מהאיידס עד הקורונה: הנגיפים מתחלפים – הכופרות נשארות לנצח
בעקבות המתקפה על בית החולים הלל יפה: סקירה קצרה של מתקפות הכופרה הבולטות בזמן האחרון ● וגם: מתקפת הכופרה הראשונה, שבוצעה בכלל בדואר "רגיל"
בית החולים הלל יפה בחדרה חווה הבוקר (ד') מתקפת כופרה, שהוגדרה "תקלה קריטית". המתקפה גרמה להשבתת מערכות המחשוב של המרכז הרפואי ולמעבר למערכות חלופיות. למרבה השמחה, הפגיעה בטיפול הרפואי הייתה מינימלית. אלא שהיא הייתה יכולה להיות משמעותית הרבה יותר – מה שהיה יכול להביא לפגיעה בחיי אדם, לא עלינו.
מתקפות הכופרה הן ממש לא דבר חדש – הן הרבה יותר ישנות ממה שחושבים. הכופרה הראשונה אי פעם הופיעה בשנת 1989. היה זה סוס טרויאני ושמו AIDS. הכופרה הופצה פיזית, באמצעות הדואר, עם אלפי דיסקטים שהכילו, לכאורה, בסיס נתונים אינטראקטיבי שנוגע למחלת האיידס ולגורמי הסיכון הקשורים בה. כאשר הנוזקה הופעלה, היא מנעה מהמשתמש לגשת לרוב תוכן הכונן הקשיח.
בהודעה של ההאקרים מפתחי הסוס הטרויאני AIDS, שבה הם דרשו את דמי הכופר, נכתב כי "אם תתקין (את זה – י"ה) במחשב… אז בהתאם לתנאי הרישיון אתה מסכים לשלם באופן מלא את עלות ההשכרה של תוכניות אלה. במקרה של הפרת הסכם רישיון זה, יינקטו צעדים משפטיים הדרושים לגבות כל חובות לתשלום. מנגנוני התוכנית הללו ישפיעו לרעה על יישומי תוכנה אחרים. אתה מודיע בזאת על ההשלכות החמורות ביותר של אי עמידתך בתנאי הסכם רישיון זה. המצפון שלך עשוי לרדוף אותך עד סוף חייך… ומחשב ה-PC שלך יפסיק לפעול כרגיל. חל עליך איסור מוחלט לשתף מוצר זה עם אחרים".
מפעיל הכופרה, ד"ר ג'וזף פופ, נחשף בסופו של דבר על ידי תעשיית האנטי וירוס הבריטית. הוא נעצר על ידי הסקוטלנד יארד והוגש נגדו כתב אישום. להגנתו הוא טען כי הכסף שנאסף יועד לסייע למחקר על נגיף ה-HIV, שגורם למחלת האיידס, ושבאותה העת היה מסתורי ולא היו לו תרופות. בשל התנהגויות מוזרות הוא לא נשפט לבסוף, והוכרז בלתי כשיר נפשית.
שלושה עשורים חלפו, והכופרות רק הלכו והשתכללו. ומה שהיה עד הופעת נגיף הקורונה הוא כאין וכאפס לעומת ההאצה שמתקפות הכופרה חוו במהלך המגפה.
קצת היסטוריה… קרובה
בחודש מאי השנה הופעלה מתקפת כופרה נגד ארגונים שונים בישראל. מערך הסייבר הלאומי העריך אז כי "ייתכן שהגורם האחראי לתקיפות אלה אחראי גם לתקיפות קודמות, בקמפיין המזוהה עם Pay2key". החוקרים בחנו האם ההאקרים, המזדהים כ-נט-וורם (תולעת רשת), הם אכן גלגולה של אותה קבוצה איראנית. זו עלתה לכותרות בשנה שעברה. בדצמבר האחרון ההאקרים חברי קבוצת Pay2key פרסמו מסמכים רבים שאותם הם הצליחו, לכאורה, לגנוב מחברת אבטחת הסייבר הישראלית פורטנוקס. כמה ימים קודם לכן הם פרצו למחשבי התעשייה האווירית ופרסמו מידע שלטענתם נגנב ממחשבי חטיבת אלתא. הקבוצה אף הצליחה לפרוץ למחשבי הבאנה לאבס הישראלית, שנרכשה על ידי אינטל.
הכופרה נחשפה על ידי צ'ק פוינט בנובמבר האחרון. לפי חוקרי ענקית האבטחה, מדובר בסוג חדש של כופרה – מהירה ושקטה במיוחד. ההאקרים פועלים בזירת מסחר ביטקוין איראנית, המחייבת את משתמשיה להחזיק במספר טלפון איראני בתוקף ובתעודת זהות איראנית, עם תמונה לצורך הזדהות. החדירה לחברות מבוצעת באמצעות מנגנון החיבור מרחוק של עובדים לרשת הארגונית – RDP. לדבריהם, "זהו זן נוזקת כופר מתוחכם ומהיר. הכופרה מצפינה רשתות ארגוניות שלמות בתוך כשעה, כשההאקרים מאיימים להדליף מידע ארגוני רב בדארקנט אם דמי הכופר לא ישולמו".
על פי חוקרי קלירסקיי הישראלית, את הכופרה מפעילה קבוצת התקיפה האיראנית FoxKitten (חתלתול שועל). לדבריהם, "בתקופה האחרונה בוצעו תקיפות סחיטה וכופרה מול עשרות חברות בישראל באמצעות קמפיין Pay2Key. התוקפים חדרו, שיבשו והצפינו מערכות מחשב, גנבו מידע, הדליפו מידע וניסו לסחוט חברות. חלק מהחברות שילמו מאות אלפי דולרים לקבוצה". עוד ציינו החוקרים כי "דרך הפעולה של הקבוצה שונה מפושעים המתמחים בתקיפות כופרה. במקרים מסוימים, למרות תשלום הכופר, החברות הנסחטות לא קיבלו מפתחות לפתיחת ההצפנה".
"מטרתם העיקרית של ההאקרים היא לגרום למבוכה, לבלבול ולנזק לחברות בישראל", ציינו בקלירסקיי. "לעתים המתינו התוקפים בסבלנות להזדמנות מתאימה והדליפו מידע מהחברות במשך שבועות וחודשים עד שפעלו להצפנה ולסחיטת החברה שאליה חדרו".
מפעילי הכופרות הרוויחו הרבה בקורונה
הקורונה עשתה להאקרים מפעילי הכופרות רק טוב: Unit 42, יחידת המחקר של פאלו אלטו, מצאה שהסכום הממוצע שארגונים שהיו קורבנות למתקפות כופרה שילמו לתוקפי סייבר ב-2020 צמח פי שלושה – מ-115,123 דולר ב-2019 ל-312,493 דולר. התוקפים, שראו שאפיק מתקפות הכופר מניב להם רווחים נאים, הפכו חמדנים יותר: תשלום דמי הכופר הכי גבוה שבוצע הוכפל ב-2020. הסכום הנכבד ביותר ששולם ב-2019 עמד על חמישה מיליון דולר, ואילו בשנה החולפת הגיע ל-10 מיליון. כך גם הסכום הגבוה ביותר של כופר שדרשו התוקפים, שעמד ב-2019 על 15 מיליון דולר וב-2020 – על 30 מיליון.
היטיב לסכם את הנושא הכאוב ג'ון ווטרס, עד לא מכבר נשיא פייראיי, שדיבר בכנס הסייבר השנתי של ה-OECD, שהתקיים בפעם הראשונה בישראל לפני כמה חודשים, על ידי מערך הסייבר הלאומי. ווטרס אמר כי "לתוקפים במתקפות כופרה לא אכפת באמת את מי הם תוקפים. אם יש לכם אפשרות לשלם, ויש לכם ביטוח סייבר – אז אתם מטרה, ודמי הכופר יעמדו, בהתאם לגודל היעד, על סכום שנע בין 1,000 דולר עד עשרות מיליונים".
לקראת סגירה אציין שחברת האבטחה סופוס קבעה שמחצית מהארגונים בישראל חוו מתקפות כופרה בשנה האחרונה. ומילה פסימית לסיום: מחקר נוסף של סופוס העלה שארגונים לא ממש מתאוששים לאחר שנפגעו ממתקפות כופרה.
תגובות
(0)