שנת 2022 היא השנה השלישית למגפת הקורונה, מגפה עולמית ששינתה את הדרך בה אנו חיים ועובדים. המעבר לעבודה מרחוק והאצת המעבר לתשתיות ענן יצרה פערים משמעותיים ביכולות ההגנה של ארגונים, בעוד קבוצות התוקפים דאגו לנצל את המצב לטובתם. מתקפות הכופרה חזרו לחיינו במקביל להתפשטות המגפה, אך בשונה מגל מתקפות הכופר הקודם שהגיע לשיאו בשנת 2017, בגל הנוכחי אנו עדים לתקיפות ארגונים גדולים ולשימוש נפוץ בשיטת הסחיטה הכפולה. בשיטה זו התוקפים פועלים בשני מישורים, תחילה משבשים את הפעילות השוטפת של הארגון הנתקף על ידי חסימת והצפנת מאגרי מידע שלמים, ובנוסף לכך גונבים את המידע הרגיש ומאיימים לפרסם אותו במידה והקורבן לא יענה לדרישת הכופר. טכניקה זו נועדה להטיל פחד ואימה בקרב הקורבן, ולהגביר את הדחף שלו לענות במהירות לדרישות כופר גבוהות.
בשנתיים האחרונות אנו עדים לגידול עצום בסכום דרישות הכופר, אשר הגיע ב-2021 לממוצע של 570 אלף דולר (ממוצע הגבוה ב- 80% מהממוצע לשנת 2020), זאת לצד תקיפות שהסתכמו בתשלום דרישות כופר אדירות כגון 11 מיליון דולר ששילמה חברת המזון JBS ו- 4.4 מיליון דולר ששילמה חברת האנרגיה Colonial Pipeline. נתונים אלו מוכיחים את הצלחת המודל העסקי של התוקפים, ולפיכך אנו צופים שגם השנה מגמת התקיפות תמשיך לעלות, הן בתדירות התקיפות והן בסכומי הכופר שידרשו הקורבנות לשלם.
מגמה נוספת שבלטה במיוחד במהלך 2021 וצפויה ללוות אותנו גם השנה היא טכניקת שרשרת האספקה. על מנת להגיע בו זמנית למספר רב של רשתות ארגוניות, קבוצות תקיפה רבות יעדיפו למקד את פעולת התקיפה למערכת או מספר מערכות של ספק גדול הנותן שירות למספר רב של ארגונים, ובאמצעותו להגיע לכמות גדולה של קורבנות דרך הדלת האחורית. דוגמה בולטת לכך הייתה תקיפת חברת SolarWinds, ממנה הגיעו התוקפים לעשרות אלפי ארגונים שונים, ביניהם חברות ענק כמו מיקרוסופט. מיקרוסופט עצמה הינה יעד פופולארי לתקיפות שרשרת אספקה רבות, הבולטות ביניהן Hafnium ו- PrintNightmare, כאשר התוקפים ניצלו חולשות במוצריה השונים של מיקרוסופט המותקנים כמעט בכל הארגונים בעולם.
בנוסף למתקפות הכופר הבולטות, אנו עדים גם לשורה של מתקפות סייבר המכוונות לפגיעה ממשית בתשתיות קריטיות שונות, לצד מתקפות אחרות שפעלו למטרות ביון ואיסוף מודיעיני בחסות מדינות שונות.
בשנת 2021 נוכחנו להבין כי הגבול בין ביטחון לאומי ואבטחת סייבר אינו קיים יותר, ויריבות לאומית בין מדינות מתרגמת לתקיפה של חברות פרטיות כחלק מקמפיין רחב וחשאי. אמנם מרבית הממשלות אינן נותנות את חסותן באופן ישיר לקבוצת התקיפה, אך עצם חוסר גינוי האירועים, בשילוב עם אופי המתקפות והיעדים המותקפים הינם שווי ערך לשתיקה כהסכמה. רק באוקטובר האחרון חשפה סייבריזן תשתית ריגול מתוחכמת המיוחסת לקבוצת תקיפה איראנית, אשר פעלה לטובת ריגול וגניבת מידע רגיש בקרב יעדים וארגונים שונים בישראל, ברחבי המזרח התיכון וכמו כן גם בארה"ב, רוסיה ואירופה. כאשר אנחנו בוחנים את העימותים הגיאו פוליטיים הנוכחיים ובמרכזם העימות הדיפלומטי-כלכלי בין בייג׳ין לוושינגטון, המתח המתמשך בין מוסקבה לוושינגטון, ושיחות הגרעין עם איראן, אנחנו יכולים להעריך כי איומים ותקיפות סייבר באזורי הקונפליקט הללו יתגברו בצורה משמעותית במהלך השנה הנוכחית.
אנו צופים שנראה השנה קפיצת מדרגה משמעותית בכל הקשור להתפתחות פשעי הסייבר ולקבוצות התקיפה בשטח. מגמות התקיפה יהיו מורכבות ומתוחכמות יותר, התוקפים ימשיכו להתאגד יחד לכדי קרטלי תקיפה עוצמתיים, ועל כן גם איומי הסייבר ימשיכו להתעצם ולהוות סכנה ממשית. על הארגונים השונים למקד את ההשקעה בהגנה רצופה על כלל נכסי הארגון, עם תשומת לב מיוחדת לאתגרי המעבר לענן והעבודה מרחוק. תוכניות פעולה המיועדות כתגובה לקבלת הכופר אמנם חשובות, אך לא ימנעו את התקיפה הבאה ואת הנזק שיגרם בעקבותיה. אנשי אבטחת המידע וצוותי ה- IT בארגונים יצטרכו להמשיך לעבוד בשיתוף פעולה מלא, תוך מתן תגובה איכותי ומהיר (יותר מאי פעם) לטובת עצירת מתקפות כופר, תיקון חולשות, חסימת פרצות אבטחה ועוד.
על מנת לשנות את המגמה השנה עלינו לפעול בשתי דרכים עיקריות: ראשית, עלינו לקחת אחריות מלאה על הגנה מפני תקיפות סייבר מתקדמות. על ארגונים לאמץ ולהטמיע פתרונות הגנה מתקדמים ולהחליף פתרונות מסורתיים שאינם אפקטיביים מול האיומים הנוכחיים. בנוסף לכך, יש לעודד התערבות ממשלתית תוך שיתוף פעולה בין לאומי, במערכה כנגד קבוצות התוקפים. פעילות בינלאומית שתנטרל את מקורות המימון לתוקפים יכולה להביא לשינוי אמיתי. אנו צופים שפעילות זו תתחזק בצורה משמעותית השנה, בהמשך להסכם שיתוף הפעולה בין ממשלות ארה״ב לישראל כנגד תקיפות הכופרה, אכיפת הדרישה של הממשל האמריקאי להטמיע פתרונות אבטחה מתקדמים, ועדכון הרגולציה המתייחסת להליך הדיווח לרשויות.
לטם גיא הוא סמנכ"ל מוצר בסייבריזן