על פי דוח "תמונת פשיעת הסייבר בישראל" של מערך הסייבר הלאומי, בשנת 2023 חלה עלייה משמעותית בהיקף פשיעת הסייבר ברחבי העולם, כולל בישראל. לפי נתוני מערך הסייבר הלאומי, נרשמה עלייה של כ-60% בנפח פעילות הסייבר הזדונית בהשוואה לשנה הקודמת. פעילות זו כללה בעיקר מתקפות וירוס כופר, שליחת דואר אלקטרוני זדוני ומכירת גישות ראשוניות לרשתות ארגוניות (קבוצות פשיעה המתמחות בהשגת גישה ראשונית לרשתות ארגוניות ומוכרות אותן לקבוצת תקיפה שמתמחות בביצוע המתקפה החל משלב זה).
מעניין לציין כי למרות העלייה בנפח פעילות פשיעת הסייבר, חלה דווקא ירידה של כ-27% בסכומי דרישות הכופר. בנוסף, נמשכה מגמת הירידה בכמות הודעות הדואר האלקטרוני הזדוניות, שמהוות אמצעי מרכזי להדבקת מחשבים ארגוניים.
עם זאת, נרשמה עלייה מדאיגה במספר החולשות הקריטיות שהתגלו, בתקריות של הדלפות מידע על ידי קבוצות פשיעה גדולות, ובמחירי הכלים המשמשים לביצוע פעולות תקיפה ברשתות ארגוניות.
לפי דו"ח של המחלקה לביטחון פנים בארה"ב, בחציון הראשון של 2023 נסחטו כמעט 450 מיליון דולר מקורבנות ברחבי העולם על ידי מפעילי כופרה. הזמן הממוצע להתאוששות מאירוע כופרה עמד על 22 ימים, כאשר העלות הכוללת להתאוששות הייתה גבוהה פי 50 מסכום תשלום הכופר. הסכום הממוצע לתשלום כופר בשנת 2023 עמד על כ-1.7 מיליון דולר.
מבין קבוצות הפשיעה הפעילות ביותר, עשר קבוצות היו אחראיות לכ-70% מנפח הפעילות העולמי. הקבוצה המובילה, LockBit 3.0, הייתה אחראית לבדה לרבע מתקיפות הכופרה בעולם. חשוב לציין כי מחצית מהקבוצות המובילות נצפו גם במרחב הישראלי. יצויין כי מערך הסייבר מסתמך בנתונים אלו על מספר מקורות, אשר אחד המרכזיים בהם הוא דיווח וולנטרי של חברות IR המטפלות באירועי סייבר וחברות שהותקפו בוירוס כופר, לפיכך ייתכן כי נתונים אלו מתבססים על מידע חלקי.
בתחום הטקטיקות והכלים, נצפתה עלייה בשימוש בנוזקות המתיימרות לעקוף או להשבית מערכות הגנה ארגוניות. כמו כן, התגברה מגמת השימוש בכלים לגיטימיים לביצוע פעולות זדוניות, כגון כלי ניטור ותפעול מרחוק (RMM) המאפשרים לספקי שירותי IT מנוהלים לנהל ולנטר את הרשתות הארגוניות של לקוחותיהם.
שנת 2023 הייתה שנה מאתגרת בתחום אבטחת המידע, עם עלייה משמעותית בהיקף הפעילות הפלילית במרחב הסייבר. מגמות אלו מדגישות את הצורך בהגברת המודעות והשקעה במערכות הגנת סייבר מתקדמות בארגונים מכל הגדלים והמגזרים לרבות ביצוע הדרכות עובדים.
התפתחויות טכנולוגיות ומגמות חדשות בפשיעת סייבר
שנת 2023 הביאה עמה מספר התפתחויות טכנולוגיות משמעותיות בתחום פשיעת הסייבר. אחת המגמות הבולטות הייתה העלייה בניצול חולשות אבטחה כווקטור הדבקה וחדירה – מבחינה זו, יהיה מעניין לעקוב בשנים הבאות האם עלייה זו בקורלציה לירידה בשליחת הודעות מייל זדוניות. חלק מהתוקפים הפגינו יכולת מרשימה לניצול חולשות במוצרים מיד עם חשיפתן, לעתים אף לפני שקבוצות תקיפה מדינתיות עשו זאת.
חולשות משמעותיות שנוצלו כללו פגיעויות במוצרי Citrix, Apple, Android, ומערכות ניהול קוד שונות. זמן התגובה הממוצע לתיקון חולשות קריטיות עמד על תשעה חודשים, מה שהותיר חלון הזדמנויות נרחב לתוקפים.
בתחום וירוס הכופר, נצפה שיפור ביכולות ובמהירות ההצפנה. קבוצות כמו LockBit החלו להטמיע הצפנה חלקית, המאפשרת סיום מהיר יותר של תהליך ההצפנה תוך השגת אפקט דומה. עם זאת, נצפו טעויות בקוד המקור של תוכנות כופר, שאפשרו לחוקרים, בחלק מהמקרים, למצוא שיטות המפענחות את הקבצים המוצפנים ולייתר את הצורך בתשלום הכופר.
התפתחות משמעותית נוספת הייתה השימוש בבינה מלאכותית (AI) למטרות זדוניות. עם הנגשת שירותי AI כמו ChatGPT, קהילת הפשיעה החלה לנצל כלים אלה ליצירת נוזקות, ביצוע מתקפות הנדסה חברתית, ואף הקמת מערכות תרמית מתוחכמות.
מגמה נוספת שהתפתחה היא השימוש בטכניקות קידום אתרים (SEO) וניצול לרעה של מנועי חיפוש להפצת נוזקות. בטכניקה זו התוקפים השפיעו על תוצאות החיפוש כדי לקדם קישורים זדוניים לראש התוצאות, ונצפה שימוש ב-Google Dorking (שימוש בשאילתות חיפוש בגוגל שחושפות מידע רגיש באתרים) לאיתור מסמכים או מאגרי מידע רגישים שהועלו בטעות לרשת.
בתחום הטקטיקות, נצפתה עלייה בשימוש בכלים לגיטימיים לביצוע פעולות זדוניות, במיוחד כלי ניטור ותפעול מרחוק (RMM). תוקפים ניצלו טכניקות פישינג מתוחכמות לשכנוע משתמשים להתקין כלים אלה, מה שאפשר להם גישה לגיטימית לכאורה למערכות הקורבן.
השנה האחרונה הדגימה כיצד קבוצות פשיעת סייבר ממשיכות להתפתח ולאמץ טכנולוגיות חדשות במהירות. היכולת שלהן לנצל חולשות, להשתמש בAI, ולשלב טכניקות מתקדמות בתקיפותיהן מדגישה את הצורך בגישה דינמית ומתעדכנת לאבטחת מידע בארגונים.
תחזיות ומגמות צפויות בפשיעת סייבר לשנת 2024
על סמך הנתונים והמגמות שנצפו בשנת 2023, ניתן לצפות מספר התפתחויות משמעותיות בתחום פשיעת הסייבר בשנת 2024.
ראשית, צפוי כי תוכנות כופר ימשיכו להוות איום מרכזי עבור ארגונים – התמריץ הכלכלי הגבוה ממשיך לפתח את האקו-סיסטם סביבן ולעודד קבוצות פשיעה לשכלל את שיטות התקיפה שלהן. על רקע הצלחה משמעותית שרשמו קבוצות התקיפה בסחיטת תשלומי כופר ב-2023, סביר להניח שנראה עלייה במספר הקבוצות הפעילות בתחום וירוס הכופר וסחיטת תשלום עבור אי-הפצת מידע שנגנב מהחברות המותקפות.
אתרי דליפת מידע מבוססי רשת Tor (Onion) צפויים להישאר כלי מרכזי לפרסום מידע שנגנב מחברות לצורך סחיטתן. במקביל, השימוש בפלטפורמות כמו טלגרם לסחיטה צפוי להמשיך כשירות משלים.
בתחום היעדים, צפוי כי קבוצות כופרה ימשיכו לכוון הן לגופים גדולים והן לעסקים קטנים ובינוניים (SMB). הענפים שצפויים להיות במוקד כוללים חינוך, תעשיה, בריאות, קמעונאות, בנייה, שירותים עסקיים, משפטים, חברות לשירותי IT, והמגזר הציבורי-ממשלתי. עסקים קטנים ובינוניים עלולים להיות פגיעים במיוחד בשל מגבלות תקציב ומשאבים להגנה מקיפה.
עם המעבר הגובר של ארגונים לתשתיות ענן, צפויה עלייה בהתקפות המכוונות ספציפית למערכות ושירותי ענן.
מגמה נוספת שצפויה להתרחב היא פיתוח שיטות תקיפה ונוזקות המותאמות למערכות הפעלה שאינן Windows. על פי מערך הסייבר, צפויה עלייה בכמות הכופרות התומכות במערכות מבוססות Unix, ESXi, ו-MacOS, לצד התמקדות בעולם התשתיות הענניות.
בהקשר הגיאופוליטי, על פי הערכת המערך, ייתכן שנראה הופעה של קבוצות חדשות המכוונות את פעילותן למטרות אוקראיניות וישראליות. כבר נצפו מקרים של קבוצות כופרה המאמצות מסרים פוליטיים בפעילותן.
לבסוף, קיימת אפשרות שקבוצות תקיפה בחסות מדינתית יעשו שימוש גובר בשירותי פשיעת סייבר הזמינים באקו-סיסטם המתפתח סביב רכישת "מוצרי מדף" המהווים כלי תקיפה והצפנה. מעבר לכך שמגמה זו עשויה לאפשר לקבוצות תקיפה אלו לבצע יותר מתקפות בזמן קצר יותר, הבעיה המרכזית בהתפתחות זו היא היכולת של קבוצות תקיפה אלו לטשטש את זהותן המדינתית וליצור אשליה בקרב המותקפים שמניעי התקיפה הם כלכליים בלבד. מצב זה מגביר משמעותית סיכונים בזירת התקיפות של חברות וארגונים ישראלים על ידי קבוצות תקיפה בחסות איראנית.
שנת 2024 צפויה להביא איתה אתגרים חדשים ומורכבים בתחום אבטחת המידע והגנת הפרטיות. הצורך בהתאמה מתמדת של אסטרטגיות ההגנה, הגברת המודעות, ושיתוף פעולה בין ארגונים וגופי אכיפה יהיה קריטי להתמודדות עם האיומים המתפתחים.
