האקרים איראנים עומדים מאחורי מתקפת הכופר נגד עשרות חברות בישראל בשבוע שעבר - כך עולה ממחקר שמפרסמת היום (ה') חברת אבטחת המידע הישראלית צ'ק פוינט בשיתוף Whitestream, חברת מודיעין בתחום הבלוקצ'יין. שתי החברות עקבו אחרי הכופר ששילמו ארבע חברות ישראליות - וגילו שהוא הגיע אל זירת מסחר איראנית במטבעות קריפטוגרפיים.
המתקפה בוצעה ביום שני שעבר באמצעות כופרה בשם Pay2Key, שלא הייתה מוכרת עד כה לחוקרים. ככל הידוע היא שימשה לתקיפה של חברות ישראליות בלבד, פרט למטרה אחת נוספת באיטליה. כל חברה נדרשה לשלם 7-9 מטבעות ביטקוין (375-475 אלף שקל). התוקפים השתמשו בטכניקה שמכונה "סחיטה כפולה": במקביל להצפנת המידע של הקורבנות, הם שמרו עותק שלו אצלם. לאחר מכן, הם הדליפו בדארקנט מידע רגיש של חלק מהחברות - בהן חברה לפיתוח משחקים ומשרד עורכי דין - כדי לנסות לשכנע אותן לשלם את הכופר.
לפחות ארבע חברות החליטו לשלם את הכופר לתוקפים, מה שאפשר לחוקרי האבטחה להתחקות אחר המסלול שעשו מטבעות הביטקוין. היעד הסופי של המטבעות הללו היה זירת מסחר איראנית למטבעות קריפטוגרפיים בשם Excoino. כדי להשתמש בה צריך להציג מספר טלפון ותעודת זהות איראניים, עובדה שמצביעה בסבירות גבוהה על כך שמאחורי המתקפה עומדים אזרחים איראנים. לא ידוע על קשר שלהם למשטר האיראני או אם הם בכלל מתגוררים ברפובליקה האיסלאמית.
כתבות נוספות בתחום הסייבר:
עוד עולה מהמחקר כי ההאקרים חדרו למערכות של הקורבנות באמצעות פרוטוקול הגישה מרחוק RDP, שמאפשר לעובדים להתחבר מהבית למערכות של החברה. מדובר בנקודת תורפה בחברות רבות, במיוחד בתקופת משבר הקורונה שאילץ עובדים רבים לעבוד מהבית. "אם לא מטפלים בזה נכון מבחינת אבטחה, זה מאפשר כניסה גם לתוקפים - והם יודעים את זה", אומר לוטם פינקלשטיין, מנהל מחלקת מודיעין סייבר בצ'ק פוינט. "זה גורם שמאיץ את המתקפות האלה ולמעשה מאפשר אותן מלכתחילה".
לדברי פינקלשטיין, המתקפה מצביעה על יכולות מתקדמות הן של תוכנת הכופרה והן של התוקפים. בניגוד למתקפות רגילות שמתבצעות בסוף שבוע - זמן שבו אף אחד לא שם שמשהו אינו כשורה ושקבצים מתחילים להיעלם - המתקפה הזאת יצאה לפועל ביום שני, והמערכות של הקורבנות הוצפנו תוך שעה בלבד. עם זאת, בצ'ק פוינט מעריכים כי התוקפים חדרו למערכות של החברות זמן רב לפני שההצפנה החלה.
מתקפות כופרה הפכו לאיום משמעותי במיוחד בחודשים האחרונים. ברבעון השלישי של 2020 זינק ב-50% המספר הממוצע של המתקפות האלה ברחבי העולם, וגם בישראל, בהשוואה למחצית הראשונה של השנה. המשמעות היא שבכל 10 שניות מתרחשת מתקפה כזאת. חלק מההאקרים אינם מהססים לתקוף בתי חולים ומוסדות רפואיים, ובארה"ב סקטור הבריאות הפך למותקף ביותר.
