כיצד מפעילי הכופרות גורמים לקורבנות לשלם?

כיצד נופלים משתמשים, גופים וארגונים, קורבן לכופרות? ומדוע חלק לא מבוטל מהם מחליט, בסופו של דבר, לשלם את דמי הכופר?

חוקרי צוות התגובה המהירה של סופוס, פרסמו מסמך בשם "10 הדרכים בהם מפעילי כופרות מגבירים לחץ לשלם". במסמך זה הם מסבירים כיצד התוקפים מטמיעים מגוון של אמצעי לחץ אכזריים, כדי לשכנע את הקורבנות לשלם את דמי הכופר, וממחישים את השינוי שחל בטכניקות הלחץ.

"ארגונים השתפרו בגיבוי נתונים ואחזור של קבצים מהצפנה, והתוקפים הגיבו באמצעות תגבור דרישות הכופר באמצעי סחיטה נוספים", אמר פיטר מקנזי, מנהל בצוות תגובה לאירועים בסופוס. "ראינו מקרים בהם תוקפים שולחים הודעות דואר אלקטרוני, או מתקשרים לעובדים בחברה המותקפת, פונים אליהם בשמותיהם, ומשתפים בפרטים האישיים הגנובים שלהם – הכל במטרה להפחידם ולגרום להם לדרוש מהמעסיק לשלם את דמי הכופר. זה מראה עד כמה מתקפות כופרה התרחקו מהעיסוק הטכני בתקיפה של מערכות ונתונים – וכעת הן מתמקדות בתקיפת אנשים".

פיטר מקנזי, מנהל צוות התגובה לאיומי סייבר, סופוס. צילום: יח"צ

עשר דרכים בהן תוקפים מגבירים לחץ על הקורבנות לשלם דמי כופר

הדרך הראשונה – גניבת נתונים ואיום לפרסמם, או למכור אותם ברשת. "יותר ויותר תוקפים מחזיקים ברשותם אתר לפרסום נתונים שנגנבו. הגישה הפכה כה נפוצה, שכל קורבן צריך להניח שמתקפת הכופר כללה גם גניבת נתונים משמעותיים, נתונים שלא הייתם מעוניינים בפרסומם". 

הדרך השנייה – יצירת קשר עם עובדים, בדואר טלפוני או בטלפון, כולל למנהלים בכירים, תוך איום לפרסם מידע אישי. הקבוצות Conti, Maze, SunCrypt ואחרות השתמשו בטקטיקת הפחדה יעילה זו.

הדרך השלישית – להודיע לשותפים עסקיים, לקוחות ומדיה, על דליפת הנתונים. מפעילי הכופרה REvil התקשרו לתקשורת ולשותפים עסקיים של הקורבנות, וסיפקו מידע אודות התקיפה, כדי לדחוק בקורבן לשלם את דמי הכופר.

הדרך הרביעית – השתקת הקורבן באיום שלא יפנה לרשויות. מפעילי Conti וRagnarLocker החלו באחרונה לפנות לקורבנות ולאיים עליהם שלא יפנו לרשויות אכיפה או ישתפו פרטים לגבי המשא ומתן. "הדבר עלול למנוע מקורבנות לבקש סיוע מגורמי אכיפה או מומחי סייבר. זה גם מצביע ש'מותגי' הכופרה אינם מעוניינים למשוך תשומת לב לפעילותם".

הדרך החמישית – טקטיקה חריגה וחדשה: גיוס גורמים פנימיים שיסייעו בפריצה, בתמורה לנתח מהשלל. כך, המפעילים מאחורי LockBit 2.0 פרסמו מודעת גיוס למשתפי פעולה שיסייעו במאמצי הפריצה וההצפנה, בתמורה לתשלום משמעותי.

הדרך השישית – אתחול סיסמאות. לאחר פריצה לרשת, מתקפות כופרה רבות יוצרות חשבון אדמין חדש, ומאתחלות את הסיסמאות לחשבונות אדמין אחרים. כך, מנהלי IT לא יכולים להיכנס לרשת ולתקן את הבעיה.

הדרך השביעית – מתקפות פישינג על חשבונות הדואר האלקטרוני של הקורבן. כך, באחד מהאירועים, התוקפים מיקדו ניסו לגרום לעובדים להתקין אפליקציה שתספק להם – לתוקפים – גישה לדואר האלקטרוני של העובדים, גם לאחר שאלה יחליפו סיסמה.

הדרך השמינית – מחיקת גיבויים מקוונים ועותקים חבויים של נתונים. זאת כדי שהקורבן לא יוכל להיעזר בהם כדי לאחזר קבצים.

הדרך התשיעית – הדפסת עותקים פיזיים של ההודעות לדרישת הכופר, דרך המכשירים המחוברים לרשת, כולל קופות בנקודות מכירה. "מבול איומים מודפסים יוצר חוסר נוחות ושקט בארגון ונוטע פחד".

הדרך העשירית – הפעלת מתקפות מניעת שירות מבוזרות, DDoS, כנגד אתר החברה שנפגעה. Avaddon, DarkSide ו-RagnarLocker השתמשו במתקפת מניעת שירות כשהמשא ומתן על התשלום נתקע, בניסיון להחזיר את הקורבנות לשולחן המשא ומתן. "התוקפים גם משתמשים בטקטיקה זו כדי להסיח את תשומת הלב של צוות האבטחה, כשמתקפת הכופרה המרכזית מופעלת".