כ-20 ארגונים קטנים ובינוניים ואזרחים בישראל דיווחו בשבוע האחרון על מתקפת כופרה שהצפינה מחשבים וקבצים ודרשה תשלום.
לפי דיווח מערך הסייבר הלאומי, החקירה מצביעה על כך שהגישה הראשונית למחשבים הושגה כבר לפני כשנה, באמצעות קמפיין דיוג שכלל מיילים מתחזים עם קישור להורדת “חשבונית”. משתמשים שלחצו ואישרו את ההורדה הדביקו את המחשב בכלי גישה מרחוק מסוג ScreenConnect, שאפשר לתוקף לשמור נוכחות שקטה לאורך זמן.
זה אירוע חשוב משום שהוא מדגים סיכון קלאסי אך קריטי: חדירה ראשונית פשוטה, שנשארת בלתי מזוהה במשך חודשים, עלולה להפוך בשלב מאוחר יותר לאירוע כופרה מלא. במקרים שדווחו, חלק מהנפגעים השתמשו בגרסאות Windows ישנות וללא תוכנות הגנה פעילות — שילוב שמגדיל משמעותית את הסיכון לפגיעה.
הסיכון המרכזי הוא הצפנת קבצים, השבתת פעילות עסקית, אובדן מידע ותלות בגיבויים. גם כאשר ההצפנה אינה מבוצעת באופן מקצועי, כמו שנראה בחלק מהמקרים, עצם קיומה של גישה מרחוק לא מנוהלת עלול לאפשר לתוקף לחזור, להתקדם ברשת או לגרום נזק נוסף.
ההמלצה האופרטיבית: לבצע בדיקה יזומה לכלי גישה מרחוק מותקנים, במיוחד ScreenConnect וכלים דומים; להסיר התקנות לא מוכרות; לעדכן מערכות הפעלה ותוכנות; להפעיל פתרונות הגנה ולבדוק התרעות; להקשיח הרשאות; ולהטמיע Application Control בארגונים. בנוסף, חשוב לוודא שקיימים גיבויים עדכניים, מבודדים ונבדקים בפועל — בענן ובאמצעי פיזי.
בכל חשד לאירוע סייבר, יש לפנות למוקד 119 של מערך הסייבר הלאומי.
Discovered by Persist Security Cyber Intelligence, www.PersistSec.com
