מתנת ההאקרים ליום העצמאות של ארה"ב? שוב תקיפת סייבר, רחבת היקף יותר מכל קודמותיה, על ארה"ב, שמורגלת כבר במתקפות בהיקפים הולכים וגדלים. קבוצת התקיפה הרוסית REvil תקפה ביום שישי לפחות 200 חברות בעולם בו זמנית. מספר הקורבנות המלא אינו ידוע עדיין אך הוא עלול להגיע לעשרות אלפים. התוקפים הצליחו להשבית את פעילות החברות ולהצפין את המידע שלהן, כך שהקורבנות נמצאים לחלוטין בידי התוקפים והם נדרשים לשלם סכום כופר בגובה 50 אלף דולר כדי שיאפשרו להם לחזור לפעילות תקינה.
לפי נתוני הטלמטריה של חברת אבטחת המידע ESET, אשר הוסיפה זיהוי לגרסה המדוברת של תוכנת הכופר, החברה מעריכה כי המתקפה מתרחשת ב-17 מדינות במקביל, בהן בריטניה, דרום אפריקה, קנדה, גרמניה, ארה"ב וקולומביה. עד הבוקר לא דווח על חברות ישראליות שנפגעו במתקפה הזו, ואולם גורם בתעשיית הסייבר אומר כי חברות בישראל נמצאות כעת תחת מתקפות סייבר מקבילות באירוע שהוא מגדיר "רב-נפגעים".
עוד על מתקפות כופר:
ואילו בשבדיה, חברת המרכולים קו-אופ (Coop) השוודית סגרה כ-500 מתוך 800 חנויות הרשת שירותיה בעקבות ההתקפה. החברה דיווחה כי מערך הקופות הרושמות והתשלום העצמי יצא מכלל פעולה. לפי הדיווח מערכת המחשבים של הרשת לא נפגעה, אלא אחד הספקים שאיתם היא עובדת.
בדומה למתקפת סולרווינדס (Solarwinds) החמורה מחודש דצמבר האחרון, גם במקרה זה מדובר במתקפה רחבה על שרשרת האספקה (supply chain attack), כלומר חדירה לחברה שנותנת שירותים לחברות אחרות, וממנה התפשטות לכל לקוחותיה. התוקפים מ-REvil חדרו למחשבי מאות הקורבנות דרך תוכנה של חברת קסייה (Kaseya), שמשמשת לניהול מחשבי הלקוחות מרחוק (MSP). באמצעות עדכון תוכנה תמים למראה התוקפים החדירו את הכופרה למחשבי לקוחות החברה. שלא כמו במתקפת סולרווינדס, בשלב זה לא דווח על גופי ממשל וצבא אמריקאיים שנפגעו.
את המתקפה חשף לראשונה חוקר הסייבר ג'ון המונד בציוץ בטוויטר.
חברת קסייה פרסמה הודעה באתר שלה וביקשה מלקוחותיה לסגור בדחיפות את השרתים שלהם. היא הצהירה כי המתקפה פגעה רק בחלק מהלקוחות. גם מערך הסייבר האמריקאי המליץ לכל מי שמשתמש בשירותי החברה להוריד את השרתים שלו באופן מיידי. עד כה מערך הסייבר הלאומי בישראל לא מתייחס כלל לאירוע, לא פרסם התרעה לחברות במשק ולא הגיב לשאלות בעניין.
פוטנציאל נזק רחב
בחברת הסייבר הישראלית פרופרו (Profero) מדווחים כי הם מטפלים בכמה חברות שנפגעו מהמתקפה. עמרי שגב מויאל, מנכ"ל החברה, אומר: "זו מתקפה קלאסית שבה התוקפים משתמשים בספק בכדי להגיע להיקפי וממדי נזק גדולים. Kaseya היא חברה מצליחה, שמעניקה שירותים לחברות ענק ועד עסקים קטנים, האקרים ניצלו את האמון שיש במוצר כי ידעו שכך יוכלו להפיץ את תוכנת הכופר לכמה שיותר חברות וללקוחותיהן ברחבי העולם. גם בישראל ראינו מספר מתקפות כאלה שעשו נזק רב. לא בכדי מדברים על המתקפה הזו במושגים של Solarwinds, יש לה פוטנציאל נזק רחב".
דמי בן ארי, ממייסדי חברת הסייבר Panorays, אומר: "מדובר בתקיפת שרשרת אספקה בין הגדולות שהיו בעולם, כשהמניע למתקפת הכופרה הוא בעיקר רצון לייצור רווחים לתוקפים. כדור השלג רק התחיל להתגלגל ונראה את האפקט של המתקפה שהחלה מגדיל היקפים בימים הקרובים. כנופיות הכופר חזקות ביותר מבוססות ברוסיה ופועלות תוך העלמת עין של הקרמלין. לא מספיק שהשירות גרם לפגיעת כופרה שדורשים 50 אלף דולר כדי לשחרר את המידע, אלא שכל השירותים של החברה כרגע לא מתפקדים ככל".
מתן ליברמן, מנהל הפעילות בישראל של חברת Semperis, אומר: "רוב החברות שנפגעו עדיין עובדות על שחזור הארגון ורק בשלב הבא יוכלו להסיק מסקנות, עם זאת כבר עכשיו אנחנו שומעים שאותם ארגונים לא היו מוכנים ליום שאחרי התקיפה. חברות מספרת שתהליך השחזור מתעכב ואפילו עדיין לא התחיל מכיוון שכרגע לא ידוע מתי נכנס הפורץ פנימה כך שהם לא בטוחים על איזה גיבוי אפשר לסמוך. ככל הנראה, ממה ששומעים עד עכשיו, מדובר בסוג חדש של תקיפה ואפשר להיות בטוחים שהתקיפה הזו תגיע גם לישראל".
קבוצת REvil (או בשמה האחר Sodinokibi) נחשבת לאחת מקבוצות פשעי הסייבר המסוכנות ביותר. שיטת המתקפה שלה כוללת הוצאת כל המידע ממחשבי הקורבנות ואז חסימתם המוחלטת. היא גם מספקת שירותי "כופרה כשירות" (ransomware-as-a-service) כלומר משכירה את שירותי טכנולוגיית התקיפה המתקדמות שלה לכל פושע מזדמן. כשהקורבן משלם את הכופר, וברוב המקרים זה אכן קורה, היא מתחלקת עם הפושעים בשלל. בחלק מהמקרים, שבהם מסרבים הקורבנות, החברה גם מפרסמת את הקבצים שנמצאו במחשביהם באתר ההדלפות של בדארקנט.
