"הכופרות צריכות להיות מיקוד עיקרי בפעילויות משטרות בעולם"

"סחיטה באמצעות השבתת המחשב ודרישת כופר איננה האיום הכי גדול בעולם הסייבר, אולם זהו התחום בו אנו מתמקדים הכי הרבה, בשל ההתפשטות רחבת ההיקף שלו, ופוטנציאל הנזק למשתמשים ולארגונים רבים", כך אמר רב-פקד טון מאס, מתאם תחום דיגיטל במטה הפדרלי של משטרת הולנד.

מאס התראיין לאנשים ומחשבים במסגרת מסיבת עיתונאים שערכה קספרסקי (Kaspersky Lab) בסוף השבוע במלטה, שנושאה היה הגנה בסייבר. תחום הסייבר, אמר מאס, "צמח במשטרת הולנד במקביל לגידול בפשיעת הסייבר. כשהתחלנו היו 30 חוקרי סייבר ביחידת חקירות פשעים דיגיטליים, וכיום היא מונה 120 מקצוענים".

"כופרה זה כואב, כופרה זה פשע מסוג אחר. כשהתחלנו לטפל בתחום", אמר מאס, "ראינו שיש הרבה כופרות, לא ידענו היכן להתחיל – באלו שפוגעות הכי הרבה בהולנדים, באלו שהכי נפוצות בעולם. לשמחתי, המזל שיחק לנו כבר בהתחלה".

מאס תיאר כיצד המשטרה חשפה את הכותבים של הכופרה הידועה בשם CoinVault. הנוזקה הייתה פעילה ביותר מ-20 מדינות ופגעה ביותר מ-1,500 מערכות הפעלה של Windows. החוטפים דרשו סכום ראשוני של 0.7 ביטקוין כדי לשחרר את הקבצים, שווה ערך לכ-1,400 שקלים של לפני שלוש שנים.

לאחר ההופעה הראשונית של הנוזקה, היא נעלמה במהירות, עד שעלתה שוב לפני השטח באפריל 2015. הכל החל, אמר מאס, כשאחד הקורבנות, איש היי-טק שבדי, סירב לשלם את הכופר, התחקה אחר התוקפים והוביל את המשטרה לשרת ממנו התבצעה דרישת הכופר. אז סיפר, "החל שיתוף הפעולה שלנו עם חוקרי קספרסקי. אי אפשר לנצח במלחמה לבד. אנו טובים באיתור רעים ופושעים, לא בכתיבת שורות קוד".

ביטקוין: מקשה על גילוי החוטפים

הקוד, אמר מאס, "הכיל רצפים בהולנדית שוטפת שהיא שפה קשה לכתיבה ללא שגיאות, לכן חשדנו שכותבי הקוד של הכופרה הם הולנדים". חוקרי קספרסקי עשו הנדסה לאחור של הקוד והעבירו ניתוח של הכופרה למשטרת הולנד וזו עצרה שני צעירים, בני 18 ו-22, מהעיר אמרספורט בהולנד.

"הוריהם כלל לא ידעו על מעשיהם", אמר. "הם היו מתחילים, ועשו טעויות מסוימות, שבגללם תפסנו אותם". הוא ציין שהמודל העסקי שלהם היה RaaS, כופרה כשירות, במסגרתו שני הצעירים השתמשו גם באחרים להפצת הכופרה, תמורת קבלת אחוזים מהתשלומים.

"רשויות אכיפת החוק צריכות ללכוד אותם בשלב מוקדם ככל הניתן. אם תחכה, הם פשוט ישתפרו עד שיהיה ממש קשה ללכוד אותם", אמר, "נדרש שיתוף פעולה בין מומחי סייבר למשטרה. כך היה פה, וביחד השגנו תוצאה נהדרת".

"הבעיה המרכזית היא שפשיעת הסייבר הופכת לבינלאומית יותר", ציין מאס. לדבריו, אחת הבעיות היא עלייה בתחכום של העבריינים: "בפשיעה המאורגנת, האיכות והרמה של הנוזקות גבוהות יותר, אז כמעט בלתי אפשרי לתפוס את הפושעים. הפשיעה המסורתית והסייבר עובדים יחדיו יותר ויותר. בעיה נוספת היא תשלום הכופר בביטקוין, מה שמקשה על גילוי החוטפים".

"כופרות הן הבעיה הכי גדולה כיום", ציין מאס. "זה התחיל מול אנשים פרטיים וכעת המותקפים הם ארגונים, בתי חולים וכנסיות, שם התשלום הנדרש גבוה יותר".

13 משטרות התאגדו למלחמה בכופרות

מאס ציין את פרויקט No More Ransom, שהושק ביולי האחרון על ידי משטרת הולנד, היורופול, אינטל סקיוריטי (Intel Security) וקספרסקי, ואמר כי עד כה 13 משטרות התגייסו למלחמה בכופרות: בוסניה הרצגובינה, בולגריה, קולומביה, צרפת, הונגריה, אירלנד, איטליה, לטביה, ליטא, פורטוגל, ספרד, שוויץ ובריטניה.

לדבריו, רשויות אכיפת חוק נוספות וארגונים במגזר הפרטי צפויים להצטרף לתוכנית בחודשים הקרובים. לשאלת אנשים ומחשבים, ציין מאס כי הוא מקווה שגם משטרת ישראל תהיה בין המצטרפות החדשות. "שיתוף הפעולה של כלל הגופים יביא לזמינות של כלים חופשיים נוספים לפענוח הצפנה, סיוע לקורבנות נוספים ופגיעה בעברייני הסייבר במקום בו הכי כואב להם: בכיס".

מאס ציין כי "אלפי משתמשים הצליחו לשחרר את הצפנת הנתונים שלהם ללא צורך לשלם לעבריינים, באמצעות שימוש בכלים לשחרור הצפנה. המהלך מנע מעברייני הסייבר דמי כופר של מיליוני דולרים. גישה מתואמת של משטרות אירופיות והשותפים הרלוונטים, תביא להצלחות משמעותיות במלחמה בכופרות, תוך מיקוד במניעה ומודעות. המטרה שלנו היא להיות פרואקטיביים, ולדעת על תכנון הפשעים בטרם הם מתבצעים".

מאס סיים בציינו כי דרושים כמה כלים למלחמה בכופרות: "הכי חשוב זה גיבוי, לאחריו אנטי-וירוס מעודכן וטוב, ולבסוף – מודעות. תמיד יש אפשרות שתודבק, אבל תשלום של הכופר מחזק ומתחזק את המודל העסקי שלהם".