וויסקי, וודקה – וכופרות

לפני כחודש הייתה ענקית המשקאות בראון פורמן קורבן של עברייני הכופרות. אף ששמה לא מוכר, את המוצרים שלה רבים מכירים, ובעיקר וויסקי ג'ק דניאלס ו-וודקה פינלנדיה.

על פי אתר בלומברג, שאף טוען כי קיבל הודעה אנונימית מהתוקפים עצמם, העבריינים שמעורבים בתקיפה משתייכים לכנופיות REvil או Sodinokibi. צוות REVil הוא חלק מ"הגל החדש" של מפעילי כופרות, המוציאים לפועל מתקפות בשלושה שלבים, המייצרות מנגנון סחיטה כפול. "בתחילה הם פורצים לרשת הקורבן וסורקים אותה", אמר פול דקאלין, חוקר בכיר בסופוס (Sophos) "במהלך פעילות הסיור והתצפית, העבריינים מתקדמים בהדרגה אל רמת גישה של sysadmin, ממפים את כל נקודות הקצה והשרתים ברשת, מחפשים היכן נמצאים הגיבויים המקוונים ומפעילים כלי ניהול מערכת עוצמתיים, שיסייעו במהלך המתקפה. הם גם ישנו הגדרות של מערכות אבטחת מידע, או אף יפסיקו את פעולן, כדי להעניק להם את מרחב הפעולה הגדול ביותר. לעיתים הם אפילו יפעילו מיני-התקפות בעזרת דוגמיות נוזקה, במטרה לבחון את ההגנות הקיימות ולמצוא אילו טכניקות הן היעילות ביותר".

בשלב השני, ציין דאקלין, "הם יגנבו נתונים ארגוניים רבים ככל האפשר". בהתקפה על בראון-פורמן טענו התוקפים, שהצליחו לחלץ 1 טרה-בייט של נתונים. בלומברג קיבל קישור לאתר, שבו פרסמו העבריינים דוגמאות למידע גנוב, המתפרס על פני 10 שנים. בשלב השלישי, הסביר, "הם יצפינו ברשת קבצים רבים ככל האפשר באמצעות אלגוריתם ערבול, שרק להם יש את המפתח לפענוחו. ההאקרים יעתיקו לפני כן את תוכנת הנוזקה לרוחב הרשת, כדי שכאשר הם מתחילים בתהליך ההצפנה הוא ירוץ במקביל בכל המכשירים ויגרום לפגיעה מרבית בזמן קצר ככל האפשר".

"שני השלבים הראשונים במתקפות הם חדשים יחסית", ציין. "בעבר, מתקפות סייבר התמקדו רק בשלב השלישי – הצפנת הקבצים ומשלוח דרישת כופר. התקפות על רשתות היו נדירות, וההתקפות כוונו נגד כולם – ממשתמשים פרטיים ועד לחברות גדולות, שנדרשו לשלם 300 דולר עבור כל מחשב בחברה שעצר את פעילותו".

"העבריינים הבינו עם הזמן, כלכלית, כי עדיף להם למקד מאמצים בסחיטה של חברה אחת עבור עשרות אלפי דולרים", אמר דאקלין, "במקום לרדוף אחרי אלפי מחשבים אישיים שונים. ההאקרים הראשונים שפנו לדרך זו היו נועזים דיים כדי להציע שני מסלולי כופר – האחד לפי מחשב והשני במסלול 'שחרר כפי יכולתך', כאילו מדובר במבצע של חברה מסחרית".

השינוי הטקטי הגדול ביותר

"השינוי המהותי ביותר הוא בשלב השני", הדגיש דאקלין. "באמצעות הוצאת מידע מהארגון טרם ההצפנה, העבריינים יכולים להציג איום כפול. כעת, הארגונים נסחטים גם כדי לגרום לעבריינים לעשות משהו – לשלוח את מפתח ההצפנה, וגם כדי לא לעשות משהו – לפרסם את הנתונים שלהם. העבריינים מבטיחים למחוק את הנתונים שכבר גנבו, אבל אין כל דרך לדעת אם יעמדו בהבטחה. גרוע מכך, אין דרך לדעת אם לעבריינים יש בכלל דרך לקיים את ההבטחה שלהם. ייתכן שהמידע שנגנב מהארגון כבר נגנב גם מהם – רבים מהמעצרים בעולם הכופרות התרחשו בגלל שעבריינים לא נזהרו ואפשרו לגורמים אחרים לחדור לרשת שלהם. ייתכן גם, שמישהו מתוך הכנופייה יחליט לפעול בצורה עצמאית ולמכור את המידע הלאה".

"החדשות הטובות", סיכם דאקלין, "הן שבראון-פורמן מנעו את שלב הצפנת הקבצים. אלה חדשות מצוינות, כי כנראה נמנעה השבתה של המערכת ופגיעה מתגלגלת בספקים, בשותפים, במפיצים, בקמעונאים ועוד. בראון-פורמן אמרה לעבריינים, שהם יכולים לתקוע את דרישת התשלום שלהם היכן שירצו. ועל כך יש לברך את הארגון. אנו בסופוס קוראים לאנשים שלא לעודד את העבריינים, ולתמוך בחברות שלא מוכנות לשלם לתוקפים, ובעיקר לא להיכנס למידע שמתפרסם בעקבות גניבה".