עוד מאות אלפים צפויים להיפגע ממתקפת הסייבר

מימדיה האמיתיים של התקפת הסייבר הנרחבת שהחלה ביום שישי אחר הצהריים והמשיכה במשך כל סוף השבוע צפויים להתברר היום.

לפי ההערכות של חברת סייברארק הישראלית, החלק העיקרי של המתקפה ייחשף רק היום כאשר מאות מיליוני אנשים ברחבי העולם יחזרו לעבודה לאחר חופשת סוף השבוע. "רק אז נוכל בוודאות להתחיל להעריך את הנזקים. ישנה גם סבירות גבוהה שזה יוביל לסדרה חדשה של פגיעות - במיוחד בהתחשב בכך שההאקרים עדכנו את הנוזקה כדי לנטרל את מנגנון הבדיקה ששימש להאטת ההפצה שלה במהלך סוף השבוע", אמר ל"כלכליסט" קובי בן נעים, מנהל בכיר למחקר סייבר במעבדות סייברארק.

עד כה המספרים מראים שכ־150 מדינות נפגעו מניסיונות התקיפה, כלומר כמעט כל העולם המחובר. עם זאת ולמרות ההיקף המבהיל בסך הכל נפגעו לפי ההערכות עד אמש כ־230 אלף עמדות מחשב. לא ברור כמה מתוך כל המחשבים שנפגעו גרמו לנזק ישיר שניתן לכמת באופן מדויק. בישראל המצב בסך הכל טוב ביחס לעולם. רוב המשתמשים שנפגעו היו כאלה שהפעילו מחשבים לא מעודכנים או שלא היו מודעים למתקפה. לפי ההערכות ההתקפה הגיעה ממקור אחד ופגעה באופן מקרי במשתמשים שהורידו ללא ידיעה קובץ זדוני למחשב או שלחצו על קישור זדוני.

"לוקח זמן להבין איך משלמים את הכופר"

הנוזקה עצמה אינה ממש מתוחכמת והיא חלק ממה מוגדר בתחום נוזקת כופר פשוטה - הסכנה העיקרית שלה היא השבתה של מחשב שהמידע בו אינו מגובה ושמשמש לעבודה שוטפת, בקרת תהליכים, ניהול מערכות ייצור או שמכיל קבצי מידע חשובים. במקרה של משתמשים פרטיים הנזק נמדד על פי רמת החשיבות של המידע שנמצא על המחשב. על פי המידע אתמול עולה שסך כל היקף הכופר שההאקרים הצליחו לסחוט עומד על כ־20 ביטקוין או כמה עשרות אלפי דולרים בודדים.

עם זאת קוסטין ריו, מנהל מחקר הסייבר העולמי של ענקית אבטחת המידע קספרסקי הסביר ל"כלכליסט" שלפעמים היקף תשלום הכופר לא ידוע בימים הראשונים מכיוון שלוקח לקורבנות זמן להבין כיצד מגייסים את הכסף בביטקוין. כך או כך, הסכום הזה אולי נראה קטן, אבל כדאי לדעת שההאקרים ככל הנראה לא השקיעו יותר מכמה עשרות דולרים בודדים כדי לשכור את הנוזקה הזאת לשימושם.

מתקפת הכופר | צילום: איי פי

מדובר למעשה באירוע סייבר גלובלי הראשון מסוגו בעולם. אמנם היו מתקפות שגרמו לנזק גדול יותר (כמו המתקפה על טארגט או יאהו), כאלה שנחשבות סקסיות יותר (סטוקסנט) או כאלה שהבהירו את הסכנה שבנוזקות (כמו מקרה Conficker לפני שמונה שנים שהדגים את הקלות שבה ניתן לשתק מחשבים).

אך המתקפה הזו מאגדת בתוכה כמה אמירות חשובות: ראשית, המקור שלה הוא בפרצה שנגנבה מארגון ממשלתי שפיתח אותה ושמר עליה בסוד לצרכיו (ה־NSA האמריקאית). שנית היא תוקפת ללא אבחנה בין מחשבים פרטיים, ארגוניים או ממשלתיים. שלישית, הנזק שנגרם גדול למדי למרות שאי אפשר לכמת אותו מבחינה כלכלית. למעשה, הנזק הוא מעבר לכלכלי, הוא פסיכולוגי, בריאותי, עסקי ומדיני - כמה זמן יעבור עד שגורמים בריטיים יעלו דרישה לתבוע פיצויים מממשלת ארה"ב על השימוש של האקרים בפרצה שהיא פיתחה לריגול.

כלכלת ההאקרים מתבססת כיום על מפעילים ששוכרים את תשתיות הנוזקות מארגוני פשיעת סייבר בעלויות שנעות בין דולרים בודדים למאות בודדות של דולרים בהתאם לרמת התחכום של הנוזקה והמטרה אותה רוצים לתקוף. במקרה של WannaCry - מדובר בנוזקה פשוטה למדי שאינה עולה הרבה כסף, ככל הנראה שעלות ההשכרה שלה עמדה על כעשרים דולר לכל היותר. השקעה כה פעוטה שמניבה רווח של עשרות אלפי דולרים ללא מאמץ מיוחד יכולה להיחשב כמשתלמת איך שלא מסתכלים על זה.

כבר ביום שבת החלו עיתונים להלל גיבור רשת אלמוני שהצליח לפתח מנגנון שהפסיק את פעולת הנוזקה. אבל כבר ביום ראשון ההאקרים עקפו את הפתרון של הבריטי הצעיר והחזירו את הנוזקה לפעילות בגרסה 2. היא עדיין פעילה. ההיקף הפוטנציאלי של מספר המחשבים שעשויים להיפגע עומד על פי ההערכות של קספרסקי על כמה מאות אלפים. זאת אומרת שלנוזקה יש עוד יכולת לפגוע. בישראל המצב בסך הכל טוב. את רוב הפגיעות ספגו מחשבים במדינות כמו רוסיה, אוקראינה, סין, איטליה, בריטניה וצרפת. מה שבטוח לגבי זהות ההאקרים זה שלא מדובר ככל הנראה בדוברי רוסית.

הסיבה לכך פשוטה: ישנה אומרטה (איסור) לא רשמית של השלטונות על פעילות של האקרים מקומיים נגד מטרות רוסיות. בתמורה היא לא תתערב במעשי ההאקרים במדינות אחרות. כמובן שלא מדובר במדיניות רשמית - אך היא ידועה ברחבי תעשיית הסייבר. יכול מאוד להיות גם שמדובר בהאקרים חובבנים שמצאו את עצמם בעיצומה של פרשה שלא ציפו להיקף שלה. הערכה נוספת היא שאולי מדובר בקמפיין נרחב שמיועד להסתיר פעילות אחרת.

לפי נתונים שנאספו מכמה ספקיות אינטרנט, אזרחי ישראל פנו בהמוניהם לבקשת סיוע ומידע למוקדי התמיכה. על פי ההערכות שסופקו ל"כלכליסט" מאז תחילת המתקפה עלו היקפי השיחות במאות אחוזים. עם זאת על פי רוב, מי שבידיו מערכות הפעלה חדשות (כגון ווינדוס 10) ושמוגדרות לקבלת עדכונים אוטומטיים שוטפים יכול להיות רגוע יחסית מכיוון שהפרצה שמשמשת להפצת הנוזקה נחסמה במסגרת עדכוני ווינדוס כבר במרץ שעבר. הסכנה העיקרית היא למחשבים שעבורם התמיכה הופסקה כגון ווינדוס XP או 7. מיקרוסופט הבינה את חומרת המצב ושחררה באופן יזום במהלך סוף השבוע עדכון גם למערכות הישנות יותר - עדכון אותו ניתן להשיג באתר החברה.

"התוקפים עקפו את כל מגנוני האיתור והמניעה"

מנתונים שנאספו על ידי חברת אבטחת המידע הגרמנית G Data עולה שבשנה שעברה חלה עלייה של כ־40% בהיקף מתקפות הכופר בעולם. המתקפות הראשונות החלו להופיע כבר בשנת 2009, ומאז הקצב שלהן עולה באופן מעורר דאגה. אחת הסיבות העיקריות לדאגה הזו היא לא רק היקף הנזק שהן מסוגלות לנפק – אלא הקלות הרבה בה ניתן לייצר אותן. הנזק העיקרי שלהן עד כה נותר השבתה של עמדות מחשב ואולם המתקפה האחרונה הראתה שהן יכולות לגרום לנזק חמור בהרבה מאשר השבתת מחשב בודד. מפעלי תעשייה כגון במקרה של רנו וניסאן נאלצו לסגור פסי ייצור עקב פגיעת הנוזקה.

לדברי ליאור פרנקל, מנכ"ל ומייסד שותף של חברת הסייבר הישראלית ווטרפול, "התוקפים עקפו, כרגיל, את כל מנגנוני האיתור והמניעה. מערכי פיירוול אינם מייצרים הגנה מספקת כנגד תקיפות סייבר, את זה התקיפה הזו הוכיחה מעל לכל ספק".

הצד השני של המטבע

ההאקרים הרוויחו מעליית ערך הביטקוין

דרישת הכופר של ההאקרים במתקפה היתה במטבע הביטקוין. תקיפות כופר מתרחשות באופן שוטף, אולם מתכנני התקיפה הנוכחית נהנו לא רק מתפוצה רחבה אלא גם משערי שיא של הביטקוין, שהגיע כבר ל־1,700 דולר. ייתכן שהגאות בערך הביטקוין בשבועות האחרונים היוותה תמריץ לקידומה של המתקפה, וכאשר ערך המטבע הווירטואלי האמיר בשבועות האחרונים, הופיעו הערכות שהדבר יתבטא גם במתקפות כופר.

בעבר כבר ידע הביטקוין תקופות של זינוק חד למעלה, שהסתיימו לרוב בקריסה ומפח נפש למשקיעים. קרל לודוויג תיל, בכיר בבנק המרכזי הגרמני צוטט כשהוא מזהיר את המשקיעים שלא לרכוש ביטקוין. "אם אתם חושבים שביטקוין יהיה בטוח כמו יורו או דולר - אתם צריכים לקחת אחריות. אני יכול רק להזהיר לא להשתמש בביטקוין".

דרור רייך