"משבר הקורונה עלול להפוך לסערת הסייבר המושלמת"

"ללחץ הרב ששרויים בו חברות וארגונים בשל המשבר הכלכלי יש פוטנציאל להפוך לסערה המושלמת בסייבר, בשל השילוב הייחודי של כמה אלמנטים: עלייה בחשיפת מערכות קריטיות של ארגונים לגישה מרחוק, מוטיבציה גוברת לחבלה, או מעילה פנימית, עקיפת מערכות הרשאה כחלק מהדרישה העסקית למתן שירות, סיכון לפגיעה במיומנות צוותי הפיקוח וההגנה בשל העומס הרב, עבודה במשמרות  והקשיים האובייקטיביים בצורת העבודה החדשה", כך אמר בועז דולב, מנכ"ל קלירסקיי.

חברת הגנת הסייבר הישראלית הנפיקה דו"ח, המסכם את הרבעון הראשון של 2020. על פי הדו"ח, חל גידול ניכר במספר תקיפות הכופרה הממוקדות בארגונים ובחברות בישראל, כולל איום בפרסום מידע וגרימת נזקים לפעילות התפעולית של חברות אלו.  "רמת התחכום המקצועי וכלי התקיפה של התוקפים משתפרים בהתמדה", כתבו החוקרים, "מהמידע שהגיע לידינו, בחלקו לא  מאומת – עולה, כי מרבית העסקים הגדולים בישראל לא שילמו כופר, אלא בחרו במסלול שחזור מגיבוי". מגמה נוספת היא גידול במספר תקיפות הפישינג בישראל, מול אזרחים ועובדים, תוך התחזות למוסדות פיננסיים, חברות תקשורת ותשתית וגופי ממשל. "בניגוד לתקיפות הכופרה", נכתב, "בשלב זה נראה כי התחכום של התוקפים נמוך וכלי התקיפה קלים לאיתור".

חלה ירידה בהיקף התקיפות מאיראן בתחילת הרבעון הנוכחי. "להערכתנו", ציינו חוקרי קלירסקיי, "הירידה נובעת משתי סיבות: האחת היא חיסול תשתית תקיפה מרכזית שלהם – בדרך כלל נדרשת התארגנות מחדש של 3-6 חודשים. הסיבה השנייה היא  התפרצות נגיף הקורונה באיראן, שלהערכתנו הפריעה לפעילות התקיפה של העובדים ממשרדי הממשלה וארגוני הביטחון. בשבוע האחרון אנחנו מזהים סימנים ל'התאוששות' שלהם וחזרה למתווה תקיפות".

אתר Maze: "נפרסם מידע על ארגונים שלא משתפים איתנו פעולה"

בהשוואה רבעונית, השנה חל גידול של 15% בהיקף אירועי הסיבר המשמעותיים בעולם לעומת הרבעון הראשון של 2019. לדברי דולב, "ישנן כמה מגמות ייחודיות מתחילת השנה. אנו רואים גידול במספר קבוצות הכופרה המאיימות בפרסום מידע רגיש לצורך סחיטה. כך, למשל, זיהינו כי ארגוני פשיעה רוסיים מאיימים בגלוי על קורבנותיהם, לא רק להשאיר את המערכות מוצפנות – אלא גם לשחרר מידע רגיש שהושג במהלך ההדבקה. כמה קבוצות, ובראשן קבוצת התקיפה Maze, פתחו אתרים גלויים, שם הן מפרסמות את שמות הקורבנות וחלק מהמידע שהושג מהם, על מנת לגרום להם לשלם את דמי הכופר".

דולב הוסיף, כי "סידרה של תקיפות ייחודיות לזמן הנוכחי הולכות ומתרבות: אנו מזהים מתקפות על מערכות וחיבורים מרחוק לחברות, שימוש בפישינג רלוונטי למגיפת הקורונה וניצול הפערים שנוצרו בהגנת הסייבר בעקבות צמצום כוח אדם מקצועי בתחום. כל אלה מועצמים על ידי הגדלת החשיפה הארגונית לגישה מרחוק והתגברות האיום על מערכות VPN".

החוקרים הוסיפו, כי סידרה של גורמים ייחודיים, המצטרפים זה לזה, מתדלקים את פוטנציאל הנזק לארגונים. כך למשל, ציינו, "השילוב של מעבר מהיר ולא מתוכנן לעבודה מהבית יחד עם פתיחת מערכות ליבה לעבודה מרחוק, בשילוב של פיטורי עובדים שעלולים ליצור מרמור בקרב המפוטרים – אינם מבשרים טובות לפרופיל הסיכון של החברות".

זאת ועוד, אל הגורמים הללו מתווספת הנטישה הפיזית של משרדי חברות ושרתים, המאפשרים לגורמי פשיעה להגיע אליהם פיזית ולהתחבר אליהם. זאת, לצד שינוי חד בדפוס הפעילות של לקוחות, מה שמקשה על מערכות אוטומטיות למניעת הונאה לפעול ביעילות. כל אלה, מסבירים בקלירסקיי, "יוצרים מצב שבו ארגונים הופכים להיות חשופים למתקפות סייבר, אשר יקשו עליהן להגן על נתונים, לתת שירות ולשמור על שרידות מערכותיהם".

דולב סיכם כי "התלות שלנו בזמינות שירותים אינטרנטיים וגישה למערכות גדלה מאוד, כך שבמקביל לעובדה שאנחנו הופכים פגיעים יותר – פוטנציאל הנזק נהיה גדול יותר. מתפתחים כאן תנאים שעלולים להידרדר במהירות, ולכן, כמו לפני הוריקן, כדאי להתכונן. להערכתנו, היקף המתקפות של ארגוני פשיעת סייבר יגבר באופן משמעותי ברבעון הקרוב. הם מבינים שמשטח התקיפה של החברות הורחב וגדל והן הפכו פגיעות יותר, ולכן יגבירו את כמות התקיפות לגניבת כסף ומידע ולסחיטה. בשבועות האחרונים זיהינו גידול אקספוננציאלי בניסיונות הפישינג, בבהקמת דומיינים, בהתחזות לחברות ובאירועי סחיטה. להערכתנו, מספר התקיפות של האקרים בודדים יגבר באופן משמעותי ברבעון הקרוב. הם נמצאים בבית, חסר להם כסף, יש להם זמן פנוי ויכולת לתכנן ולבצע תקיפות סייבר".