הכופרות: "חלק מההאקרים הורידו ראש מאז שביידן נכנס לתמונה"
עו"ד מוטי קריסטל, מומחה לניהול משא ומתן מטעם ארגונים שחוו מתקפות כופרה, אמר שמאז שביידן הפציר בפוטין להפסיק עם מתקפות הסייבר, חלק מהקבוצות המעיטו בפעילות ואחרות דווקא הגבירו אותה ● לדבריו, "הכול עוד פתוח"
"תעשיית הכופרה היא כבר מגפה גלובלית לכל דבר ועניין, שההתפתחות והצמיחה שלה בתקופת הקורונה היא ברורה. זו מגפה שיש רעיון עסקי שעומד מאחוריה. ל-90% ממתקפות הכופרה יש מוטיבציה כלכלית. אנחנו חיים בעולם שמשתנה במהירות והארגונים חייבים ללמוד את מי שנמצא מולם", כך סיפר עו"ד מוטי קריסטל, מומחה לניהול משא ומתן מטעם ארגונים מול התוקפים, בפגישה של פורום CSC של אנשים ומחשבים, שנערכה השבוע.
עו"ד קריסטל ציין בדבריו את קבוצות התקיפה הבולטות, ובהן REvil, שמקושרת לקרמלין. קבוצה זו אחראית למתקפה שבמסגרתה נפרצה התוכנה של קסיה, וכתוצאה מכך נפגעו מאות ארגונים ברחבי העולם, כמו גם לחדירה למערכת המחשוב של ענקית הבשר הברזילאית JBS. אתמול (ד') דיווחנו כי קבוצת REvil נעלמה והאתר שלה הורד לאופליין – במה שייתכן שהוא תקלה טכנית, פעולה יזומה של חברי הקבוצה או פעולת אכיפה של רשויות החוק בארצות הברית או ברוסיה. זאת, לאחר שנשיא ארצות הברית, ג'ו ביידן, הפציר במקבילו הרוסי, ולדימיר פוטין, שלא לבצע עוד תקיפות סייבר, ורמז שייתכן שהאמריקנים יבצעו פעולות כדי לגרום לזה לקרות.
לדברי קריסטל, שליש ממתקפות הכופרה מיוחסות לקבוצת REvil או קשורות אליה. הוא אמר כי חבריה "לקחו את הנוזקה החזקה והמתוחכמת מאוד שפיתחו, עם הקוד האגרסיבי, והם משתמשים בו גם לחדירות מדויקות אבל גם להתקפות 'שטיח', שבהן מה שנתפס – נתפס. אולם, מקור ההכנסה העיקרי שלהם הוא מתקפת כופרה כשירות (RaaS). הם מפיצים את הקוד באמצעות מפיצי משנה ומקבלים מכל פריצה מוצלחת בין 10% ל-15% מהשלל".
קריסטל ציין שתי מתקפות שזכו לפרסום רב: המתקפה על קולוניאל פייפליין, שבה שולמו באופן מיידי חמישה מיליון דולר, וזו שאירעה על JBS, ששילמה 11 מיליון דולר בביטקוין אחרי שהייצור שלה הושבת בכל רחבי העולם. "שתי הפעולות הללו היו הקש ששבר את גב הגמל", אמר. "ביידן, מלווה ברשויות החוק האמריקניות, הכריז שמתקפות כופרה ברמות כאלה הן איום לאומי, וההתייחסות אליהן תהיה כמו לתקיפות טרור. אין להקל ראש בכך שמעצמה כמו ארצות הברית מסיטה משאבים כדי למגר את התופעה. כמה ימים אחרי זה ביידן ניצל את מפגש ה-G20 ואמר לפוטין בלי להתבלבל: הנה רשימה של 16 סקטורים שמוגדרים כחשובים. אם תיתן לבצע תקיפות כופרה על הסקטורים הללו – נגיב בחומרה. יש קבוצות שהמעיטו בפעילות מאז ומהצד השני יש קבוצות שתקפו יותר, כך שהכול עוד פתוח".
"השאלה היא איך משחקים את המשחק"
הפגישה של פורום CSC עסקה בשאלה איך ארגונים מגיבים לתקריות לאחר שהם הותקפו. המנחה שלה היה העורך הראשי של אנשים ומחשבים, יהודה קונפורטס, שציין כי "סייבר הוא עסק מתמשך. ארגון שהותקף – זה לא אומר שהוא לא יותקף שוב, וחשוב לדעת כיצד למנוע את זה".
לדברי קריסטל, יש שוני מסוים בין ישראל לשאר העולם ככל שזה נוגע לתקיפות הסייבר. "התקיפות האלה עושות יותר רעש כאן, בישראל – כנראה מאחר שחלקן מתקפות שונות מאשר בחו"ל ומאחר שלפעמים התוקפים מצהירים עליהן מראש". באשר לשונות באופיין של המתקפות הוא אמר כי "רק בסוף השנה שעברה, כשהתבררה המתקפה על שירביט, נתקלתי בפעם הראשונה במצב שבו לאחר תשלום הקורבן לא קיבל מפתח הצפנה. אז, בשיתוף פעולה עם הרבה חברים מהתעשייה, הבנו שמשהו שנחזה להיות כופרה כלכלית הוא בעצם כנופיה איראנית, שהמטרה שלה היא לא כסף, אלא לחולל חוסר ודאות, פחד ובעייתיות, כשהם מפרסמים את המשא ומתן שהתנהל מול החברה, במקביל לפרסום המסמכים, כדי ללגלג ולבזות".
עו"ד מוטי קריסטל, מומחה למשא ומתן וניהול משברים. צילום: ניב קנטור
מניסיונו של קריסטל כמומחה לניהול משא ומתן במקרה של מתקפות כופרה הוא אמר ש-"כשקבוצת האקרים מצליחה להצפין את הנתונים של המותקף ודורשת כסף, או, יותר נכון, כסף וירטואלי, הכול זה שאלה של משחק מוחות". "השאלה היא בכלל לא האם לשלם או לא", ציין. "השאלה היא איך משחקים את המשחק. חייבים להכיר את השחקנים, משום שהכוח שמפגינים מולם תלוי בראש ובראשונה בהבנת הדינמיקה הנכונה ואת הראש שבו מתנהל הצד שמנגד. צריך להגיע לאירוע בלי פניקה ולקבל החלטה מודעת, בין אם היא לשלם את הסכום הנדרש ובין אם לאו, ולקחת בחשבון את כל ההשלכות של כל בחירה".
סוגי המתקפות
הוא סיפר ש-"הכופרים", כפי שם מכונים על ידי אנשי המקצוע, נוקטים בשלושה סוגי מתקפות: הראשונה, והפשוטה יחסית, היא הצפנה שהצליחה – כי ההגנות של הארגון לא מספיק טובות, וגם כי אף פעם ההגנה לא יכולה להיות מלאה. במקרה הפשוט משלמים, מקבלים מפתח הצפנה וההאקרים עוברים לקורבן הבא. מתקפה מורכבת יותר היא הצפנה והורדת נתונים – אז ההאקרים מבקשים תשלום כפול עבור מפתח ההצפנה וכדי למנוע פרסום התכנים שנגנבו.
"הסוג השלישי, שבו מתחילים לפגוש באחרונה, הוא כופרה משולשת: לא רק שחדרתי לשרתים שלך ואני מבקש ממך שתשלם עבור מפתח הצפנה, ולא רק שתשלם לי עבור המידע שלקחתי ממך, אתה תשלם לי גם כדי שלא אפנה ללקוחות שלך ואספר להם על החדירה ואפגע במוניטין של הארגון", אמר עו"ד קריסטל. "ברוב המקרים יש משא ומתן, שמנהלים אנשי מקצוע שמבינים בתחום, ויש גם מקרים שבהם חברות פשוט לא מגיבות ובוחרות דרכים אחרות להתמודד עם הבעיה".
תגובות
(0)