לפעמים נדמה שאנשי אבטחת מידע הם דרמטיים מדי, וכי הסיכונים שבפריצות סייבר קיימים – אבל הם לא כל כך נוראיים כמו שמציירים אותם. מה כבר יכול לקרות? השבתה זמנית? מחיקת מידע ושחזור מגיבוי? מי שמוכן ודואג לשמירת הנתונים בצורה מסודרת, בוודאי לא צריך לדאוג, נכון?
ובכן, למרות שאפשר לטפל במתקפות כופרה וגם למנוע אותן, ישנם מקרים בהם מתקפות כאלה הביאו לפשיטת רגל של חברות.
כך למשל, חברת הובלות בת 160 שנה נסגרה בעקבות מתקפת סייבר. חברת Knights of Old הבריטית, נכנסה להליך פירוק ב־2023 לאחר שנתוני כספים חיוניים הושחתו במתקפת האקרים מבוסס וירוס כופר. בראיון ל-BBC מנכ"ל החברה: "חשבנו שאנו נמצאים במצב מצוין מבחינת אבטחת המידע, הנהלים והצעדים שנקטנו כדי להגן על החברה".
בקובצי המחשוב של Knights of Old נמצא "פתק כופר" שהושתל בידי קבוצת האקרים. למרות ניסיונות להמשיך את הפעילות באופן ידני, המתקפה פגעה בנתונים קריטיים ומנעה מהחברה לעמוד במועדי הדיווח שנקבעו על ידי הבנקים. כתוצאה מכך, החברה, שהוקמה ב־1865 והעסיקה עד 2023 כ-730 עובדים, נאלצה להיכנס להליך פירוק.
"מאות עסקים נפרצים. הבעיה האמיתית היא הפגיעה במוניטין. לא משנה מה אתם חושבים שכבר עשיתם – תנו למומחים לבדוק אתכם. אנשים לא מאמינים שזה יקרה להם", אמר המנכ"ל פול אבוט.
זה אולי נשמע כמו מקרה חריג, אבל לאחרונה היו מספר דיווחים על חברות שהגיעו לכינוס נכסים או כמעט-סגירה, בגלל מתקפת סייבר אחת. למשל, קבוצת Einhaus בגרמניה, שבעברה העסיקה 170 עובדים וגילגלה 70 מיליון יורו, נחתכה ברקע אירוע סייבר ונותרה עם 8 עובדים בלבד. אירוע הסייבר אירע ב-2023, על ידי קבוצת כופר בשם Royal, שחדרה למערכות החברה והצפינה מידע חיוני כולל חוזים, מידע של הנהלת חשבונות ותכתובות.
איינהאוס שילמה 200 אלף יורו ככופר, באמצעות ביטקוין, ולמרות שהרשויות תפסו כמה חשודים ואף תפסו את הכסף ששולם ככופר, החברה לא התאוששה (והכסף לא הוחזר לחברה). שלוש חברות בנות של איינהאוס הגיעו לפשיטת רגל – והכל בגלל אירוע סייבר בודד.
למרות שיש גם מתקפות כופר על חברות גדולות, סיכון הסייבר לעסקים קטנים ובינונים גבוה הרבה יותר. בחברות גדולות בד"כ יש בעלי תפקידים שעוסקים בנושא אבטחת המידע יומיום (CISO), ישנם נהלי אבטחת מידע, העובדים עברו הדרכות מודעות לסיכונים והחברה מבצעת באופן תקופתי סקר סיכוני סייבר, בדיקות חדירות ובחברות רבות – מוחזק גם צוות חיצוני של מומחי סייבר לטיפול במתקפות סייבר בזמן אמת (Incident Response Team) שיכול לעשות את ההבדל בין "מכה קלה בכנף" לאירוע מטלטל עם נזקים כבדים. בעסקים קטנים, תחום הסייבר לעתים מוזנח מטעמי תקציב או חוסר מודעות – והתוצאה עלולה להיות הרסנית, במיוחד לאור עליית מתקפות ה"כופרה כשירות" (Ransomware as a Service).
שוק הסייבר שלא מפסיק לצמוח:
Ransomware as a Service
Ransomware as a Service (RaaS) הוא מודל פשיעת סייבר מבוסס שירות, שבו קבוצות האקרים מפתחות תשתית ותוכנה של מתקפות כופר ומשכירות אותה לצדדים שלישיים. המפעילים (affiliates) מקבלים גישה לכלים מוכנים, כולל קוד זדוני, ממשקי ניהול, פורטלים לתקשורת עם הקורבן וכלי הצפנה, ובתמורה משלמים אחוז מהרווחים ליוצרי הפלטפורמה. המודל מאפשר גם לפושעים בעלי ידע טכני מוגבל לבצע מתקפות מורכבות, ומייצר שוק שחור תחרותי שבו איכות הכלים, שירות הלקוחות והיכולת לעקוף אמצעי הגנה משפיעים על בחירת "הספק". תופעה זו שינתה את אופי מתקפות הכופרה: ממתקפות חד־פעמיות של קבוצה ספציפית למתקפות רחבות היקף ומבוזרות, שבהן עשרות מפעילים שונים פועלים תחת אותו "מותג" זדוני.
אחד המאפיינים המדאיגים של RaaS הוא הקלות שבה ניתן להתאים את המתקפות למטרות שונות, בשילוב טקטיקות כפולות כמו הצפנת מערכות במקביל לגניבת נתונים (double extortion). חלק מהפלטפורמות מציעות אפילו מודלים של "כופרה משולבת" (Triple Extortion), המוסיפים איומים על צדדים שלישיים או פרסום מידע רגיש לציבור.
הנגישות, הגמישות והמודולריות של ה"מודל העסקי" הזה מקשות על גופי אכיפה ומומחי אבטחה להילחם בתופעה, שכן גם אם מפעיל אחד נתפס, הפלטפורמה עצמה ממשיכה לפעול. לכך מצטרפות הטכנולוגיות שמאפשרות שימוש ברשתות אנונימיות (כגון Tor) ובמטבעות קריפטוגרפיים לצורך הסתרת עקבות, מה שהופך את RaaS לאחד האיומים המתפתחים והמשמעותיים ביותר בעולם סיכוני הסייבר כיום.
