כופר אינו רגע יחיד אלא שרשרת שלבים, מהגישה הראשונית ועד ההצפנה הסופית. השרשרת הזו היא בדיוק הסיבה שמודיעין איומים כה אפקטיבי נגדה: המודיעין מעניק למגנים הזדמנות לשבור את התקיפה בכמה נקודות לפני שקבצים ננעלים. הבנת אופן ההתערבות של CTI בכל שלב הופכת את הכופר מגזירה למוחלטת לסיכון נשלט.
שרשרת תקיפת הכופר
תקיפה טיפוסית עוברת גישה ראשונית (פישינג, RDP/VPN חשוף או דריסת רגל שנקנתה ממתווך), איסוף מידע, גניבת אישורים, תנועה רוחבית, הוצאת מידע לסחיטה כפולה, ולבסוף הצפנה. כל שלב מותיר סימנים – וכל אחד הוא הזדמנות להתערב.
היכן המודיעין שובר את השרשרת
- לפני החדירה: ניטור רישומי מתווכי גישה ואישורים שדלפו מאפשר לסגור דלתות שהתוקף עמד לעבור בהן.
- בזיהוי: אינדיקטורים ו-TTP התנהגותיים של קבוצות כופר פעילות עוזרים לתפוס חדירות מוקדם, בעוד התוקף עדיין נע רוחבית.
- בתעדוף: ידיעה אילו קבוצות תוקפות את הסקטור והאזור שלכם ממקדת משאבים מוגבלים באיומים הסבירים ביותר.
- בתגובה: העשרת התראה בספר המשחק של קבוצה מוכרת אומרת למגיבים מה לחפש וכיצד להכיל מהר יותר.
ההקשר הישראלי
בישראל איום הכופר מטושטש ייחודית עם פעילות מדינתית. מבצעים הקשורים לאיראן כמו Pay2Key, המיוחס ל-Fox Kitten, מערבבים סחיטה פלילית עם מטרות פוליטיות, וחלק מ"הכופר" הוא למעשה פעילות מחיקה (wiper) הרסנית מחופשת. הגנות כופר גנריות אינן מספיקות; דרוש מודיעין ספציפי לשחקנים הפועלים נגד ארגונים ישראליים.
Persist Security משלבת מודיעין איומים חי על כופר פעיל ושחקנים איראניים עם SOC מנוהל המזהה את השלבים המוקדמים וצוות תגובה לאירועים מוכן להכיל. צרו קשר לחיזוק הגנות הכופר עם מודיעין שנבנה למפת האיומים הישראלית.
