עוד מתקפת כופרה על ישראל; הקורבן: חברת הלוגיסטיקה וריטס

ממשיכות מתקפות הכופרה על ארגונים ישראליים: בעוד שהבוקר (ב') פורסם מחקר של חברת האבטחה סופוס שלפיו מחצית מהארגונים בישראל חוו מתקפות כופרה בשנה האחרונה, בהמשך היום נודע כי וריטס, שעוסקת בתחום ניהול שרשרת האספקה, סבלה ממתקפה מסוג זה. התוקפת הייתה קבוצת האקרים איראניים.

מחשבי החברה (אין קשר לחברת ה-IT וריטאס) ננעלו ביום ה' האחרון על ידי קבוצת פשיעה בסייבר, שדרשה תשלום כופר בסך ארבעה ביטקוין – סכום השווה לכרבע מיליון שקלים. אף שההאקרים פרסמו בדארקנט מסמכים של החברה המותקפת, הרי שמ-וריטס נמסר כי "לא בוצעה גניבת מידע מהחברה, לא מלקוחות החברה ולא הייתה פגיעה בשרתי הגיבוי".

משה יחזקאל, יו"ר החברה, כתב בהודעה באתר שלה כי "לא הייתה כל כוונה לשלם את הכופר שנדרש. עם גילוי המתקפה בוצע ניתוק של כלל המחשבים והשרתים מהרשת הארגונית וסגרנו את כל היציאות והכניסות ממערכת הפיירוול. מערכת הגיבוי הופעלה משרת אחר בענן והחלה סריקה של כל השרתים, על מנת למחוק כאלה שהם נגועים בשל המתקפה. סרקנו את כל השרתים בכלים מתקדמים מאוד. רק לאחר שהבטחנו שהמערכת נקייה מכל פגע, ביצענו עלייה לאוויר באופן מדורג, ובשל כך החברה חזרה לעבוד בצורה תקינה לחלוטין".

מתקפות ראשונות לקראת יום ירושלים האיראני?

בסוף השבוע התריע מערך הסייבר הלאומי כי מתקפת כופרה הופעלה נגד ארגונים שונים בישראל. לפי המערך, "ייתכן שהגורם האחראי לתקיפות אלה אחראי גם לתקיפות קודמות, בקמפיין המזוהה עם Pay2key". החוקרים בוחנים אם ההאקרים, המזדהים כ-נט-וורם, "תולעת רשת", הם אכן גלגולה של אותה קבוצה איראנית.

קבוצת ההאקרים האיראנית עלתה לכותרות בשנה שעברה. בדצמבר האחרון ההאקרים, חברי קבוצת Pay2key, פרסמו מסמכים רבים, שאותם הצליחו, לכאורה, לגנוב מהרשת הארגונית של חברת אבטחת הסייבר הישראלית פורטנוקס. הם פרסמו באתר שלהם בדארקנט קובץ שכלל את רשימת לקוחות פורטנוקס ואת הסיסמאות שלהם, כמו גם רשימת מסמכים של לקוחות החברה.

כמה ימים קודם לכן, קבוצת ההאקרים האיראנית פרצה למחשבי התעשייה האווירית. היא פרסמה מידע, שלטענתה נגנב ממחשבי חטיבת אלתא. מספר ימים לפני כן הקבוצה הצליחה לפרוץ למחשבי הבאנה לאבס הישראלית, שנרכשה על ידי אינטל.

לוג של תקיפה ש-Pay2Key פרסמה בעבר בחשבון הטוויטר שלה

בנובמבר האחרון חשפה צ'ק פוינט כופרה חדשה מסוגה, בשם Pay2Key, שמקורה באיראן ושתקפה מטרות בישראל. לפי החוקרים, מעבר לעובדה שמדובר בסוג חדש של כופרה – מהירה ושקטה במיוחד. ההאקרים פועלים בזירת מסחר ביטקוין איראנית, המחייבת את משתמשיה להחזיק במספר טלפון איראני בתוקף ובתעודת זהות איראנית, עם תמונה לצורך הזדהות. החדירה לחברות בוצעה באמצעות מנגנון החיבור מרחוק של עובדים לרשת הארגונית – RDP. לדבריהם, "זהו זן נוזקת כופר מתוחכם ומהיר. הכופרה מצפינה רשתות ארגוניות שלמות בתוך כשעה, כשההאקרים מאיימים להדליף מידע ארגוני רב ברשת האפילה אם דמי הכופר לא ישולמו".

חתלתול-שועל

על פי חוקרי קלירסקיי הישראלית, את הכופרה מפעילה קבוצת התקיפה האיראנית FoxKitten (חתלתול-שועל). לדבריהם, "בחודשיים האחרונים בוצעו תקיפות סחיטה וכופרה מול עשרות חברות בישראל באמצעות קמפיין Pay2Key. התוקפים חדרו, שיבשו והצפינו מערכות מחשב, גנבו מידע, הדליפו מידע וניסו לסחוט חברות. חלקן של החברות שילמו מאות אלפי דולרים לקבוצה".

דו"ח קודם של קלירסקיי, מפברואר 2020, חשף את התקיפות שבוצעו מול חברות ביטחוניות בישראל. "להערכתנו, מדובר באחת מקבוצות התקיפה הפעילות ביותר מול חברות בישראל", כתבו החוקרים. "מטרת הקמפיין אינה רק גניבת מידע, אלא גם שיבוש, סחיטה, גניבת כסף וייתכן שאף קמפיין תודעה איראני נגד ישראל". עיקר פעילותה היה בתחילה נגד חברות במגזר הביטחוני, ולאחר מכן היא החלה לתקוף מגזרים נוספים רבים. על פי קלירסקיי, "עד לאחרונה האיראנים תקפו בעיקר לצורך ריגול ומודיעין, והחל מאוגוסט 2020 הם פועלים גם במטרה למחוק ולשבש מערכות מחשב ולגנוב ולסחוט חברות". לדבריהם, "דרך הפעולה של הקבוצה שונה מפושעים המתמחים בתקיפות כופרה. במקרים מסוימים, למרות תשלום כופר, החברות הנסחטות לא קיבלו מפתחות לפתיחת ההצפנה. מטרתם העיקרית היא לגרום למבוכה, לבלבול ולנזק לחברות בישראל".

אתמול (א') ההאקרים הודיעו כי הצליחו לגנוב מסמכים רבים של הסניף הישראלי של H&M, וכי אם דרישתם לתשלום כופר לא תיענה, הם יפרסמו את הנתונים השבוע. H&M מסרה כי "אנחנו חוקרים את המקרה".

רפאל פרנקו, לשעבר סגן ראש מערך הסייבר הלאומי, אמר בהקשר למתקפה על H&M כי "הנחת העבודה היא שמדובר בתקיפה של גורמים אנטי ישראליים, וכי זהו 'ספתח' ליום ירושלים האיראני. הכופרה היא ניסיון לייצר הד תקשורתי ולעשות רעש: התוקפים חיפשו ומחפשים חברות בעלות פרופיל תקשורתי גבוה, ולאו דווקא חברות שניתן להסב להן נזק משמעותי. הניסיון מלמד אותנו שרק בחלק קטן מהמקרים התוקפים לא מפרסמים את המידע ולכן, ההערכה שלי היא שגם אם ישלמו את הכופר – זה לא יעזור. לכן, אני ממליץ לקודקודי החברה לא לשלם את הכופר, לעשות גיבוי מהיר לכל מה שניתן, להודיע בהקדם ללקוחות הנפגעים ולנהוג בשקיפות מלאה מולם".