"הפריצה לאקסנצ'ר מוכיחה: אין חברה שחסינה מפני מתקפות סייבר"

"הפריצה לאקסנצ'ר וניסיון הסחיטה של החברה באמצעות כופרת Lockbit מעניינים מכמה סיבות, שהראשונה שבהן היא שמדובר בעדות נחרצת לכך שאין חברה שחסינה מפני מתקפות סייבר. גם חברה שנמצאת ברשימת הפורצ'ן 500 ויש לה הכנסות שנתיות של יותר מ-50 מיליארד דולר פגיעה למתקפות כופרה", כך אמר בועז דולב, מייסד ומנכ"ל חברת האבטחה הישראלית קלירסקיי.

אקסנצ'ר אישרה אמש (ד') את דבר המתקפה שחוותה. כמו במתקפות מסוג זה, קבוצת האקרים, שתקפה את מערכות החברה באמצעות הכופרה LockBit, איימה לפרסם את הנתונים שננעלו ונגנבו, לרבות נתונים פנימיים ומסווגים – אם היא לא תשלם להם את סכום הכופר הנדרש. בציוצים בטוויטר טענו גורמים שונים שהמתקפה כללה הצפנה של כ-2,500 מחשבים של אקסנצ'ר, הדלפת 6 טרה-בייט מידע של לקוחות החברה ודרישה לכופר בסך 50 מיליון דולר.

לדברי דולב, "אין לנו כל יכולת לאמת את המידע בשלב זה. בכל מקרה, נראה שאקסנצ'ר לא טיפלה היטב בפן התקשורתי ובניהול המשבר מול לקוחותיה ומול הציבור. הראייה לכך היא כמות הלקוחות המודאגים מכך שמידע שלהם יפורסם כחלק מהסחיטה. הודעה מאוחרת ועמומה של החברה, שלפיה 'נכסי החברה והלקוחות' לא נפגעו – לפני שהאירוע הסתיים ולפני שתם תהליך הבדיקה הפורנזית, מרמזת על אפשרות לניסיון להקטנת האירוע ועלולה לגרום בהמשך לפגיעה במוניטין. ניהול משבר סייבר מחייב היערכות גם ברמה הטכנית וגם ברמת ההנהלה".

"מהלך הסחיטה ופרסום האירוע מצביעים שהסוחטים מבינים היטב מיהי החברה ומהם הנכסים הקריטיים שלה", ציין דולב. "ייתכן שמדובר בפעולת נקם או ניסיון הרתעה של הסוחטים את החברה. היא פרסמה בעבר אזהרה והתרעה על קבוצת Lockbit, כך שייתכן שמדובר בסוג של 'סגירת מעגל' מצד קבוצת הפשיעה".

הוא הוסיף כי "הסוחטים עצמם נכשלו בפרסום המידע ובמתן היכולת להורדת מידע מאתר ההדלפות בדארקנט. נראה שכמות המתעניינים גרמה לסוג של מניעת שירות בגישה לאתר ולא מאפשרת להוריד מידע". דולב סיכם בציינו כי "הסוחטים הפעילו פעמיים שעון סחיטה מול אקסנצ'ר. נראה שהם מאפשרים לחברה לקבל החלטה אם לשלם את דמי הכופר והם לא ממש מעוניינים לפרסם את המידע שגנבו, או שהם לא הצליחו לגנוב מידע ומדובר בסוג של לוחמה פסיכולוגית מול אקסנצ'ר".

איציק זילברברג, ראש צוות רגולציה וארכיטקט אבטחת מידע ב-וואן סקיוריטי מקבוצת וואן. צילום: מיכל זילברברג

"גורם פנימי סייע למתקפה"

איציק זילברברג, ראש צוות רגולציה וארכיטקט אבטחת מידע ב-וואן סקיוריטי מקבוצת וואן, אמר ש-"מה שמעניין הוא שקבוצת התקיפה מרמזת על כך שגורם פנימי סייע למתקפה. האיום הפנימי הוא איום קיים ומוחשי, וייתכנו מקרים שבהם הגורם הפנימי אפילו לא יודע שהוא תרם להצלחת המתקפה, והוא משוטה. ארגונים צריכים להבין שמתקפות מסוג זה לא ניתנות למניעה בצורה הרמטית, זאת רק שאלה של זמן מתי ינסו לפגוע בהם. מה שנחוץ ביותר הוא להיערך בצורה המיטבית לפני שהמתקפה מגיעה. הגיע הזמן לזוז קצת בכורסה, להבין שאין דבר כזה 'לי זה לא יקרה' ולהתחיל להתכונן לאירוע משברי כזה".

ליאור רוכברגר, חוקרת בכירה בצוות נוקטורנוס בסייבריזן. צילום: יח"צ

ליאור רוכברגר, חוקרת בכירה בצוות נוקטורנוס בסייבריזן, דיברה על הפעילות של קבוצת התוקפים. היא ציינה כי "Lockbit החלה את פעילותה ב-2019 ובחודשיים האחרונים תקפה עשרות קורבנות בעולם, תוך שהיא ממקדת את פעילותה בארצות הברית. ביוני האחרון פרסמו חברי Lockbit כלי תקיפה משודרג בשם LockBit 2.0, שצויד ביכולות חזקות, שמתבטאות במהירות ההצפנה של קבצים, יכולות התפשטות ברשת והדבקת עמדות קצה נוספות. תחכום הקבוצה מעמיד חברות רבות תחת איומים מתקדמים אלה. זהות קבוצת התקיפה לא ידועה, אבל היא מצהירה שהיא לא פועלת במדינות ברית המועצות לשעבר – מה שעשוי להצביע על כך שאולי היא מגיעה משם".

חוקרי פייראיי פרסמו הודעה שלפיה "באחרונה אנחנו מזהים חידושים ביכולות ההצפנה של הכופרה וכן הרחבה שלה לעוד קבוצות. לרוב, התשתית והכופרה נסחרות בפורומים של קבוצות רוסיות ומזרח אירופיות, כאשר הלקוח – תוקף משנה – יכול ממש להרכיב את סוג התקיפה ולשלם אחוזים בהתאם. בנוסף, יש לנו ראיות שלעתים התוקפים מנסים לגייס אנשים בתוך הארגון, לטובת הדהוד הנזק ושיפור הסיכוי שהם יקבלו את כל סכום הכופר. בחודשיים האחרונים, בפעם הראשונה, ראינו תוקף, ככל הנראה איראני, שגם הוא מנסה את מזלו והתנסה בעבודה עם הכופרה הזו".