הווירוס שפגע בטאואר כבר תקף עיר שלמה באמריקה

עיריית ניו בדפורד במדינת מסצ'וסטס בארה"ב סירבה להיכנע לדרישות ההאקרים שתקפו את מערכותיה. וירוס הכופר RYUK שההאקרים שיסו במערכות העיר פגע ב־58 תחנות עבודה ושיתק כ־4% מכלל מערך המחשוב העירוני. ההאקרים דרשו כופר של 5.3 מיליון דולר, אך העירייה סירבה לשלם והתעקשה לטפל בהתקפה בכוחות עצמה. לפי הערכות, גרסה חדשה ועדכנית של הווירוס שבניו בדפורד סירבו להתכופף מפניו, הוא זה שתקף את מערכות טאואר סמיקונדקטור בסוף השבוע האחרון, והביא את מפתחת ויצרנית המוליכים למחצה לדווח על פגיעה במערכותיה.

טאואר אינה מאשרת בשלב זה כי נפגעה בידי וירוס חומרה ומציינת רק שעברה אירוע סייבר שהביא להשבתה יזומה של חלק מקווי הייצור ומערכות המידע והתקשורת. לפי הערכות, טאואר לא היתה הקורבן היחיד של מתקפת הווירוס בסוף השבוע האחרון, והוא פגע גם בחברות ישראליות נוספות.

RYUK, ששמו נלקח מדמות בסדרת אנימה פופולרית, פותח לפי ההערכות בידי קבוצת האקרים צפון־קוריאנית. נוסף לטאואר ולעיריית ניו בדפורד עם קורבנות הווירוס נמנות חברת התוכנה הישראלית סאפיינס (שנפגעה ביוני האחרון), חברת Pitney Bowes שמוכרת בישראל הודות לרכישת בורדרפרי המקומית, עיריית ניו אורלינס ותחנת הרדיו הגדולה בספרד.

מפעל טאואר במגדל העמק. החברה דיווחה על פגיעה במערכותיה צילום: עמית מגל

מתקפות של נוזקות כופר הופכות יותר ויותר רווחות כבר כמה שנים, ובכל זאת 2020 נדמית כמיוחדת במינה. לפי מחקר של פירמת רואי החשבון BDO, בעוד בשנים עברו האקרים שהשתמשו בנוזקות מסוג זה חיפשו בעיקר הזדמנויות תקיפה קלות ופשוטות, בשנה האחרונה רווחים יותר מקרים של בקשות כופר עצומות בהיקפן. מקרה יוצא דופן מהעת האחרונה הוא של יצרנית טכנולוגיות הספורט גרמין האמריקאית, שהתבקשה לפי הפירמה לשלם כופר של 10 מיליון דולר. דרישות כופר גבוהות נוספות הופנו לחברת הנפט המקסיקנית Pemex, שנסחטה ב־4.9 מיליון דולר בנובמבר אשתקד, וחברת הפיננסים הבריטית Travelex, שנדרשה לשלם 4.6 מיליון ליש"ט לאחר שהאקרים הצפינו וחסמו ממנה גישה ל־5 ג'יגה בייט של מידע.

"בשנה האחרונה רואים עלייה משמעותית בתקיפות המאופיינות בדרישות כופר כנגד חברות ישראליות גדולות בעלות נוכחות אמריקאית", אומר נועם הנדרוקר, שותף ומנהל שירותי ייעוץ סייבר ב־BDO ישראל. "שני סוגי הכופרה המשמעותיים שאנו מזהים הם Netwalker ו־RYUK, שהנזק שהם גורמים לחברות מוערך בעשרות מיליוני דולרים. ההתמודדות עם המתקפות היא באמצעות טכנולוגיות שמזהות, חוסמות ומונעות את תהליכי התקיפה, בנוסף להגברת המודעות למאפיינים של מתקפות סייבר מצד העובדים ואנשי ה־IT בארגון."

לדברי מנהל מחלקת המודיעין בצ'ק פוינט לוטם פינקלשטיין, הווירוס RYUK נצפה לראשונה בקיץ 2018, ומתקפותיו מתאפיינות בפגיעה קטלנית בתפקוד הארגון הנדבק. זאת במטרה שלא להותיר לאנשי המחשוב, הביטוח וההנהלה של החברה המותקפת כל אופציה מלבד תשלום הכופר בעבור החזרת החברה לפעילות תקינה.

לדבריו, מתקפה שכזו מתאפשרת רק באמצעות שיתוף פעולה בין קבוצות לפשיעת סייבר: אחת פועלת ליצירת דריסת רגל בארגון, השנייה להתפשטות שקטה בתוך הארגון שיכולה לארוך שבועות רבים, והאחרונה פועלת להדבקת הקורבן בנוזקת כופר שמצפינה את הנכסים הדיגיטליים ומשתקת אותו.

"ממחקר שביצענו בקיץ 2018 לריצוף המבנה הדיגיטלי של וירוס RYUK גילינו כי הוא חולק מבנה זהה לווירוס מחשבים מבית היוצר של צפון קוריאה", אומר פינקלשטיין. "בשבועות האחרונים אנו עדים למתקפות נוספות של RYUK, בעיקר נגד חברות שיכולות לשלם כופר של מאות אלפי דולרים. לעתים התוקפים אף משתמשים בדו"חות פיננסיים כדי להצדיק את גובה הכופר".