פעם שלישית גלידה - למה תוקפי הסייבר חוזרים שוב לאותו הקורבן?
בתקופה האחרונה מתגברת תופעה מדאיגה בזירת הסייבר העולמית: חברות גדולות, שחוו מתקפת כופר או דלף מידע הרסני, מסיימות בקושי את האירוע - רק כדי לגלות שהתוקפים חוזרים בשנית תוך זמן קצר. לפעמים מדובר באותה קבוצת תקיפה שממשיכה את שהתחילה, ולפעמים בשחקן אחר, אבל התוצאה זהה: עוד פריצה, עוד כותרות, ונזק כפול, לעיתים אף יותר מהפעם הראשונה.
בפברואר האחרון, חטיבת הבריאות של אורקל (Cerner) נאלצה להתמודד עם פריצה לשרתים ישנים, שם תוקף הצליח להשתמש בסיסמאות שהודלפו בעבר כדי לגנוב נתוני מטופלים ממסדי נתונים "שנשכחו". חודש בלבד לאחר מכן, שרתי ענן מיושנים של החברה הותקפו והפעם נגנבו כ־6 מיליון פרטי התחברות של לקוחות מה שהפך למגה אירוע שסחף את ה־FBI, ואת CrowdStrike לחקירה דחופה. שתי התקיפות אמנם שונות, אך שתיהן התרחשו על תשתיות ישנות שלא הוגנו כראוי.
במקביל, בבריטניה, פברואר 2025 סימן את תחילת הסיוט של HCRG Care Group, כש קבוצת Medusa ransomware חדרה למערכות הפנימיות, הצפינה מעל 50 טרה־בייט של נתונים, וגנבה עוד 2 טרה־בייט של מידע רפואי ופיננסי - תוך דרישת כופר של 2 מיליון דולר. החברה ניסתה לטפל במשבר, אך גם פה, שבועות ספורים אחר כך, באמצעות "דלתות אחוריות" – כלומר פרצות שלא נסגרו והושארו ברשת, חזרה אותה קבוצת תקיפה – והמשיכה בהצפנה ובהדלפה בשיטת Triple Extortion . כאן אפילו לא היה צורך ב"פריצה שנייה"- שכן, התוקפים פשוט לא יצאו מהדלת אחרי התקיפה הראשונה.
בצד השני של האוקיינוס, McLaren Health Care ממישיגן כבר הכירה את התסריט. באוגוסט 2023 הותקף בית חולים אזורי של הרשת על ידי קבוצת INC Ransom ששיתקה מערכות IT וטלפוניה והוציאה נתוני מטופלים. כשנה לאחר מכן, התרחשה מתקפה רחבה בהרבה שכללה הצפנת מערכות וגניבת מידע אישי של מאות אלפי מטופלים. הפערים בזמן חשפו נקודת תורפה מערכתית שלא נסגרה כראוי.
גם Change Healthcare חלק מקבוצת UnitedHealth האמריקאית, למדה לקח קשה לאחר שבמרץ 2024 חדרה קבוצת BlackByte ransomware למערכות תביעות הביטוח הלאומיות, שיתקה אותן וגנבה מידע של כ־100 מיליון רשומות כאשר קצת יותר משנה אח"כ השתמשו התוקפים בהרשאות פנימיות שנשמרו מהאירוע הראשון כדי להצפין שוב מערכות שכבר שוחזרו- ולשבש מחדש את פעילות בתי החולים.
אבל זה לא רק קורה בניכר, גם אצלנו בישראל - ממש לאחרונה טיפלנו באירוע בו איתרנו את נקודת החדירה לצד טכניקות שרידות כמו למשל שימוש בתוכנה לחיבור מרחוק. אלא שבמקום "לסגור את האירוע", המשכנו לחפש. ואכן זיהינו עוד נקודות פריצה יחד עם טכניקות שרידות של webshells. אלולא היינו מכירים את הדפוס, הסיפור היה חוזר על עצמו תוך זמן קצר.
לא משנה מי התוקף, הקורבן או הסיבה - לכולם יש מכנה משותף: טיפול חלקי או לא ממוקד אחרי האירוע הראשון מבטיח סיבוב שני. פרצה שלא אותרה, חשבון משתמש שלא בוטל, או הפקרת ההגנות במשטח התקיפה שבו בוצעה החדירה.
לרוב ישנן 3 סיבות מרכזיות ל"שידור החוזר" של אירוע סייבר:
1. ניצול מחדש של סיסמאות שדלפו או שימוש חוזר בחשבונות שנפרצו.
2. לאחר הפריצה, התוקף לומד את הארגון לעומק ומנצל חשבונות ומסמכים "נקיים" כדי להשיג גישה מחדש.
3. התוקף השאיר backdoor והשתמש בטכניקות שרידות (Persistency) שלמעשה מנעו את המחיקה שלו מהרשת
4. מספר נקודות חדירה שלא זוהו במלואן
אם איתרע מזלכם ליפול קורבן למתקפת סייבר, חשוב לפעול במהירות עם חברת סייבר IR שתדע לזהות את "נקודת החדירה" לארגון, (לפעמים יש יותר מאחת), תבדוק האם היה דלף מידע, מהיכן ומה היקפו וכמובן, טכניקות השרידות (Persistency) של קבוצת התקיפה.
והכי חשוב, כדי שלא יהיה שידור חוזר - 3 כללי אצבע מהותיים שיכולים למנוע את המתקפה הבאה
1. הוספת שכבת הגנה עבור כל מנגנון בקרה/משטח תקיפה שנפרץ .
2. שימוש במומחים שיחשפו בצורה יסודית ומתועדת את כלל הנוזקות וה-backdoors שנשארו ברשת.
3. צימצום אפליקציות גישה מרחוק לארגון, והגברת ההגנה על הקיימות.
הניסיון מלמד: ברוב המקרים שבהם תוקפים חוזרים, הבעיה אינה בהכרח בהגנות הקיימות, אלא בצורה שבה "סגרנו" את האירוע הקודם. פעולות חפוזות, ניקוי חלקי, או חוסר בהקשחת משטח התקיפה - כל אלו משאירים דלת פתוחה, ולעיתים אפילו את התוקף עצמו, בתוך המערכות.
מי שיפעל בצורה יסודית ומקצועית בשעות ובימים הראשונים אחרי מתקפה - לא רק סוגר את האירוע הנוכחי, אלא גם מונע את הכותרת הבאה.
שי נחום הוא מנכ"ל חברת הסייבר Cyght
