קמפיין דיוג ישן התגלה כבסיס לתקיפות כופרה חדשות נגד ארגונים קטנים ומשתמשים פרטיים.
לפי דיווח מערך הסייבר הלאומי, במספר אירועים שנחקרו לאחרונה נמצא כי מקור התקיפה היה הודעת דיוג שנשלחה בדוא״ל לפני כשנה. כלומר, הנוזקה או הגישה הראשונית למחשב נשארו בסביבה לאורך זמן, ורק בשלב מאוחר יותר הופעל שלב הכופרה.
המשמעות חשובה: אירוע דיוג שלא טופל בזמן אינו בהכרח מסתיים ברגע שהמייל נמחק או נשכח. במקרים מסוימים התוקף מצליח לשמר אחיזה בתחנה, לאסוף מידע, לנוע בסביבה או להמתין לשעת כושר להפעלת כופרה.
הסיכון המרכזי הוא הצפנת קבצים, השבתת פעילות עסקית, פגיעה במידע רגיש, ועלויות התאוששות גבוהות — במיוחד בארגונים קטנים שאין להם ניטור רציף, גיבויים תקינים או יכולת תגובה מהירה.
ההמלצה האופרטיבית: לבצע בדיקה יזומה בתחנות קצה ובשרתים מול האינדיקטורים שפורסמו על ידי מערך הסייבר, לוודא שמערכות ההגנה וה-EDR מעודכנות, לבדוק לוגים ודוא״ל חשוד מהתקופה הרלוונטית, ולוודא שקיימים גיבויים מבודדים, עדכניים ונבדקים בפועל.
בנוסף, מומלץ לרענן מודעות עובדים לדיוג, להקשיח גישה מרחוק, להפעיל אימות רב-שלבי, ולבודד מיידית כל תחנה שמציגה סימני חשד — גם אם מקור האירוע נראה ישן.
Discovered by Persist Security Cyber Intelligence, www.PersistSec.com
