חברת הסייבר קלירסקיי: גידול ניכר בתקיפות כופרה נגד ארגונים וחברות בישראל

על פי הדוח בעקבות התקיפות נגרמו נזקים גדולים לפעילות התפעולית של חברות • הדוח מגדיר את תקיפות הכופרה, הנועלות את מחשבי הקורבנות בדרישה לתשלום דמי כופר – "איום הסייבר המשמעותי ביותר על ארגונים וחברות בישראל ובעולם"

מתקפות הסייבר הולכות ומתעצמות/צילום: Shutterstock/א.ס.א.פ קרייטיב
מתקפות הסייבר הולכות ומתעצמות/צילום: Shutterstock/א.ס.א.פ קרייטיב

דוח חברת אבטחת הסייבר קלירסקיי מצביע על עלייה משמעותית בתקיפות הסייבר נגד ארגונים בישראל. על פי הדוח, חל גידול ניכר במספר תקיפות הכופרה - בהן נועלים התוקפים באמצעות הצפנה קבצים במחשבי הקורבן עד לתשלום כופר - כולל איום בפרסום מידע וגרימת נזקים לפעילות התפעולית. על פי קלירסקיי, מסתמן שמרבית העסקים הגדולים בישראל לא שילמו כופר, אלא בחרו במסלול שחזור מגיבוי.

לדברי מנכ"ל קלירסקיי בעז דולב, ארגונים מסוימים שילמו במקרים מסוימים כופר בסכומים של עשרות אלפי דולרים ואף מעבר לכך, אך עם זאת, דבריו, תשלום הכופר לא תמיד מאפשר לקורבן להשיב את המצב לקדמותו משום שלעיתים בעת תהליך ההצפנה שנועל את הקבצים נגרם להם נזק בלתי הפיך.

מגמה נוספת עליה מדווחת קלירסקיי היא גידול במספר תקיפות הפישינג בישראל נגד אזרחים ועובדים תוך התחזות למוסדות פיננסיים, חברות תקשורת ותשתית וגופי ממשל. בקלירסקיי מציינים כי בשלב זה, בניגוד לתקיפות הכופרה "בתחום הפישינג, רמת התחכום של תוקפים נמוך וכלי התקיפה קלים לאיתור".

בין אירועי הסייבר הבולטים ברבעון שחלף מציינת קלירסקיי את חשיפה וסיכול תשתית תקיפה איראנית רחבת היקף שניצלה חולשות במערכות VPN וחדרה בהצלחה לרשתות של מספר רב של חברות ישראליות. את גניבת בסיס הנתונים של אפליקציית התשלומים Paybox של בנק דיסקונט, ותקיפות סייבר והונאות מתמשכות על בורסות קריפטו ישראליות.

דוח קלירסקיי מתייחס גם למשבר הקורונה ולהשפעותיו על תחום הסייבר. הדוח מתריע מפני תופעות שונות שעלולות להתרחש בשל המשבר, ולהגביר את הפגיעות של הארגונים. כך למשל מזהיר הדוח ההעסקה מרחוק עלולה לפגוע ביכולת של חברות לבצע עדכוני אבטחה בזמן קצר, וכן כי "פיטורי עובדים, עלולים להגביר את הסיכון בפעולות נקמה תוך שימוש במידע פנימי". בנוסף מזהירים בחברה כי העובדה שנוכחות העובדים בסניפים ובמשרדים פוחתת עלולה להקל על תוקפים להתחבר פיזית לרשת מבלי שיזוהו".

הדוח מתריע גם מפני ההשלכות של פגיעת המשבר בשרשרת האספקה - זמני ומועדי האספקה של מערכות מחשב יתארכו, לספקי התוכנה ייקח זמן רב יותר לסגור חולשות במוצרים שלהם בשל זמינות נמוכה של עובדים, וכי "קיימת אפשרות שכמות התקיפות באמצעות שרשרת האספקה תגדל בשל הפחתת אמצעי האבטחה הננקטים בעקבות המעבר לעבודה מרחוק".

האיראנים חזרו לפעילות

בזירה העולמית, על פי הדוח, מי שחזרה לפעילות כמעט מלאה לאחר האטה שנגרמה ממשבר הקורונה היא סין, שחזרה לפעילות כמעט רגילה, והוסיפה לארסנל התקיפות שלה גם תקיפות תודעה".

בקלירסקיי מעריכים כי לצד האטה מסוימת בתקיפות מצד מדינות שנאבקות במשבר הקורונה, תקיפות מצד ארגוני פשיעת סייבר דווקא צפויות להתגבר באופן משמעותי, בשל פגיעות הארגונים, שנובעת ממשבר הקורונה. הדוח מציין כי החברה זיהתה בשבועות האחרונים גידול אקספוננציאלי בניסיונות הפישינג, הקמת דומיינים, התחזות לחברות ואירועי סחיטה".

בזירה המזרח תיכונית מצביע הדוח על ירידה בהיקף התקיפות מאיראן בתחילת הרבעון הנוכחי. הירידה, מעריכים בקלירסקיי, נובעת מחיסול תשתית תקיפה מרכזית של האיראנים ומציינים שהתארגנות מחדש של תשתית שכזו נמשכת כ-3-6 חודשים. הסיבה השנייה היא התפרצות נגיף הקורונה באיראן שעל פי הערכת הברה "הפריעה לפעילות התקיפה העובדים ממשרדי הממשלה וארגוני הבטחון". עם זאת, מתריעים בקלירסקיי, "בשבוע האחרון אנחנו מזהים סימנים להתאוששות בחזית זו ו"חזרה למתווה תקיפות".

מאז סוף 2019 התפרסמו כמה אירועים חריגים שלדברי גורמים בתעשיית הסייבר הצביעו על התחממות בחזית זו באזור. בכתבה שפרסם ניו יורק טיימס בדצמבר התייחס דולב, למתקפה שבוצעה באיראן בסמוך לגל מהומות שפרץ במדינה, ואשר הביאה לחשיפת פרטים רגישים מ-15 מיליון חשבונות בנק של אזרחים באיראן. השלטונות האיראניים דיווח כי מדובר היה במתקפת הסייבר החמורה ביותר שאירעה באיראן נגד מוסדות פיננסים. בדיווח, עליו היה חתום גם רונן ברגמן, הסביר דולב כי "השלטונות לא ביטלו את הכרטיסים מחשש ליצירת בהלה בקרב הציבור וכן מחשש שיתקשו להנפיק מחדש את כרטיסי האשראי והחיוב שפרטיהם נחשפו".

כחודשיים מאוחר יותר, בפברואר השנה, דיווחה חברת הסייבר הישראלית סייבריזן על סדרה של תקיפות סייבר במזרח התיכון, שיעדיה קשורים לגורמים ברשות הפלסטינית. על פי ההודעה, מטרת התקיפות הייתה "לרגל אחר טלפונים ניידים של אנשי הרשות". זמן קצר לאחר מכן הזהיר חמאס את פעיליו לצאת מקבוצות הוואטסאפ של הארגון בשל פריצה לקבוצות, במקביל הזהיר דובר צה"ל מפני גל של מתקפות סייבר מתוחכמות יחסית שביצע חמאס נגד חיילים.

צ'קפוינט: זיהינו חולשות אבטחה חמודות במערכות הלמידה מרחוק הגדולות בעולם

בתוך כך הודיע היום חברת אבטחת המידע צ'קפוינט כי איתרה חולשות אבטחה חמורות בכמה ממערכות הלמידה מרחוק הגדולות בעולם - LearnPress, LifterMS ו-LearnDash. על פי צ'קפוינט, המערכות הללו נמצאות בשימוש במעל מאה אלף מוסדות חינוך וחברות בעולם ובישראל, ומותקנות ב"מאות אתרים של מכללות מקוונות, לשכות רשמיות, איגודים מקצועיים, אתרי הכשרה ומידע".

על פי צ'קפוינט, מדובר ב"מאגרים גדולים של תכנים חינוכיים ומקצועיים המאפשרים לכל משתמש עם שם משתמש וסיסמה להיכנס אליהן ולבחור אילו תכנים לצרוך. בתקופת הקורונה הפכו מערכות מסוג זה לכלי המרכזי ללימוד של מוסדות אקדמיים ובתי ספר שלא מאפשרים לתלמידיהם להגיע לקמפוסים, והם מעבירים דרכן שיעורים, מטלות, בחינות וציונים. כמו כן, חברות גדולות משתמשות במערכות אלה להעברת ידע מקצועי באמצעות קורסים מקוונים, כולל קורסי תעודה".

על פי המחקר שערכה החברה, "החולשות מאפשרות לגנוב מידע אישי של הסטודנטים ושל יתר המשתמשים במערכת, וכן היא מאפשרת השתלטות על הכלים בהם עושים המרצים ובכך להתחזות אליהם ולשנות ציונים".

חוקרי צ'קפוינט פנו למפתחי המערכות הללו על לקוחותיהן למהר ולעדכן את התוכנה בהם הם עושים שימוש לגרסה החדשה ביותר. צ'קפוינט מזהירה כי "חברות ומוסדות שמשתמשים במערכות ולא יעדכנו את העדכון האחרון של התוכנות - חושפות את כל משתמשי הקצה למתקפות".