גלובס - עיתון העסקים של ישראלאתר נגיש

אילוסטרציה: Shutterstock

קבוצת הסייבר ביאן ליאן (BianLian) פרסמה כי פרצה למערכות של משרד עורכי הדין הבינלאומי פרל כהן צדק לצר ברץ ("פרל כהן"). לפי הפרסום של הקבוצה, הם השיגו גישה ל-1.2 טרה-בייט של מידע, כולל נתוני לקוחות.

● "באים להרוג את כולכם": זה מה שעומד מאחורי הפקס המאיים שאולי קיבלתם
● תשלום דמי הכופר להאקרים נורמל, ותחת עיני הרשויות נולדה תעשייה חדשה
● ממשרד עורכי הדין ועד אתר מדלן: למה יש כל־כך הרבה מתקפות סייבר?

פרל כהן הוא משרד עורכי דין ועורכי פטנטים בינלאומי, עם נוכחות בישראל, בארה"ב ובבריטניה. המשרד מתמחה במתן ייעוץ משפטי חדשני בתחומי הטכנולוגיה והקניין הרוחני. לקוחותיו כוללים מגוון רחב של חברות, מ-Fortune 500 ועד סטארט-אפים, משקיעים, מוסדות מחקר אקדמיים וחברות ציבוריות.

נכון להיום, גורמים המקורבים למשרד טוענים כי היקף המידע שנפרץ קטן ממה שנטען על-ידי קבוצת התקיפה. לדבריהם, הפריצה התמקדה בכונן אחסון יחיד, כאשר מרבית המידע המאוחסן בו הוא ישן.

יחד עם זאת, הגורמים מציינים כי טרם ברור אם לקבוצת הסייבר הייתה גישה גם למידע חדש ורגיש. נושא זה, כך לפי גורמים, נמצא כעת בבדיקה מעמיקה.

בתגובה לאירוע, משרד פרל כהן שכר את שירותיה של חברת פרופירו (Profero), המתמחה בתגובה לאירועי סייבר ומספקת שירותי חקירה וטיפול באירועים כאלה.

עוד לפי גורמים בסביבת המשרד, לא הייתה הצפנה של מידע, ומערכות האבטחה של המשרד מנעו חדירה למערכות ארגוניות אחרות. עוד נאמר כי אין פגיעה בשום מערכת, וכי המשרד ממשיך לעבוד כרגיל.

בתגובה לדרישות הכופר של קבוצת הסייבר, גורמים המקורבים למשרד הבהירו כי לא שולם ולא ישולם כופר לתוקפים.

נזכיר כי רק בחודש מאי האחרון אירע אירוע סייבר במשרד עורכי דין נוסף - גולדפרב גרוס זליגמן, אחד הגדולים בישראל. במקרה זה התמודד המשרד עם מתקפת סייבר מתמשכת. לאחר הדיווח הראשוני על חדירה לשרת והעתקת מידע, המשרד עדכן כי עדיין הייתה קיימת פעילות של גורם עוין ברשת, מה שהעלה חשש לדליפת מידע חשוב ורגיש. בתגובה, המשרד ניתק אז באופן מיידי את התקשורת החיצונית שלו, זאת על-פי המלצת מומחי הסייבר. עוד ציינו אז מומחי סייבר כי היה מדובר באירוע מתגלגל שהיקפו לא היה ברור לחלוטין, ולא היה ידוע אם היה מדובר באותו תוקף או בתוקף חדש שניצל את הפריצה הקיימת.

איום משמעותי ומתמשך

ביאן ליאן (BianLian) היא כאמור קבוצת סייבר המתמקדת בכופרה. הקבוצה החלה את פעילותה בשלהי 2021 והתפתחה במהירות לאחת מקבוצות הכופר הפעילות ביותר, כך לפי מספר חברות העוסקות בהגנת סייבר.

הקבוצה מתמחה בסחיטה רב-שלבית, הכוללת דרישת תשלום עבור הצפנות ומפתח פיענוח וכן עבור אי-פרסום מידע גנוב. הקבוצה מפעילה גם בלוג ציבורי ברשת לפרסום זהויות קורבנות ומידע גנוב.

הקבוצה מתמקדת במגוון רחב של תעשיות, כולל שירותי בריאות, חינוך וגופים ממשלתיים, ומשתמשת בתוכנות זדוניות שנכתבו בשפת Go. שיטות החדירה שלה כוללות ניצול פירצות אבטחה במערכות חשופות, כגון RDP, מכשירי SonicWall VPN ופגיעויות ProxyShell. הקבוצה ידועה בשימוש נרחב בכלים לגיטימיים (LOLBins) וכלים מסחריים (COTS) לצורך התחמקות מזיהוי, וכן ביכולתה לנטרל כלי אבטחה ספציפיים.

תהליך ההצפנה של הקבוצה מהיר במיוחד ויכול להשלים הצפנת דיסק מלאה תוך דקות ספורות. לאחרונה הקבוצה אף פיתחה גרסה של התוכנה שלהם למערכות Linux, מה שמרחיב את טווח המטרות הפוטנציאליות.

יכולתה של ביאן ליאן להסתגל במהירות לשינויים בסביבת האיומים, לפתח כלים חדשים ולנצל פגיעויות מתפתחות הופכת אותה לאיום משמעותי ומתמשך בנוף איומי הסייבר, כך לפי סנטינל וואן וג'וניפר נטוורקס.

פרל כהן: "הפירצה נסגרה תוך זמן קצר"

ממשרד פרל כהן נמסר: "קבוצת תקיפה מתוחכמת של האקרים פרצה לכונן בודד של הפירמה. מיד עם גילוי הפריצה הפעיל המשרד נוהל תגובה לאירוע והקים צוות לטיפול בו, בשיתוף מומחים חיצוניים מחברת הסייבר המובילה Profero. הפירצה נסגרה תוך זמן קצר, ומערכות הפירמה נבדקו לשלילת גישה בלתי מורשית למערכות נוספות.

"יודגש כי הכונן כולל בחלקו הגדול מסמכים ישנים. מערכות ההגנה של המשרד מנעו הצפנת קבצים, ועבודתה השוטפת של הפירמה לא נפגעה. נמסר דיווח לרשות להגנת הפרטיות".