בוצת תקיפות הסייבר Networm פרסמה הצהרה באתר שלה וכתבה כי יש ברשותה 110 גיגה בייט של מידע שהושגה באמצעות פריצה לרשת האופנה H&M ישראל. התוקפים גם פרסמו באתר אולטימטום: אם לא ישולם כופר עד יום רביעי הקרוב, 5 במאי, הם יפרסמו את המידע ברשת. ככל הידוע, מאץ' ריטייל, נציגות H&M בישראל, לא קיבלה כל פנייה מהתוקפים.
על-פי גורמים בשוק, קבוצת התקיפה הזו מוכרת בשם אחר, קבוצת איראנית שפעלה כבר באזור בשם "pay2key" - שכבר זוהתה כקבוצה איראנית, כפי שחשפה חברת צ'ק פוינט בחודש נובמבר. זירת המסחר שבה הקבוצה ממירה את הקריפטו לכסף היא איראנית, והיא מדווחת לרשויות שם. לדעת אותם גורמים, המטרה של הקבוצה היא בעיקר לגרום מבוכה לישראל, ולא כפי שזה נראה כבקשת כופר רגילה למען הכסף. הקבוצה הזו פועלת בעיקר ממניעים אידיאולוגיים נגד ישראל.
ממאץ' ריטייל, נציגות החברה בישראל, נמסר: "אנו חוקרים את המקרה".
ממערך הסייבר הלאומי נמסר בתגובה: "בימים האחרונים זוהתה מתקפת כופרה על מספר חברות בישראל. ביום שישי האחרון הפיץ המערך התרעה בנושא וקובץ לזיהוי המתקפה ברשת הארגונית וקורא לחברות לנטרו במערכות הרלוונטיות בהקדם האפשרי. ההערכה היא כי הגורם האחראי לתקיפות אלה אחראי גם לתקיפות קודמות בקמפיין המזוהה עם Pay2key. האירוע מנוהל במודל של הפעלת חברות IR העובדות עם הגופים שנתקפו תוך הזנה הדדית של מידע וכאשר המערך מרכז את תמונת המצב. חלק מהחברות כבר חזרו לפעילות, וחלק נמצאות בשלבי הכלה. ככל הידוע לנו כרגע - לא מדובר באפידמיה אלא במקרים בודדים".
לוטם פינקלשטיין, מנהל מחלקת מודיעין סייבר בחברת צ'ק פוינט, אומר כי "מניתוח של הממצאים מגל התקיפה הנוכחי, אנו רואים זהות גבוהה הן בקוד, הן בטקטיקות ובמאפייני הקורבנות שמזוהים עם Pay2key מגל התקיפות הראשון בנובמבר 2020. מדובר בניסיון לשוות למתקפה זהות חדשה, אולי כדי לספק תחושה של שחקנים חדשים, אולם מדובר באותה קבוצת תקיפה עם אותם האינטרסים".
הכתבה פורסמה במקור בגלובס