מתקפת הסייבר העולמית: ההאקרים הרוויחו רק 9,000 דולר

מתקפת הסייבר הנרחבת שהיכתה באירופה וזלגה גם לאסיה וארה"ב נמשכת: היא כללה נוזקות כופר מסוגים שונים, שהצפינו מאות אלפי מחשבים ברחבי העולם ודרשו כופר של כ-300 דולר. ואולם, נראה שההאקרים לא יוכלו לצאת לפנסיה מוקדמת: לפי נתוני העברות ביטקוין, התוקפים הרוויחו רק 9,000 דולר מהמבצע שלהם.  

ניתוח של פרטי ארנק הביטקוין שמשמש לקליטת תשלומי הכופר הראה שכמו בתקיפת Wannacry מהחודש שעבר, הנפגעים לא ממהרים לשלם. נכון למועד פרסום הכתבה, היקף הכופר שנאסף בו עומד על כ-3.6 ביטקוין בלבד או כ-9,000 דולר. מדובר בפחות מ-30 תשלומים, מתוך יותר מ-200 אלף מחשבים שנפרצו ביותר מ-80 חברות ברחבי העולם. באופן חשוד, סגרו ההאקרים את תיבת המייל שיועדה לקליטת הודעות התשלום של הקורבנות.

הנוזקה הבולטת במתקפה מכונה Petya.A; על פי ניתוח של חברת קספרסקי (המכנה את הנוזקה NotPetya), היא תוקפת דרך שלושה וקטורים: פרצה בשם EternalBlue שגרסה אחרת שלה שימשה את בקמפיין Wannacry; פרצה נוספת שמיועדת לתקוף מחשבי ווינדוס XP ו-ווינדוס סרבר 2008 בשם EternalRomance; ומנגנון עדכון תוכנה ארגונית של חברה אוקראינית קטנה בשם MeDoc שמיועדת להנהלת חשבונות. בקספרסקי מזהירים שאם מחשב ברשת בעל הרשאות אדמיניסטרטור נפגע, הוא עשוי להדביק את כל שאר המחשבים המחוברים לאותה רשת פנימית.

ההערכות הראשוניות בנוגע למקור הנוזקה מצביעות על רוסיה. הסיבה העיקרית לכך היא שהתקיפה פגעה בעיקר בתשתיות מחשוב ממשלתיות באוקראינה. עם זאת, בהנחה שאחד המקורות העיקריים לנוזקה היא חברה אוקראינית - לא מפתיע שהנוזקה תקפה בעיקר במדינה זו. ואולם, בעולם אבטחת המידע קשה מאוד להצביע על מקור התקיפה באופן ברור.

מתקפה פלילית כמסך עשן

הנוזקה הנוכחית זרעה נזק רב ועל פי ההערכות היא כבר גרמה להשבתות של תשתיות קריטיות באוקראינה, מחשבים במדינות רבות באירופה ואפילו בית חולים בארה"ב שנפגע ממנה. אך המנגנון שמשמש להפעלתה עשוי להצביע על כך שמדובר בהאקרים פליליים שניסו לשכפל את קמפיין הכופר של Wannacry. הנוזקה הנוכחית אמנם פועלת באופן שונה - אך התוצאות דומות וכך גם העובדה שכמו במקרה הקודם - גם כאן לא ברור אם הדבר נעשה עבור בצע כסף ויתכן שמדובר במסך עשן שאמור להסתיר בעצם ניסיון לפגוע בצורה ספורדית במחשבים. על פי חוקר אבטחת מידע בכיר באוניברסיטת ברקלי, ניקולס וויבר, בהחלט מדובר בניסיון כזה. הטענה שלו היא שהנוזקה למעשה רק מתחזה לנוזקת כופר כאשר למעשה היא מנסה להשבית את המחשבים. זה יכול להסביר את חוסר העניין של ההאקרים בשליחת קוד שחרור לקורבנות ששילמו כפי שמוכיח סגירת תיבת המייל שלהם.

על פי דיווחים שונים גם מחשבים של ענקית האנרגיה הרוסית רוסנפט נפגעו. יש לציין שעל פי הסכם בלתי כתוב בין הקרמלין לקבוצות האקרים רוסיות - אלה לא נרדפות אם הן לא תוקפות מטרות במדינה. עוד חשיפה מעניינת שפורסמה בבלוג של בריאן קרבס, ושמחזקת את ההשערה שמדובר בהתקפה שלא בוצעה למטרות כופר מגיעה מחברת סייבר רוסית בשם Group-IB. החברה פרסמה בטוויטר שלה שהנוזקה לא מסתפקת בתקיפה והצפנה של המחשבים אלא גם אוספת סיסמאות אדמין כדי לתקוף מחשבים נוספים ברשת מה שאומר שהיא לא זקוקה לפרצת EternalBlue כדי להתרבות.

גם ההאקר וחוקר אבטחת המידע thegrugq הסביר שהוא לא מאמין בכך שמדובר בנוזקה שתוכננה כדי לייצר הכנסות מכופר. "השימוש בכתובת מייל גלויה וציבורית כדי לאסוף את אישורי התשלום מעידה שמדובר במסווה למשהו אחר. אף פורץ או תוקף רציני שהיה מעוניין לאסוף כסף לא היה מתנהל כך", הסביר, "זה כמו לבקש שישלחו את הכופר בצ'ק לטובת כתובת כגון 'Petya תשלומים'".

בישראל עד כה לא דווח על נזק בקנה מידה נרחב. מדיווח של עדי נאה גמליאל, CTO ב 2BSecure, חברת אבטחת המידע והסייבר של מטריקס, נמסר: "בארץ הותקפו בעיקר חברות ממגזר נותני השירות המשפטיים. הסקטור של ה-SMB, כלומר החברות הקטנות והבינוניות, הוא עיקר המוקד למתקפות בישראל. עד כה הותקפו ארגונים בודדים בישראל".