עוקץ הביטקוין: משרד רו"ח נפל קורבן להחדרת וירוס למחשב

מזכירה במשרד רו"ח מוביל קיבלה מייל הנראה תמים. ואולם, עם פתיחתו חדר המייל לתוך המחשב, נכנס לתוך הרשת הפנימית ונעל קבצי אקסל ■ שולחי המייל דרשו כופר של 400 אירו בביטקוין ■ המשרד שילם, אך הקבצים לא שוחררו

"ביום חמישי האחרון הגעתי למשרד וניסיתי לפתוח קובץ אקסל שעבדתי עליו, אך לא הצלחתי. פניתי לאנשי המחשבים שלנו והמשכתי לעבוד על דברים אחרים, אבל לאט-לאט, ככל שנמשך היום, גיליתי שעוד ועוד קבצים חסומים במחשב שלי, ולא רק קבצי אקסל, ובכלל במחשבי המשרד. כשאנשי המחשבים שלנו בדקו את הנושא, הם גילו שהקבצים ננעלו על-ידי וירוס שהוחדר למערכת שלנו, וההאקרים דורשים כופר בביטקוינים על-מנת לשחרר אותם" - כך מתאר רואה חשבון בכיר ומוכר את מתקפת הסייבר שמתחוללת במשרדו בימים האחרונים.

מדובר במשרד רואי חשבון מוביל ומוכר, המעסיק עשרות עובדים ומייצג חברות מהגדולות ביותר במשק. עקב חשיבות הנתונים המצויים על מחשבי המשרד, בהם נתונים כספיים של לקוחות בכירים במשק, הסדרי שומה ותשלומי מס, ועקב הסודיות המתבקשת, מערכת המחשבים של המשרד מוגנת בהגנות מהמשוכללות במשק, והמשרד מלווה על-ידי חברת לאבטחת וגיבוי מידע באופן שוטף.

ובכל זאת, כך התברר לרואי החשבון המנהל במשרד, נתון המשרד מיום חמישי למתקפת האקרים שראשיתה במייל "תמים למראה", והמשכה בתשלום כופר (לא גבוה יש לציין) שלא הועיל במאום, ובפנייה למשטרה, שטרם נבחנה לגופה. סוף הסיפור עדיין לא ידוע, היות והבעיה טרם נפתרה.

קבצים נעולים

רואה החשבון הבכיר מספר את השתלשלות האירועים לאחר שגילה כי אינו יכול להיכנס לקבצים שונים במחשבי המשרד: "כשאנשי המחשבים שלנו חפרו ועשו חיפוש, הם מצאו את המייל המזיק. זה מייל שהגיע תוך כדי עבודה למזכירת המשרד, והוא נראה כאילו מצורף אליו מאמר שנסרק למחשב, כמו שאנחנו מקבלים בשוטף עשרות מאמרים אחרים. המזכירה בתמימות פתחה את זה ואפילו לא ידעה את ההשלכות. אתה פותח את המייל, והוא חודר לך לתוך המחשב ונכנס לתוך הרשת, כמו תולעת, ואוסף קבצים ונועל אותם.

"ככל הנראה, ככל שידוע לנו היום, ההאקרים לא לקחו אליהם את הקבצים, הם פשוט נעלו אותם אצלנו, כך שאנחנו לא יכולים להשתמש בהם. יש צופן שלא ניתן לפיצוח על-מנת להיכנס לקבצים. אני מקווה שזה מסתיים בנעילה ולא בגניבת הקבצים.

"זה התחיל עם זה שאני גיליתי שאני לא יכול להיכנס לקבצים, ופתאום גם עובדים נוספים התלוננו שהם לא מצליחים. זה נראה כאילו הקובץ איננו. כמובן שהתחלנו לשחזר את החומר מהגיבוי האחרון שהיה לנו. מדובר בתיקים, ניירות עבודה, תחשיבים ואקסלים שלרובם יש לנו גיבוי להם, אך לצערי, הייתה לאנשי המחשבים שלנו תקלה בנוגע לחלק מהגיבויים, ואי-אפשר היה לשחזר חלק מהקבצים אלה רק חודש לאחרונה".

- מתי קבלתם את הבקשה לכופר?

"ברגע שאנשי המחשוב גילו את המייל המזיק, הם ראו את דרישת הכופר בתוך ההודעה המקורית. הם דרשו סכום זניח ביחס לנזק שהם גרמו, של 400 אירו בביטקוינים, ואנשי המחשבים שלנו הודיעו לנו שהם מתכוונים לשלם, כי הם לקחו אחריות לכך שהגיבוי של חלק מהקבצים כשל".

חברת המחשבים המעניקה שירותים למשרד אכן העבירה את הסכום המבוקר לחשבון האנונימי שצורף למייל, אך התברר כי התשלום לא סיים את הסאגה. "אנשי המחשבים קודם כל רצו לפתור את הבעיה, והחליטו לשלם, אבל מסתבר שזה לא שינה שום דבר. התשלום הועבר ונקלט בחשבון של ההאקרים, אבל הקבצים עדיין נעולים. אנחנו עדיין בלבה של הבעיה".

התופעה של שליחת מייל המחדיר תוכנה "זדונית" למחשבים, שנועלת קבצים ואף מחשבים שלמים עם הצפנה, מוכרת ברחבי העולם. לאחרונה פירסם עיתון ה"גרדיאן" הבריטי כתבה המזהירה משתמשים מפני CryptoLocker malware - מיילים הנחזים להיות מיילים אינפורמטיביים או מגורמים רשמיים, הכוללים למעשה וירוס הנועל לצמיתות את מחשבו של מי שפתח את המייל או קבצים שונים במחשב, וכוללים אף דרישת כופר על-מנת לפתוח את החסימה.

במקרה של משרד רואי החשבון, דרישת הכופר הנמוך - 400 אירו בביטקוין - יכולה להעיד אולי על כך שמדובר ב"שיטת מצליח", במסגרתה ההאקרים דורשים מכל מי שאל מחשבו הם פורצים את הכופר, ותשלום מבחינתם יהיה צ'ופר, אך אין בכוונתם לשחרר את הקבצים בכל מקרה.

רואה החשבון המנהל את המשרד היה מוכן לחשוף את הסיפור רק על-מנת למנוע מאחרים להיקלע לסיטואציה בה הוא נמצא. כעת הוא מזהיר: "אם זה קרה לי, זה יכול לקרות לכל אחד. אני חושב שזו תופעה שתכה בכולם, וכבר ידוע לי על גופים גדולים אחרים שהיא הכתה בהם, אבל הם מסתירים את זה כאילו זה סוד. זה ממש טמטום, כי אחרים נופלים בפח הזה בגלל הסודיות. אנשים לא מדברים. כבר ידוע לי שיש משרד עורכי דין שהוכה וחברה גדולה במשק שספגה מכה בגלל מייל מאותו סגנון, והמדינה והמשטרה צריכות לתת את הדעת לזה".

- הגשתם תלונה למשטרה?

"באותו ערב שבו גילינו את המייל הזדוני, ביום חמישי, היינו בתחנת כפר-סבא, אבל זו תלונה מסובכת, ולא היה להם זמן. הם ביקשו שנחזור בתחילת השבוע. זה לא עניין אף אחד. אנחנו עוד נחזור לשם ונודיע גם לביטוח, אבל זה לא עשה רושם שמישהו רק מחכה לתלונה שלנו. ציפינו שיפנו אותנו למרכז סייבר של המשטרה, אבל שום דבר".

ממשטרת ישראל נמסר: "הנושא מוכר כתופעה עולמית שאינה אופיינית למדינה מסוימת, ורשויות האכיפה עוסקות בו במסגרת שיתופי-פעולה בינלאומיים. מדובר בסוג של נגיף מחשב שאינו 'מודבק' באמצעות חדירה למחשב, אלא בהורדה עצמאית של הקורבן למחשבו.

"ללא קשר למקרה הספציפי המוזכר בפנייה, ככל שעולה חשד לביצוע עבירה פלילית באמצעות רשת האינטרנט, הנושא נחקר על-ידי מערך מיומן ומקצועי של חוקרי מחשב מיומנים, הפרוס בכלל מחוזות משטרת ישראל ובלהב 433".