הפריצה לקסיה: "אחת ממתקפות הכופרה המשמעותיות אי פעם"

נזקה של המתקפה של קבוצת ההאקרים הרוסית REvil, שפגעה בסוף השבוע במאות חברות ברחבי העולם – גדול יותר, ככל הנראה, מכפי ששוער עד כה.

במסגרת מתקפת הכופרה, ההאקרים השביתו חלק ממערכות ה-IT של הקורבנות, ודרשו דמי כופר לשחרור נעילת המחשבים – 50 אלף דולרים מארגונים קטנים, וחמישה מיליון מארגונים גדולים. המתקפה אירעה בכמה מדינות, בהן ארה"ב, בריטניה, גרמניה, דרום אפריקה, קנדה וקולומביה. המתקפה בוצעה באמצעות חדירה לכלי לניהול מרחוק של רשתות בשם קסיה (Kaseya).

חוקרי מודיעין האיומים של סופוס קבעו, כי "קבוצת  REvil פעילה זה כמה שבועות, כולל במתקפה על ספקית הבשר JBS. נכון לעכשיו זו כנופיית הכופר המרכזית הנצפית". לפי החוקרים, "מצטברות עדויות, כי שותף של הקבוצה ל-'כופרה כשירות' (Ransome-as-a-Service – RaaS) – מינף פרצת יום אפס, שאפשרה לו להפיץ את הכופרה דרך תוכנת מנהל המערכת הווירטואלי (VSA) של קסיה. בדרך כלל, תוכנה זו משמשת כערוץ תקשורת אמין, המאפשר ל-MSP גישה בלא הגבלה למערכות IT של עסקים להם הם מסייעים".

לדברי רוס מקרשר, סגן נשיא סופוס וסמנכ"ל אבטחת המידע בחברה, "זוהי אחת ממתקפות הכופר המשמעותיות ביותר שסופוס ראתה מעולם. המתקפה הובילה לפגיעה מתמשכת ביותר מ-350 ארגונים. אנו מעריכים, כי ההיקף המלא של הארגונים שנפגעו גבוה מהערכה הנוכחית של כל חברות האבטחה. הקורבנות מגיעים מאתרים בכל העולם, כשרובם בארה"ב, בגרמניה ובקנדה, ואחרים נמצאים באוסטרליה, בבריטניה ובאזורים נוספים".

לדברי מארק לומן, מנהל הנדסה בסופוס, "זו מתקפה על שרשרת האספקה, והתוקפים משתמשים בספקיות השירותים המנוהלים, MSP, כחלק משיטת ההפצה. זאת, כדי לפגוע בעסקים רבים ככל האפשר – ולא משנה גודלם, או סוג התעשייה שלהם. התוקפים משנים כל הזמן את השיטות שלהם כדי להשיג השפעה מרבית, בין אם מדובר בדרישת תגמול כספי, בגניבת הרשאות לנתונים, או בהשגת מידע ייחודי אחר, שניתן יהיה למנף בשלב מאוחר יותר, ועוד". לדבריו, "בהתקפות נרחבות אחרות שנראו בתעשייה, כגון WannaCry, נעשתה הפצה של הכופרה עצמה. במקרה הזה, ספקי השירותים המנוהלים מהווים בעצמם את מנגנון ההולכה". הוא ציין, כי "ישנן מתקפות כופרה מוצלחות, שהשיגו מיליוני דולרים בדמי כופר, מה שאפשר לתוקפים להצטייד בפרצות יום אפס יקרות. חלק מהפרצות האלה נחשבות לבנות השגה רק על ידי מדינות. בעוד שמדינות ישתמשו בהן בדוחק, רק בהתקפות נקודתיות, הרי שעבור העבריינים, ניצול פרצה שכזו דרך פלטפורמה גלובלית עלול להביא לשיבוש של עסקים רבים במקביל ולפגיעה בחיי היום יום שלנו".

מארק לומן, מנהל הנדסה בסופוס. צילום: יח"צ

מומחי אבטחה העריכו, כי זו אחת המתקפות הגדולות ביותר על שרשרת האספקה, שנזקה עלול להיות רב כמו המתקפה שאירעה על סולארווינדס (SolarWinds).

ה-FBI מסר כי הוא חוקר את ההתקפה, "שהיקפה עשוי להביא לכך שלא נוכל להגיב לכל קורבן בנפרד". אן נויברגר, סגנית היועץ לביטחון לאומי לסייבר, מסרה, כי "הנשיא ג'ו ביידן הנחה את כל גופי החקירה הרלוונטיים לפעול במלוא המרץ ולהפנות את כלל המשאבים הנחוצים לחקירת האירוע".

בשבת, ביידן העלה בפני אנשי צוותו את הרעיון, שלפיו ארה"ב תגיב למתקפה אם יוכח באופן מובהק שהקרמלין מעורב בביצוע מתקפת הסייבר.