האקרים האיראנים מכים שוב: פרצו לחברת מימון והדליפו פרטי לקוחות

צוות התקיפה האיראני שפרץ לשרתי חברת הביטוח שירביט, ניסה לסחוט אותה והדליף ומכר את פרטי לקוחותיה, פרץ לחברה ישראלית נוספת. החברה הנפרצת היא ק.ל.ס - חברה קטנה העוסקת במימון עסקאות רכב. צוות התקיפה בלאק שדו דרש מהחברה סכום של 10 ביטקוין, ששווים בימים האחרונים כ-500-600 אלף דולר.

התוקפים פרסמו בערוץ הטלגרם שלהם כי הן ניהלו משא ומתן של 72 שעות עם החברה הנתקפת ולאחר שדרישותיהם לא נענו, החלו לפרסם מסמכים אישיים של לקוחות ומסמכים עסקיים של החברה. גל הדלפות המידע האחרון היה בשעה 16:30. שעה לאחר מכן פרסמו הפורצים כי הם נותנים לחברה ארכה של 20 שעות נוספות לשלם 10 ביטקוין.

 פרסום התקיפה בטלגרף של קבוצת האקרים בלאק שדו / צילום: צילום מסך

בק.ל.ס אישרו את הדברים ומסרו כי "לפני כשלושה ימים, מערך הסייבר הלאומי פנה לק.ל.ס קפיטל והתריע כי עשויה להתרחש תקיפת סייבר כנגד החברה. מדובר בהתקפה הדומה להתקפות רבות, במסגרת סדרת מתקפות שמנהלת איראן על שלוחותיה כנגד מטרות ישראליות בהן חברות וגופים ממשלתיים, ציבוריים ופרטיים. הנהלת החברה פעלה באופן מיידי להורדת שרתי המחשב של החברה, ולחבור למערך הסייבר הלאומי שיחד עם מומחים מטעם החברה בודקים את האירוע בשיתוף פעולה מלא".

החברה ציינה בהודעתה כי היא "התקינה את שרתיה מחדש ובעיית דלף המידע נפתרה". אך עם זאת הודתה כי "טרם ידוע מה היקף המידע שנחשף", והבטיחה כי "תעמוד בקשר עם לקוחותיה בהתאם לממצאים".

החברה שעושה באירוע את הפורנזיקה, הניתוח של ההיבט הטכנולוגי סייברי של הפריצה, עבור חברת קלס, היא חברת פרופרו.

ממערך הסייבר נמסר כי "בעקבות חשד לדלף מידע בחברה, העניק מערך הסייבר הלאומי סיוע ראשוני בבלימת התקיפה ובניסיון לגנוב כספים מהחברה וכן במניעת נזק נוסף. החברה נעזרת כעת בשירותי חברת סייבר פרטית. המערך המליץ לחברה ליידע את לקוחותיה שייתכן שהמידע שלהם יזלוג לרשת. גם חברות עסקיות קטנות צריכות לנקוט באמצעי הגנה מפני תקיפות סייבר ולגלות אחריות כלפי המידע של לקוחותיהן. מערך הסייבר ממליץ להתעדכן בפרסומים השוטפים ובהתרעות המופצות לביצוע עדכונים דחופים ולסגירת חולשות אבטחה, פעולות שיכולות למנוע תקיפות מסוג זה".

"הכופר הוא מסך עשן"

ההערכות הן, שכמו במקרה שירביט, מאחורי התקיפה עומדת איראן. לדברי בעז דולב, מנכ"ל חברת הסייבר קלירסקיי, "נראה שזהו תחילתו של עוד אירוע שמטרתו הרתעה. קמפיין תודעה שמטרתו לגרום לכמה שיותר נזקים לחברה הנתקפת בדיוק כמו באירוע שירביט. אני מאמין שהמניע הוא לא כספי".

דולב טוען כי אולי מוטב היה שלא לנהל משא ומתן עם התוקפים ואומר, "הצטערתי לשמוע שניהלו מו"מ במקום לפרסם ללקוחות ולייצר תגובת מנע לפני אפקט הפרסום שיוצרת קבוצת בלאק באמצעות פרסומיה. נראה שזה סוג של תקיפה שקשורה לעימות עם איראן, אבל ייקח עוד זמן עד שינתחו את המידע שעוד יגיע לגבי החדירה. ווקטור הפריצה הוא כנראה שרת VPN שפרטיו הודלפו עוד לפני הרבה זמן. ההמלצה שלי אם מישהו העביר צ'קים או נתן פרטי אשראי לחברה, שיבדוק את הפעולות הכספיות, יקפיא את המסמכים וישנה סיסמאות".

גם הראל מנשרי, ממקימי מערך הסייבר בשב"כ וראש תחום סייבר ב-HIT מכון טכנולוגי חולון, סבור כי איראן עומדת מאחורי המתקפה. "ברור לחלוטין שהתקיפה לא בוצעה למטרות כופר כמו שהפרוצים טוענים, אלא יש כאן מטרות אחרות. זה סיפור שמנסה להתחזות לסיפור לכופר מטעמים של הגברת נזק. הכופר הוא מסך עשן בדיוק כמו שהיה בסיפור הפריצה לשירביט", הוא מעריך.

לדברי ד"ר מנשרי, "יש כאן מאפיינים שדומים לתקיפות איראניות. ניסיון לעיצוב ויצור תודעה כמו בשירביט - להיות בכותרות ולייצר תודעה של השפלה בצד שלנו והישג לצד שלהם. הסיפור של הכופר זה רק כדי לבלבל. הכסף זה קשקוש".