שירביט לא לבד: BlackShadow תקפה בסייבר חברת מימון רכב ישראלית

קבוצת ההאקרים Black Shadow שתקפה את חברת הביטוח בדצמבר ביצעה מתקפת סייבר נגד ק.ל.ס. קפיטל ופרסמה מאות מסמכים ● עינת מירון, מומחית לחוסן בסייבר: "קשה לבוא בתלונות להאקרים – הם רק הרימו את מה ש'מונח על הרצפה'"

קבוצת BlackShadow תוקפת שוב חברה ישראלית. ק.ל.ס. קפיטל

שירביט לא לבד כבר. ההאקרים, ככל הנראה איראנים, תקפו  שוב בסייבר חברה ישאלית, הפעם חברת מימון רכב.

קבוצת ההאקרים Black Shadow, אשר תקפה בסייבר את חברת הביטוח בדצמבר האחרון, ערכה מתקפת סייבר נגד ק.ל.ס. קפיטל, חברת מימון רכב. ההאקרים פרצו למערכות המחשוב של ק.ל.ס. קפיטל, גנבו מסמכים בהיקף נרחב ופרסמו מאות מהם.

בקבוצת טלגרם שההאקרים הקימו, הם כתבו, כי "אנו כאן כדי להודיע שמתקפת סייבר בוצעה כנגד K.L.S CAPITAL LTD שבישראל. השרתים שלהם נהרסו ופרטי הלקוחות של החברה מצויים בידינו. לאחר שלוש יממות של משא ומתן, אנשי החברה החליטו שלא לשלם לנו דמי כופר בסך עשרה מטבעות ביטקוין (סכום השווה ליותר משני מיליון שקלים, י.ה.), וכעת הדלפנו חלק מהמסמכים שלהם. חלק מפרטי המשא ומתן יפורסמו מאוחר יותר…"

בין המסמכים שהודלפו בקבוצת הטלגרם פורסמו מסמכים לבקשה למימון ולמימון כלי רכב של לקוחות, תעודות הזהות ורישיונות הנהיגה שלהם.

עינת מירון, יועצת לחוסן בסייבר. צילום: יח"צ

עינת מירון, יועצת לחוסן בסייבר. צילום: יח"צ צילום: יח"צ

לדברי עינת מירון, מומחית לחוסן בסייבר, להיערכות ולהתמודדות עם מתקפות בהיבטים העסקיים, "קשה לבוא בתלונות לקבוצת ההאקרים. מבחינתם, אם חברות מחזיקות מידע רגיש של לקוחות בלא כל אמצעי הגנה ובקרה, הם ירימו את מה ש'מונח על הרצפה'. זה עד כדי כך פשוט". מירון הוסיפה, כי "נשאלת השאלה מדוע לאחר שלב האימות, חברות ממשיכות לשמור את המידע בצורה כה רשלנית. האם אין דרך להצפין את התיקייה? או, לכל הפחות, להגן עליה עם עוד סיסמה? מתקפות סייבר קרו, קורות ויקרו, וגם יהיו להן הצלחות. למרות זאת, חשיבה מוקדמת וניתוח היבטי הסיכון הייחודיים למתקפות סייבר העלולום להתממש מחייבים חשיבה מוקדמת כיצד להימנע מחשיפה מיותרת שכזו".

נדב אביטל, ראש קבוצת המחקר בחברת הסייבר אימפרבה. צילום: יח"צ אימפרבה

נדב אביטל, ראש קבוצת המחקר בחברת הסייבר אימפרבה. צילום: יח"צ אימפרבה

לדברי נדב אביטל, ראש קבוצת המחקר בחברת הסייבר אימפרבה, "חלק טוענים שזו תקיפה למטרות רווח בלבד וחלק טוענים שדרישת הכופר היא למראית עין בלבד ושאירן עומדת מאחורי קמפיין נרחב נגד מטרות בישראל.  יש השערה לא מאומתת, שיכול להיות שהתוקפים ניצלו חולשת אבטחה בשירות ה-VPN של החברה שהותקפה כדי לחדור לרשת הארגונית. בשלב זה, מה שידוע לפי מסמכים שהודלפו הוא, שיש לתוקפים הרבה מאוד מידע מתוך הרשת הארגונית, כולל גישה למאגרי נתונים שמכילים פרטי לקוחות רגישים וגיבויים. עצם זה שיש לתוקפים גישה גם לגיבויים – מעלה שאלה לגבי היכולת של הקורבן לשחזר מידע שאבד".

לטם גיא, סגן נשיא למוצר, סייבריזן. צילום: מיכה לובוטון, סייבריזן

לטם גיא, סגן נשיא למוצר, סייבריזן. צילום: מיכה לובוטון, סייבריזן

לדברי לטם גיא, סגן נשיא למוצר, סייבריזן, "קבוצת ההאקרים שעומדת מאחורי התקיפה לק.ל.ס. היא BlackShadow, אותה הקבוצה העומדת מאחורי התקיפה של שירביט בדצמבר האחרון. בשני המקרים, זו היתה תקיפה מסוג Extortion. כלומר, ניסיון סחיטה של החברות. התוקפים הצליחו להגיע לשרתי הארגון, להדליף מידע על החברות ולאיים כי אם לא ישלמו להם את סכום הכופר הם יפרסמו את המידע. ההמלצה היא לא לשלם את דמי הכופר, לא במקרים כאלו ולא במקרים אחרים. במקרי סחיטה, הסיכוי שאם הנתקפים משלמים, התוקפים אכן לא יפרסמו את המידע הוא סיכוי אפסי. לכן, טוב עשו החברות שלא שילמו את הכופר. התוקפים טוענים כי התקיפות האלו הן למטרות רווח, אך כלל לא בטוח שזו כוונתם האמיתית. גם בתקיפה הקודמת התוקפים טענו שמטרתם היא תשלום הכופר, אך כיוון שהוא לא שולם אז, מוזר שהתוקפים בחרו בשיטה זהה גם הפעם. לכן, ייתכן שמטרתם האמיתית היא להביך את החברות הספציפיות האלו, או באופן כללי חברות ישראליות".

מתן ליברמן, מנהל פעילות סמפריס בישראל. צילום: יח"צ סמפריס

מתן ליברמן, מנהל פעילות סמפריס בישראל. צילום: יח"צ סמפריס

מתן ליברמן, מנהל פעילות סמפריס בישראל, ציין, כי "המתקפות על חברות, ובמיוחד על חברות ישראליות – לא תיפסקנה. חברות חייבות להיות מוגנות ומוכנות לשלושת העמודים המרכזים: לפני תקיפה עליהן לבצע הערכת פגיעות באופן מתמיד וניטור המערכות; בזמן תקיפה עליהן להיות בעלות יכולת להתראה מיידית ולתגובה אוטומטיות; לאחר התקיפה הן נדרשות ליכולת התאוששות מאסון ושרידות הארגון. הקמת חומות וטיפול באזורים מוחלשי, יורידו את סיכוי הפריצה לארגון, אבל עם כל חומות ההגנה, אין כל ארגון שהוא בטוח לחלוטין, וארגונים צריכים להיפטר מגישת 'לי זה לא יקרה'."

מק.ל.ס. קפיטל נמסר בתגובה, כי "מערך הסייבר הלאומי פנה לפני שלושה ימים לק.ל.ס קפיטל והתריע כי עשויה להתרחש תקיפת סייבר נגד החברה. מדובר בהתקפה הדומה להתקפות רבות שמנהלת איראן, על שלוחותיה, נגד מטרות ישראליות, ובהן חברות וגופים ציבוריים ופרטיים. הנהלת החברה פעלה באופן מיידי להורדת שרתי המחשב של החברה, וחברה למערך הסייבר הלאומי – שיחד עם מומחים מטעם החברה – בודקים את האירוע. החברה התקינה את שרתיה מחדש ובעיית דלף המידע נפתרה. טרם ידוע מה היקף המידע שנחשף. החברה תעמוד בקשר עם לקוחותיה בהתאם לממצאים".

דבר המתקפה על שירביט פורסם בתחילת דצמבר האחרון, אולם מומחי אבטחה העריכו כי היא בוצעה כמה חודשים קודם לכן. בעקבות הפרסום, יחידת להב 433 של המשטרה פתחה בחקירת המתקפה, שבמסגרתה דלף מידע רב של לקוחות ועובדי החברה. החקירה החלה בעקבות תלונה שהגישה שירביט.

הפריצה בוצעה על ידי קבוצת ההאקרים BlackShadow, שאיימה שאם שירביט לא תשלם לה דמי כופר – היא תפרסם עוד ועוד מסמכים, ובסופו של דבר תמכור אותם לצדדים שלישיים – שני איומים שמומשו בסופו של דבר. הקבוצה איימה ופרסמה מסמכים הנוגעים ללקוחות החברה, בהם ח"כ אבי דיכטר (הליכוד), לשעבר ראש השב"כ. כמו כן, היא פרסמה בטלגרם התכתבויות של המשא ומתן בינה לבין חברת הביטוח. כמו במקרה הנוכחי, גם באירוע מדצמבר הקבוצה המשיכה לדרוש משירביט את תשלום דמי הכופר, שעמד על מטבעות ביטקוין בסכום השווה לארבעה מיליון דולר – סכום שהחברה סירבה לשלם, ובעקבות הסירוב, התפוצץ המשא ומתן בינה לבין ההאקרים.

בעבר אמר לאנשים ומחשבים ד"ר הראל מנשרי, ראש תחום הסייבר במכון טכנולוגי חולון HIT, כי "מתקפת הכופרה על שירביט אינה אירוע סייבר שמטרתו כספית. התוקפים רצו להוציא מידע ולרגל בסייבר, ועשו זאת במידה מסוימת של הצלחה. הם תקפו גם למטרת נזק למערכות המידע וניצלו את ההזדמנות לתקיפה למטרות השפעה ותודעה. כשהם פותחים ערוץ טלגרם ומזמינים עיתונאים להיכנס ולנהל עימם דו-שיח, כאשר הם נותנים לוחות זמנים לא ריאליים לתשלום דמי הכופר – זו אינה מתקפה כופרה, והכסף הוא רק מסך עשן".

הרשות להגנת הפרטיות הגיבה לאירוע וציינה, כי "בעניין אירוע אבטחת מידע בחברת ק.ל.ס קפיטל, הרשות בוחנת, בשיתוף כל הגורמים הרלוונטיים, את פרטי האירוע והשלכותיו. כזכור, במקרים מסוג זה הרשות עשויה שלא לאשר העלאת מערכות החברה עד שיוסר החשש להמשך דלף המידע. בנוסף, הרשות יכולה לחייב את החברה בעדכון הלקוחות שנפגעו, או שעלולים להיפגע, באופן אישי אודות הדלף".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים