הכופרות מעולם לא מתו – היקפן רק גדל

ניסיונות השיבוש של מתקפות הכופרה הביאו להפרעות בעולם "כלכלת הכופר" והאטו את הפעילות שלהן רק לזמן קצר, בעוד ששיטות הסחיטה הלכו והתרחבו, כך לפי מחקר של צוותי ציד האיומים של סימנטק (Symantec) וקרבון בלאק (Carbon Black) מבית ברודקום. החברות מיוצגות בישראל על ידי נס.

לפי מחקר חדש שפורסם בסוף השבוע, "מתקפות הכופרה המשיכו לעלות לאורך 2025, גם כאשר קבוצות פשע גדולות קרסו ואז – התחדשו".

לפי החוקרים, "בשנה החולפת מתקפות הכופרה הגיעו לשיא – למרות שכמה מהן חוו הפלות משמעותיות. קבוצות שחקני הכופרה טענו ל-4,737 תקיפות ב-2025, הנתון השנתי הגבוה ביותר אי פעם. הפעילות החודשית בתחום גדלה בהתמדה לאורך השנה, למעט ירידה חדה אחת באפריל, לאחר הסגירה של RansomHub, שהייתה הקבוצה הפעילה ביותר". לפי החוקרים, "ההשבתה לא נמשכה זמן רב. סניפים לשעבר של RansomHub עברו במהירות לקבוצות אחרות, והיקפי המתקפות חזרו לרמות קודמות בתוך שבועות. אמנם באוגוסט חלה ירידה נוספת, אבל זו האטה עונתית".

לפי המחקר, שני מבצעים משמעותיים להשבתת מפעילי כופרות נערכו בשנה החולפת. LockBit, המכונה גם Syrphid, לא הצליחה להתאושש לאחר פעולות השבתה שלה על ידי משטרות בסוף 2024. קבוצת RansomHub, הידועה גם בשם Greenbottle, נסגרה בפתאומיות באפריל 2025. קבוצות אחרות נהנו מכך: אקירה (Akira) וקילין (Qilin) היו אחראיות, כל אחת מהן, ל-16% מהמתקפות בשנה החולפת, לצד אינק (6%), סייפפיי (6%) ודרגון פורס (5%).

"השינוי מדגיש כיצד שותפים לפעילות מתקפות הכופרה נעים בצורה חלקה בין שירותי כופרה-כשירות", נכתב, "וסוכני גישה, כלים ומבני תשלום המשיכו 'להסתובב' בין קבוצות, מה שסייע לשמור על רמות הפעילות הכוללות שלהן".

הסחיטה מתרחבת מעבר להצפנה

אחד הממצאים המשמעותיים ביותר במחקר עוסק בקמפיינים של סחיטה, שאינם נסמכים על הצפנה. התקפות אלו מתמקדות בגניבת נתונים ובאיומים לפרסם אותם, תוך הימנעות מוחלטת מפריסת כופרה. מתקפות מבוססות הצפנה עמדו על מעט יותר מ-4,700 אירועים. כאשר כוללים סחיטה בגניבת נתונים, סך מקרי הסחיטה עמד על 6,182 בשנה החולפת, נתון המשקף עלייה של 23% לעומת 2024.

Snakefly, שמפעילה את הכופרה Cl0p, שיחקה תפקיד מרכזי בשינוי הזה. שחקנים אלה ניצלו פגיעויות בתוכנות ארגוניות נפוצות, כדי לחלץ נתונים בהיקף רחב. הקורבנות כללו ארגונים גדולים בממשלה ובתעשייה. חלק מהקמפיינים השפיעו על מאות חברות – באמצעות חולשה אחת. הקמפיין האחרון שלה הופעל באוקטובר 2025, במסגרת מתקפות סחיטה שכוונו למשתמשי Oracle E-Business Suites. התוקפים ניצלו פגיעות קריטית של יום אפס (CVE-2025-61882) בתוכנה, שאפשרה לתוקפים להריץ קוד השתלטות מרחוק על המערכות.

החוקרים קישרו כמה מהפעולות הללו לכלים משותפים ולתשתיות הדלפות, מה שמרמז על תיאום בין שחקני האיום.

"בעוד שמתקפות הכוללות הצפנה עדיין נפוצות מתמיד ועדיין מהוות איום, הופעתם של סוגים חדשים של מתקפות, בלא הצפנה – מוסיפה רמת סיכון נוספת ויוצרת מערכת סביבתית רחבה יותר של סחיטה – שכופרה מהווה רכיב אחד ממנה בלבד", כתבו ציידי האיומים של סימנטק וקרבון בלאק.

הנדסה חברתית – נתיב הגישה הראשי

לפי המחקר, חלה עלייה במתקפות שמונעות על ידי הנדסה חברתית, במיוחד נגד פלטפורמות ענן ומערכות ניהול ואישורי זהות. בדרך זו, קבוצות הקשורות ל-ShinyHunters ו-Scattered Spider הצליחו לקבל גישה לסביבות ארגוניות. כך, בכמה מהמסעות, התוקפים שכנעו עובדים לאשר אפליקציות זדוניות, או לשתף קודי אימות – לכאורה לטובת תמיכה טכנית.

סחיטה הקשורה לכלי ריגול ישנים

זן חדש של כופרה משך תשומת לב בשל הכלים והתשתיות שלו. התקפות Warlock נצפו לראשונה באמצע 2025. הן ניצלו פגיעות יום אפס ב-Microsoft SharePoint. הכלים של וורלוק זוהו ככלים שהיו קשורים בעבר לפעילות ריגול סינית, כאשר חלק ממטעני הכופרה נראו כגרסאות מותאמות של LockBit בשילוב רכיבי נוזקה ישנים. PowerShell היה הכלי המנוצל ביותר למתקפות, ונעשה בו שימוש ב-25% מהן.

לסיכום כתבו החוקרים, כי "יש חפיפה בין פעילות כופרה לבין קמפיינים ארוכי טווח שמטרתם ריגול – שבהם פריסת הכופרה עשויה לשרת מטרות תפעוליות, או פיננסיות, במסגרת מאמצי חדירה רחבים יותר".