מחקר: מתקפות הסייבר עוברות לייצור המוני

באחרונה חל שינוי משמעותי באופן שבו תוקפי הסייבר פועלים: פשיעת הסייבר הפכה לתעשייתית, כאשר תוקפים משתמשים באוטומציה ובפגיעוית ותיקות כדי להרחיב קמפייני תקיפה, ולפגוע שוב ושוב במטרות בעלות ערך גבוה – מהר יותר מכפי שמגנים מסוגלים להגיב. ההאקרים פועלים בהיקף נרחב בכל התעשיות הגלובליות ובמגזרים ציבוריים קריטיים. נתונים אלה עולים ממחקר חדש של HPE, שנושא את הכותרת In the Wild.

הדו"ח מציג סביבת איומים גלובלית, המאופיינת בצמיחות בהיקף, בארגון ובמהירות של המתקפות. החוקרים של HPE ניתחו 1,186 קמפייני תקיפה שהיו פעילים ברחבי העולם ב-2025 וציינו ש-"מצאנו אקו-סיסטם תקיפה מתפתח במהירות, שמאופיין במקצועיות, אוטומציה ומיקוד אסטרטגי".

"תשתיות בקנה מידה תעשייתי מניעות קמפייני תקיפה מודרניים", כתבו מחברי המחקר. "חלה עלייה הן בהיקף המתקפות והן בתחכום הטקטיקות והטכניקות של התוקפים. גורמי איום, כולל קבוצות ריגול המקושרות למדינות וארגוני פשיעת סייבר מאורגנים, פועלים בדומה לארגונים גדולים – עם מבנים היררכיים, צוותים מתמחים, תיאום מהיר לפריסת תשתיות תקיפה רחבות ותעשייתיות, והבנה עמוקה של יישומי עבודה ומסמכים נפוצים".

274 קמפיינים נגד ארגוני ממשלה

חוקרי HPE מצאו שארגוני ממשלה היו המגזר המותקף ביותר בעולם ב-2025, עם 274 קמפיינים נגד גופים פדרליים, מדינתיים ומוניציפליים. אחריהם נמצאים מגזרי הפיננסים עם 211 מתקפות והטכנולוגיה עם 179 קמפיינים. החוקרים ציינו ש-"הנתונים משקפים מיקוד מתמשך בנתונים בעלי ערך גבוה וברווח פיננסי". גם מגזרי הביטחון, הייצור, התקשורת, הבריאות והחינוך היו יעד למתקפות רבות. לדבריהם, "תוקפים מתעדפים מגזרים הקשורים לתשתיות לאומיות, נתונים רגישים ויציבות כלכלית – אך גם מבהירים שאף מגזר לא חסין".

עוד מעלה הדו"ח שבמהלך השנה החולפת התוקפים פרסו יותר מ-147 אלף דומיינים זדוניים וכמעט 58 אלף נוזקות, וניצלו באופן פעיל 549 פגיעויות. "מקצועיות זו הופכת מתקפות לצפויות יותר בביצוען, אך גם לכאלה שיותר קשה לנטרל אותן, שכן פירוק רכיב אחד לא עוצר את הקמפיין כולו", הסבירו ב-HPE.

המאיצים – מיכון ו-AI

המחקר מצא שאוטומציה ובינה מלאכותית מאיצות את קצב והיקף התקיפות, ושתוקפים אימצו טכניקות חדשות להגברת המהירות וההשפעה. "חלק מהקמפיינים השתמשו בתהליכי 'פס ייצור' אוטומטיים בפלטפורמות כמו טלגרם, כדי להוציא נתונים גנובים בזמן אמת. אחרים ניצלו בינה מלאכותית יוצרת ליצירת קולות וסרטוני דיפ־פייק לצורך מתקפות וישינג (פישינג קולי) והונאות התחזות למנהלים. קבוצות סחיטה ביצעו מחקר שוק על פגיעויות VPN – כדי לייעל את אסטרטגיית החדירה", ציינו החוקרים. הם הסבירו כי "טקטיקות אלו מאפשרות לתוקפים לפעול מהר יותר, להגיע ליותר יעדים ולהתמקד במגזרים קריטיים. במימוש התפיסה 'עקוב אחר הכסף', הם פעלו למיקסום רווחים".

"הגנה אפקטיבית תלויה פחות בהוספת כלים ויותר בשיפור תיאום, נראות ותגובה", סיכמו החוקרים. "צעדים אלה מסייעים לארגונים לפעול מהר יותר, להפחית סיכונים ולהתמודד עם איומים מתקדמים. אנחנו ממליצים על מימוש כמה צעדים: שיתוף מודיעין איומים בין צוותים ויישום גישת SASE לאיחוד רשת ואבטחה; תיקון נקודות כניסה נפוצות כמו VPN, התקני קצה ו-SharePoint; יישום עקרונות אמון אפס והטמעת ZTNA; שיפור נראות ותגובה באמצעות מודיעין, טכנולוגיות הטעייה וזיהוי מבוסס AI; והרחבת האבטחה מעבר לארגון – לרשתות ביתיות, ספקים ושרשראות אספקה".

בתוך כך, ענקית ה-IT הקימה את HPE Threat Labs, כדי להתמודד עם סביבת האיומים המתפתחת. המרכז מאחד מומחיות ומודיעין של HPE ושל ג'וניפר, שאותה היא רכשה תמורת 14 מיליארד דולר. לדברי מוניר האחאד, המנהל העולמי של HPE Threat Labs, "התוקפים פועלים בקמפיינים פעילים. הם מסתגלים ולעתים גם מצליחים".