תקיפות כופרה הפכו בתקופה האחרונה למתקפות הסייבר הפופולריות והנפוצות ביותר בעולם כנגד ארגונים וחברות, כשמטרות אטרקטיביות במיוחד הן עסקים קטנים וחברות טכנולוגיה. בעקבות העלייה בהיקף ובחומרת המתקפות, השיק היום מערך הסייבר הלאומי קמפיין נרחב להעלאת המודעות של הציבור, ובעיקר של עסקים, למשמעויות התקיפה ולדרכים להתגונן מפניה.
הקמפיין, שהושק היום ברדיו ובדיגיטל, מבוסס על עדויות ומקרים אמיתיים של עסקים שהותקפו במתקפת כופרה וחוו נזקים משמעותיים – אובדן ימי עסקים, עלויות שחזור, אובדן מידע על לקוחות ואי יכולת לחייב תשלומים. בעלי העסקים שהשתתפו בתשדיר, חלקם בשמם המלא, הסכימו לחשוף את הסיפור שלהם כדי לסייע לעסקים אחרים להיערך מראש ולהתגונן מבעוד מועד.
לפי הודעת מערך הסייבר הלאומי, מתקפת כופרה, לרוב למטרות סחיטה פיננסיות, נועלת ומצפינה את המידע על מערכות המחשב ודורשת סכום לשחרורו. מניתוח מתקפות הכופרה שדווחו למערך עולה כי הן החלו לרוב באמצעות שליחת דוא”ל עם הודעת דיוג (פישינג) או באמצעות חדירה דרך ממשקים חשופים לרשת האינטרנט, בפרט ממשקי גישה מרחוק כגון RDP או ציוד VPN ארגוני, וכן שרתי Web. שיטות נוספות שנצפו היא ניצול נקודת תורפה בספק שמחובר ללקוחותיו והתפשטות ממנו הלאה.
“לא רק שתקיפות כופרה הפכו נפוצות יותר, הן גם נהיו בוטות ונועזות יותר”, מסביר יובל שגב ראש מרכז טכנולוגיות מתקדמות במערך הסייבר הלאומי. “תוקפים לא רק מצפינים את מערכות המחשוב הארגוניות, אלא גם גונבים את המסמכים והמידע ומאיימים לפרסמם ברשת. ארגון שכבר הותקף ולא נערך מראש עם גיבוי יעיל, יתקשה מאוד להתאושש. בנוסף, רוב מתקפות הכופרה שראינו בארץ היו יכולות להימנע באמצעות פעולות הגנה בסיסיות”.
המגמה הרווחת בשנה האחרונה היא שיטת הפעולה של מיקסום הזדמנויות: תוקפים פועלים בשלב ראשון מול מספר גדול של חברות ומתוך אלו שהצליחו לחדור אליהן, בוחרים את ה”דגים השמנים” ומולם מפעילים את מתקפת הכופרה. בנוסף, במערך מזהים יותר ויותר תשתיות שמוצעות למכירה ברשתות האפלות, של “שירותי תקיפת כופרה למכירה – Ransomware-as-a-service, RaaS – מה שמצריך הבנה בסיסית עד בינונית בלבד, להוציא לפועל מתקפות טכנולוגיות מתוחכמות יחסית ואף הרסניות, באמצעות אותו שירות מדף.
עוד מציין מערך הסייבר כי לא רק קלות התקיפה השתנתה, אלא גם קיצור הזמן מרגע החדירה לארגון ועד להצפנת הקבצים, מה שמקשה לעיתים לזהות את התקיפה ולעצור אותה מבעוד מועד. במקרים שנצפו בעולם, הצליחו תוקפים להשמיש חולשה מסויימת ולהצפין ארגונים בתוך חמש שעות בלבד, במקום מספר ימים.
המענה למתקפות מסוג זה הוא בעיקר ביצוע גיבויים עיתיים וסגירת חולשות, אך לא רק. לדברי ארז תדהר מנהל אגף CERT במערך הסייבר הלאומי, “מאירועי הכופרה שהתקבלו אצלנו ניתן לראות כי חברות המסתמכות על גיבויים בלבד, ללא סיוע של חברות לטיפול באירוע (IR), מוצאות עצמן מתגלגלות בתוך תקיפת כופרה זמן ממושך יותר, דבר המוביל להפסד כספי אדיר”.
במערך פרסמו מדריך ייעודי לאזרח, לעסקים קטנים ולארגונים גדולים וכן מעמיד מענה לציבור בחיוג ישיר 119. במערך ממליצים להיעזר באיש/אשת מקצוע וחברות סייבר לתכנון ולהטמעת שיטות ההגנה המתאימות לארגון. בתור התחלה, ניתן לבצע חמישה צעדים פשוטים להגנה מבעוד מועד ולצמצום הסיכוי להיפגע ממתקפת כופרה.