$
סייבר

דו''ח: נחסמה מתקפת סייבר איראנית חמורה על חברות ישראליות

לפי חברות הסייבר קלירסקיי ופרופרו, "המטרה היתה ככל הנראה לשגר מתקפות כופר מזויפות, שמטרתן להצפין את הנתונים של חברות במשק, מבלי לאפשר את היכולת לשחזר אחר כך את המידע"

רפאל קאהאן 11:4916.10.20

חברות הסייבר קלירסקיי ופרופרו (Profero) פרסמו אמש (ה') דו''ח ובו גילויים מטרידים על מה שמתואר כ"מתקפת סייבר איראנית על חברות במשק הישראלי". מעיקרי הדוח עולה שההתקפה עושה שימוש בנוזקות שמיועדות להצפנת מחשבי הקורבנות - בדיוק כמו נוזקות כופר - אך הפעם ללא דרישה כספית. ההאקרים האיראנים מסתפקים בלחסום את החברות מלעשות שימוש בנתונים שלהן, מצב מטריד במיוחד בימים של עבודה מרחוק ושימוש מוגבר בדיגיטל להפעלת פעילות מסחרית וכלכלית במשק.

 

כדי לחדור את ההגנות של החברות הישראליות (במידה וקיימות כאלה), קבוצת ההאקרים האיראנית MuddyWater משתמשת בטקטיקה חדשה יחסית במלחמת הסייבר המתחוללת כבר כמה שנים בין ישראל והמערב ליחידות הסייבר של איראן ומשמרות המהפכה.

 

"בתחילת ספטמבר איתרנו ניסיונות תקיפה של חברות ישראליות על ידי קבוצת התקיפה האיראנית MuddyWatter", מסביר עמרי שגב מויאל, מנכ"ל Profero. חברת Clearsky איתרה חפיפה בין ניסיון זה לבין קמפיין זהה שנחשף לאחרונה על ידי חברת פאלו אלטו ומטרתו גרימת נזק לחברות.

 

"ככל הנראה, המטרה היתה לשגר מתקפות כופר מזויפות, שמטרתן להצפין את הנתונים של חברות במשק, מבלי לאפשר את היכולת לשחזר אחר כך את המידע. המתקפות שוגרו באמצעות חולשות ידועות במערכת ההפעלה או על ידי פישינג שכלל שימוש במסמכי PDF או אקסל נגועים", כך לפי מויאל.

 

"בדרך כלל הקבוצה הזו עוסקת בקמפייני הנדסה חברתית, באמצעותה היא גונבת מידע ומרגלת אחרי ארגונים", מוסיף בועז דולב, מנכ"ל קלירסקיי. "עם זאת, בחשיפה זו נתקלנו לראשונה במתווה תקיפה שונה שסביר להניח כי נועד כדי לגרום לנזק ולהרס בלבד".

 

ההאקרים השתמשו בנוזקה המבוססת על וירוס Shamoon המשמש כנשק סייבר בידי האיראנים מזה מספר שנים. המתקפה הידועה ביותר בו שימש בוצעה ב-2012 אז נמחקו עשרות אלפי מחשבים של חברת הנפט הלאומית הסעודית. במשך השנים האיראנים שיכללו ושיפרו את הנוזקה ואף הוסיפו לה מספר גרסאות חדשות.

אילוסטרציה אילוסטרציה צילום: Freepik

 

 

וירוסים כמו שאמון מכונים Wiper והם מיועדים למחוק את כל הנתונים הנמצאים על המחשב או תשתיות המחשבים. החידוש העיקרי בתקיפה הנוכחית הוא ניסיון להסתיר את הווירוס בתור נוזקת כופר. האחרונות הפכו למכה של ממש בשנה האחרונה אך עם זאת הן בדרך כלל מזוהות בקלות על ידי רוב כלי אבטחת המידע. הסתרה של הווירוס מאפשרת להסתיר את היקף המתקפה ואת המקור שלה.

 

לא ברור מה היקף החברות שהותקפו או נפגעו ובדוח נמנעו מלנקוב בשמות, אך בשיחה עם כלכליסט הסכימו לומר ש"מדובר בלא מעט ארגונים במשק". המתקפה הנוכחית נכשלה בסיוע של מערך הסייבר עם פרופרו וקלירסקיי אך אין זה אומר שלא יהיו ניסיונות נוספים משוכללים יותר. ההמלצה כעת לחברות שרוצות למנוע פגיעות לנטר את מערכות ה-EDR, לעדכן שרתים ותחנות קצה, להגביר את ערנות העובדים לניסיונות פישינג והנדסה חברתית ולבצע החלפת סיסמאות קבועה.
x