מבין כל סוגי מתקפות הסייבר, מתקפות הכופרה הפכו בשנים האחרונות לחביבות במיוחד ולפופולריות ביותר בקרב עברייני הרשת. בשבועיים האחרונים שב הנושא בעיקר בעקבות מתקפת הכופר נגד חברת הביטוח שירביט, שכן חבורת התוקפים המכנה עצמה blackshadow ניהלה את המשא ומתן עם החברה על גבי העיתונות. למעשה, עד רגע זה ממשיכים חברי הקבוצה להדליף מידע נוסף, בתקווה שהלחץ התקשורתי יצליח אולי לייצר את האיום הפסיכולוגי שיוביל את שירביט לשלם.
בניגוד למתקפות אחרות, להן מניעים מגוונים כמו גניבת מידע או פגיעה בשמו הטוב של הקורבן, מתקפת כופרה היא מתקפה שמניעיה הם קודם כל כלכליים: סחיטת הקורבנות כמה שאפשר לטובת השגת הסכום הגדול ביותר במשא ומתן שאליו התקיפות הללו בדרך כלל מובילות.
אלא שהתקיפה על שירביט היא בוודאי לא היחידה בשבועות האחרונים. רק השבוע (שלישי) נתבשרנו שיצרנית החומרה הטאווינית פוקסקון (Foxconn), אחת הגדולות בתחומה בעולם, סבלה ממתקפת כופרה בסוף השבוע של חג ההודיה (29 לנובמבר). התקיפה פגעה במפעל החברה בעיר חוארז, בו מועסקים כ-11 אלף עובדים שמרכיבים את מוצריהן של חברות ענק כמו אפל, דל, סיסקו ו-HP, המיועדים לשיווק בצפון ודרום אמריקה.
המפעל הותקף על ידי כופרה מוכרת מסוג DoppelPaymer. מפעיליה טוענים שפגעו ב-1200 שרתים, גנבו מאה ג׳יגה בייט של מידע ומחקו קרוב ל 30 טרה בייט של קבצי גיבוי. באתר הקבוצה מופיעים מסמכים ודוחות עסקיים שנגנבו בתקיפה, אך אלה לא כוללים מידע רגיש הנוגע לעובדים או ללקוחות. לפי האתר BleepingComputer, שהיה הראשון לדווח על הפריצה, פוקסקון נדרשה לשלם לא פחות מ-1804 ביטקוין, ששווים עומד היום על 34 מיליון דולר. מדובר בעליית מדרגה רצינית: דרישת התשלום הזו היא כבר דרישה כפולה מדרישת התשלום באירוע התקיפה הקודם של אותה כנופיה.
Sources have shared a ransom note used in this attack with BleepingComputer that contains a link to Foxconn's victim page on DoppelPaymer Tor site. pic.twitter.com/gEA9GdwFGC
כיום, רוב הארגונים מצפים שמתקפות יגיעו דרך המייל, ולכן מתרשלים בהגנה על חיבורי רשת של עובדי הארגון מהבית כגון RDP ו-VPN. ואכן, אמצעי התקיפה העיקרי של הקבוצה היה הכלי Mimikatz, שמנצל חולשות בפרוטוקול ההתחברות מרחוק RDP. במילים פשוטות: התוקפים הצליחו להשיג גישה לאחד המחשבים, התפשטו ברשת עד שהשיגו לעצמם הרשאות ניהול, גרפו מידע, השמידו את קבצי הגיבוי, הצפינו את תוכן הכונן – ובסופו של דבר, דרשו כופר.
בהודעה לבורסה בטיוואן הצהירה החברה שכמה משרתיה נפגעו, אך הדגישה שלמתקפה הייתה השפעה מוגבלת בלבד על הייצור. עד לשעה זו לא נמסר מידע לגבי נכונות החברה לשלם להאקרים, אך כל תשלום, גבוה ככל שיהיה, הוא אולי הפגיעה הקטנה ביותר שהמתקפה יכולה להסב. כדאי לזכור שכל יום של השבתה עלול לעלות מאות מיליוני דולרים ללקוחותיה של פוקסקון, במיוחד בתקופה שלפני חגי דצמבר. ומעבר לכך, כדאי לזכור שלמתקפת כופר נלווה גם נזק תודעתי שהתבטא במניית פוקסקון.
הסכנה: מתקפות על בתי חולים
כנופיית DoppelPaymer החלה לפעול בחודש אפריל 2019 ותקפה מאז עשרות חברות וגופים ברחבי העולם; מכולם היא דרשה סכומי כופר אסטרונומיים. את המידע שהיא גונבת היא מעלה לאתר ייחודי, וכך היא מגבירה את מנופי הלחץ על הקורבנות. מבין קורבנותיה, הבולטת היא יצרנית החומרה Compal שמייצרת את המקבוקים של אפל; הפורצים דרשו ממנה כופר של כ-17 מיליון דולר. מיד אחריה מגיעה ענקית האנרגיה המקסיקנית פמקס, שנדרשה לשלם כ-5 מיליון דולר. אפילו מחוז דלוואר בפנסילבניה נאלץ לשלם כופר של כחצי מיליון דולר על מנת להשתחרר מהמתקפה שהובילה להשבתת הלימודים.
DoppelPaymer היא רק קצה הקרחון. גם קבוצות תוקפים אחרות סימנו את יצרניות הרכיבים כיעדים: בשבוע שעבר הותקפה היצרנית הטאיוונית Advantech, ובחודש ספטמבר קבוצת Conti תקפה את החברה הישראלית Tower Semiconductors.
DoppelPaymer torrance pic.twitter.com/VDljumHovx
אך מעבר לאובדן הכלכלי ולנזק התדמיתי, המתקפות הללו יכולות להוביל לתוצאות הרות אסון. בחודש ספטמבר האחרון כנופיית DoppelPaymer הייתה אחראית למקרה המוות הראשון המתועד כתוצאה מכופרה. באותם ימים, אישה שלא חשה בטוב הובהלה לבית החולים האוניברסיטאי בדיסלדורף שבגרמניה. מתקפת הכופרה של הקבוצה השביתה את מערכות המחשוב בחדר המיון, כך שלא ניתן היה לאשפז אותה; היא נשלחה לבית חולים אחר ונפטרה באמבולנס.
מדובר בפעולה תקדימית שמוכיחה שבתי החולים גם הם מטרה לגיטימית עבור ההאקרים. במערך הסייבר הישראלי מעריכים שנראה עלייה בדרגת האיומים, כאשר קבוצות תוקפים מסמנות את בתי החולים בתור היעדים המרכזיים הבאים. הלוגיקה פשוטה: חיי אדם הם קלף המיקוח החזק ביותר שקיים, יותר מכל מסמך או תמונה. כדי למנוע את זה, מקבלי ההחלטות חייבים ליצור תו תקן לאבטחת מידע, שיבטיח את הסטנדרט הגבוה ביותר שניתן – בטח במוסדות שבהם מדובר בעניין של חיים ומוות.