מתקפות ה-Wiper לא רוצות את הכסף שלכם - הן רוצות למחוק אתכם
בסוף 2024 ותחילת 2025 נרשמה עלייה מטרידה בפעילות סייבר מצד קבוצות תקיפה המקושרות למדינות ספציפיות. קבוצות כמו Fancy Bear, Gamaredon, Sandworm — וגם שמות חדשים יותר כמו Volt ו-Salt Typhoon — הן קבוצות תקיפה מתקדמות (APT) הפועלות בגיבוי מדינתי, שהגבירו משמעותית את תקיפותיהן כלפי מדינות המערב. האמצעים שבהם הן משתמשות כוללים ניצול חולשות Zero day, פריצה למערכות קריטיות, והפעלת תוכנות מחיקה (Wiper Malware) — לא כדי לדרוש כופר, אלא כדי להשמיד לחלוטין את הדאטה והתשתיות המקוונות של היעד.
מתקפות כאלה כבר מתרחשות, והנזק שלהן עצום. התקפת NotPetya, לדוגמה, שיבשה מערכות של ממשלות, שיתקה רשתות חשמל ותחבורה, וזרעה הרס בשרשראות אספקה עולמיות. FedEx דיווחה על נזק של למעלה מ-400 מיליון דולר, וחברת התרופות Merck הפסידה מעל 670 מיליון דולר. לא היה מדובר בדרישת כופר — זו הייתה מתקפת "אדמה חרוכה" שבה הסבת נזק ליעד התקיפה היתה המטרה, ולא רווח כלכלי.
מה הופך את מתקפות ה-Wiper למסוכנות כל כך?
תוכנת מחיקה נועדה להשמיד. בניגוד לתוכנת כופר שמציעה הבטחה לשחזור בתמורה לתשלום, תוכנת מחיקה פועלת כדי להפוך שחזור לבלתי אפשרי. היא מוחקת נתונים לצמיתות ומשחיתה מערכות עד לנקודת אל חזור. מעבר לכך, גרסאות קוד פתוח של כלים כאלה מופצות יותר ויותר בפלטפורמות כמו GitHub, מה שמאפשר גם לתוקפים עם ידע בסיסי יחסית לעשות בהן שימוש. ובעולם שבו המתיחות הגיאו-פוליטית רק גוברת — גם הסיכוי שמתקפות כאלה יתרחשו הולך ועולה.
האם ישראל ערוכה למתקפות כאלו?
האם ההגנות הדיגיטליות בישראל — אצל ספקי תשתיות, בבתי חולים, ובתחבורה — ערוכות לתקיפה שלא רק נועלת נתונים, אלא מעלימה אותם לגמרי? האם ארגונים פרטיים, גם כאלה שאינם רואים עצמם כיעד סייבר מובהק, יודעים כיצד לשרוד תרחיש שבו לא רק הגישה נחסמת, אלא שכל המערכת נמחקת?
כמו ברוב מדינות העולם, גם בישראל — התשובה, למרבה הצער, היא שלרוב לא.
מה אפשר לעשות — ברמת הארגון וברמת המדינה?
אין פתרון קסם אחד, אבל יש כמה צעדים דחופים שכל ארגון חייב להתחיל ליישם כבר עכשיו:
• גיבויים מבודדים ובטוחים (air-gapped): גיבויים צריכים להיות מנותקים מהרשת הראשית, באמצעות הפרדה פיזית או הפרדה רשתית מחמירה. כך שגם אם התוקף חודר למערכת, הוא לא יוכל להגיע לגיבוי.
• שימוש בגיבויים בלתי ניתנים לשינוי (immutable): גם אם התוקף משיג הרשאות אדמין, או שאדמין פנימי מנסה לשנות נתונים — גיבוי בלתי ניתן לשינוי אינו ניתן למחיקה, שינוי או פענוח. זה קריטי להגנה על שלמות המידע.
• מיפוי והעדפה של מערכות קריטיות: יש לזהות אילו מערכות הכרחיות להמשך פעילות, לשמירה על נתונים וליכולת ההתאוששות. בנוסף, יש למפות גם את התשתיות התומכות — שרתים, נתבים, firewall — שחייבות לפעול כדי לאפשר התאוששות.
• שיתוף פעולה בין צוותי IT ואבטחת מידע: פעמים רבות צוותי האבטחה לא יודעים כיצד מתנהלים הגיבוי והשחזור בפועל. בשעת משבר, נתק כזה עלול לעלות ביוקר. מגמה שהולכת ותופסת תאוצה בעולם היא להעביר את תחום הגיבוי לאחריות ה-CISO — מודל שארגונים ישראליים יכולים לאמץ.
• תרגולי הדמיה ריאליסטיים (Red Team): יש להתאמן לא רק על תרחישי פריצה למידע, אלא גם על תקיפות משביתות. לדמות תרחיש שבו כל המערכות נופלות. תרגולים כאלה חושפים פערים בתהליכים, במבנה וביכולת התגובה — ומחזקים את חסינות הארגון מפני מתקפות.
2025 מסתמנת כשנה של מתקפות המחיקה. לא כל ארגון הוא מטרה ישירה — אבל כולנו תלויים בתשתיות, ספקי שירות ומערכות לאומיות שכן עלולים להיות מותקפים. אם הם קורסים, כולנו מרגישים זאת. השאלה איננה האם תתרחש מתקפה כזו — אלא האם נהיה ערוכים כשזה יקרה.
אייל רון הוא מנהל סייט וראש מחלקת מו״פ, רובריק ישראל
