H&M ישראל תחת מתקפת כופר איראנית

מתקפת הסייבר האיראנית מתרחבת, וכעת גם רשת האופנה הפופולרית על הכוונת. קבוצת ההאקרים N3tw0rm מאיימת להפיץ נתונים ומידע ממחשבי החברה אם לא ימולאו דרישותיהם. H&M: "חוקרים את המקרה". מומחה מעריך שצפויות עוד מתקפות

טל שחףפורסם 14:01, 02/05/2021
תמונה כלליתתמונה כלליתתמונה כללית

מתקפת הסייבר האיראנית על ישראל נמשכת וכעת נמצאת חברת האופנה H&M ישראל תחת מתקפה. התוקפים, ארגון פשיעת הסייבר N3tw0rm ("תולעת רשת"), הודיעו הבוקר (יום א') כי הצליחו לשאוב כמות רבה של נתונים מהחברה, בנפח של 11 גיגה בייט, וכי אם לא יענו דרישותיהם יפורסמו הנתונים בעוד שלושה ימים. התוקפים לא מבהירים מה דרשו מהחברה וככל הידוע לא הוצגה דרישת כופר. ממאץ' ריטייל, הזכיינית של H&M השבדית בישראל, נמסר: "אנו חוקרים את המקרה".


בשבוע שעבר פרסמו ההאקרים כי חדרו למחשבי חברת הלוסיטיקה הישראלית וריטס והצליחו להוציא נתונים בהיקף 9 גיגה בייט. גם במקרה העלו התוקפים דרישות והודיעו כי אם לא ימולאו יפורסמו הנתונים מחר, 3 במאי. גם במקרה הזה לא פורסם מה נדרשת החברה לעשות.

ליאור פרנקל, מנכ"ל "ווטרפול סקיוריטי" ויו"ר פורום חברות הסייבר בהתאחדות התעשיינים אומר כי המתקפות האחרונות הן חלק מתופעה של עלייה מאסיבית של עשרות אחוזים במספר מתקפות הסייבר, רובן מתקפות כופר, על חברות במשק. לדבריו במקרים רבים מדובר בסכומי כופר נמוכים יחסית בגובה אלפי דולרים, שהחברות משלמות באופן מיידי. על רקע זה, להערכתו אין וודאות כי כעת מדובר במתקפה איראנית ויתכן שמדובר במקרים שאינם קשורים זה לזה.

כפי שהתפרסם ב-ynet, בימים האחרונים נחשפו של שורה של מתקפת סייבר על חברות וארגונים ישראלים, במה שנראה כמו מתקפה איראנית נרחבת על ישראל. מערך הסייבר פירסם התרעה חמורה על האירוע והפיץ את מזהי ההתקפה כדי לאפשר לחברות לזהות אותה ולהתגונן. רפאל פרנקו, מי שהיה סגן ראש מערך הסייבר, אומר כי האירוע נראה כהקדמה ל"יום ירושלים" האיראני וכי צפויים גלי התקפות נוספים. "השיא עוד לפנינו", לדבריו.

צילום מסךאתר ההדלפות בדארקנט של N3TW0RM (צילום מסך)

לפי ההערכות, קבוצת N3tw0rm היא אותה קבוצה איראנית שפעלה לפני כן תחת השם Pay2Key והצליחה לחדור לשורה של ארגונים וחברות, בהן התעשייה האווירית, אינטל ועוד. לפי המומחים יש קווי הדמיון בטכנולוגיה של כלי הפריצה וגם בשיטת העבודה, שכוללת דף עדכונים והדלפות בדארקנט, כמו שהיה ל-Pay2Key. באתר מתוארת הקבוצה כמתמחה בשירותי מתקפות כופרה ארגוניות, שמציעה את שירותיה לכל דורש.  

צילום מסךמתקפת סייבר Pay2Key (צילום מסך)

בשיחה עם ynet אומר ארז תדהר, מנהל המרכז הארצי לניהול אירועי סייבר, אמר כי מוקדם מדי לייחס את המתקפות לקבוצה איראנית: "הגיעו מספר דיווחים בערוצים שונים על חברות שניתקפו בווריאנט של כופרה. יש מאפיינים דומים למתקפה של Pay2key אבל זה לא אומר שזה אותו תוקף. פרסמנו התרעה באופן מהיר וחשפנו את הכלים של התוקף וזה אומר שכל חברה שתטמיע את ההמלצות תימנע מהווריאנט הזה. אנחנו  נותנים טיפול מדינתי, לא פרטני, ועובדים בשיתוף עם חברות אבטחת הסייבר במשק". 

לדבריו חלק מהחברות כבר התאוששו מהמתקפה הנוכחית וחלק מהן עדיין מתמודדות עם הנזקים, אבל אין חברות שהתקופים מנהלים איתן משא ומתן. להערכתו, היעדר דרישת כופר מצד התוקפים עלול להעיד שהכוונה היא לגרום נזק כלכלי או לגרום מבוכה והשפלה לחברה המותקפת, כלומר לגרום לנזק תודעתי. 

רם לוי, מנכ"ל חברת הסייבר קונפידס, אומר כי הדימיון בשיטות העבודה מעורר את ההבנה שמדובר באותם תוקפים. על כן, הוא ממליץ לחברות הנתקפות שלא לשלם את סכומי הכופר, שכן התוקפים אינם עומדים בהתחייבות וגם אם יקבלו תשלום יש חשש שיפרסמו את הנתונים, או שישמידו מידע שנטלו מהשרתים של החברה.

תדהר המליץ לכל החברות והארגונים בישראל להיכנס לאתר מערך הסייבר או להתקשר למוקד 119, ולהתעדכן בחולשות שדרכן התוקפים חודרים. "כשהתוקף כבר חדר, זו בעייה. אנחנו מבקשים מהציבור צעד אחד לפני, קבלו כלים והמלצות ותסגרו את הפרצות. תעשו עדכונים ותעשו גיבויים, תעשו סיסמאות חזקות ותהיו ארגון מוגן סייבר, מה שבאופן וודאי יגרום לתוקף ללכת לחפש מטרה יותר נוחה".