מתקפות כופרה כבר אינן מסתכמות בהצפנת קבצים. בשנים האחרונות נוצר שינוי עמוק במודל התקיפה, כאשר תוקפים משלבים גניבת מידע עם איום בפרסום פומבי. המשמעות עבור ארגונים היא ברורה: האירוע כבר לא נגמר בשחזור מערכות - אלא הופך למשבר תדמיתי, משפטי ועסקי מתמשך.
אחד הכלים המרכזיים שמאפשרים את השינוי הזה הוא Data Leak Sites - אתרי דליפת מידע. מדובר בפלטפורמות ייעודיות, לרוב בדארק ווב, שבהן קבוצות תקיפה מפרסמות מידע גנוב או מאיימות לחשוף אותו.
מה זה Data Leak Sites ולמה הם כל כך אפקטיביים?
אתרי דליפה הופיעו לראשונה סביב 2019 והפכו במהירות לחלק בלתי נפרד מאסטרטגיית הסחיטה הכפולה.
במקום רק להצפין מידע, התוקפים פועלים בשיטה קבועה: תחילה גונבים נתונים רגישים, לאחר מכן מציגים הוכחות, ולבסוף מאיימים בפרסום מלא. התהליך הזה משנה את מאזן הכוחות מול הארגון.
האפקט המרכזי הוא יצירת אירוע פומבי עוד לפני שהארגון הספיק להבין את היקף הפגיעה.
איך בפועל פועל מנגנון הלחץ?
העיצוב של אתרי הדליפה אינו מקרי. מדובר בכלי פסיכולוגי מתוכנן היטב.
התוקפים מפרסמים דוגמאות מידע אמיתי, מציגים ספירה לאחור, ומבליטים את שם הארגון כדי לייצר לחץ תקשורתי. גם אם רק חלק קטן מהמידע נחשף - הנזק כבר מתחיל.
המשמעות היא שהארגון מקבל החלטות תחת לחץ זמן, חוסר ודאות ואיום מתמשך.
קבוצות תקיפה כמו Handala: כשהדליפה הופכת לכלי אסטרטגי
אחת הדוגמאות הבולטות למימוש המודל הזה היא קבוצת התקיפה Handala.
מדובר בקבוצה שפועלת בעיקר מול יעדים ישראליים ואזוריים, ומשלבת בין תקיפות סייבר קלאסיות לבין לוחמה תודעתית. בניגוד לקבוצות כופרה מסורתיות שמתמקדות רק ברווח כספי, Handala עושה שימוש שיטתי באתרי דליפה כדי להשיג גם אפקט תקשורתי ותודעתי.
הדפוס שלה כולל:
• פרסום מהיר של מידע גנוב גם בלי משא ומתן
• הדגשת זהות הקורבן כחלק ממסר פומבי
• שימוש בדליפה ככלי ליצירת הד ציבורי ולחץ
במקרים מסוימים, עצם הפרסום חשוב לתוקפים יותר מהכופר עצמו. זהו שינוי משמעותי: המידע הופך לנשק תודעתי, לא רק לנכס כלכלי.
למה זה כבר לא רק אירוע אבטחה?
דליפת מידע אינה נשארת בתוך גבולות הארגון. ברגע שהמידע יוצא החוצה - מתחיל אפקט שרשרת.
הפגיעה אינה רק טכנולוגית. היא מתבטאת באובדן אמון, חשיפה רגולטורית והפיכת הארגון למטרה למתקפות נוספות. לעיתים, נתונים שדלפו חוזרים לשימוש בקמפיינים של פישינג או התחזות חודשים לאחר האירוע.
המשמעות היא שמדובר באירוע עסקי כולל, לא תקלה נקודתית.
למה ארגונים עדיין לא מוכנים?
הפער המרכזי הוא תפיסתי.
רבים מהארגונים עדיין מתמקדים במניעת חדירה, בעוד שהתוקפים מתמקדים בשימוש במידע לאחר החדירה. בנוסף, מתקפות מודרניות מבוססות על הנדסה חברתית ושימוש בהרשאות קיימות - מה שמקשה על זיהוי מוקדם.
החולשה כבר אינה רק טכנולוגית, אלא גם תהליכית והתנהגותית.
איך נכון להתמודד עם האיום?
התמודדות עם מתקפות כופרה מודרניות מחייבת מעבר לגישה פרואקטיבית.
ארגונים צריכים לשלב יכולות זיהוי מבוססות התנהגות, להטמיע עקרונות Zero Trust ולוודא שליטה מלאה בהרשאות וגישה למידע. בנוסף, גיבויים מבודדים והדרכת עובדים הם חלק בלתי נפרד מההגנה.
ב-ESET אנו מיישמים גישת Prevention First, שמטרתה לעצור את האיום עוד לפני שהוא הופך לדליפה פומבית.
שאלות נפוצות (FAQ)
האם תשלום כופר מונע פרסום מידע?
לא בהכרח. ישנם מקרים רבים שבהם המידע פורסם גם לאחר תשלום.
למה קבוצות כמו Handala מפרסמות מידע גם בלי דרישת כופר?
כי המטרה אינה רק כלכלית אלא גם תודעתית - יצירת לחץ והשפעה ציבורית.
האם ניתן למנוע לחלוטין דליפת מידע?
לא תמיד, אך ניתן לצמצם משמעותית את הסיכון באמצעות הגנה רב שכבתית וניטור התנהגותי.
המשמעות לארגונים בישראל
אתרי דליפת מידע שינו את חוקי המשחק. מתקפת כופרה כבר אינה אירוע טכני בלבד, אלא משבר רחב שמשפיע על כל היבטי הארגון.
קבוצות כמו Handala מדגימות עד כמה האיום התפתח, משיקול כלכלי בלבד לכלי אסטרטגי של לחץ והשפעה.
המאבק כיום אינו רק על הגנה על מערכות - אלא על שליטה במידע, בזמן ובתודעה.