לאחר שבית החולים מעייני הישועה התמודד במהלך היומיים האחרונים עם מתקפת סייבר ששיתקה את מערכות המחשוב המנהליות שלו, התברר כי מי שעומדת מאחורי התקיפה היא קבוצת האקרים המכונה Ragnar Locker המפעילה תוכנות כופרה וכבר תקפה מתקנים רגישים במדינות שונות בעולם בשנים האחרונות.
לפי מומחים ששוחחנו איתם מחברת סיגניה, ההאקרים שמאחורי Ragnar Locker מתמקדים במתקפות כופרה של תשתיות קריטיות באמצעות כלים שהם מפתחים בעצמם. בחברה עוקבים כבר מספר שנים אחר הפעילות של קבוצת ההאקרים וציינו כי "הם תוקפים תשתיות קריטיות כמו בתי חולים וארגונים בכל רחבי העולם. עד היום תקפה הקבוצה קורבנות רבים בצפון אמריקה ובאירופה ועכשיו נראה שהם סימנו את ישראל".
לדברי אורן בידרמן, ראש צוות זיהוי ותגובה לאירועי סייבר בסיגניה, "ההאקרים גונבים מידע רב מהארגון ולאחר מכן מצפינים את תחנות העבודה והשרתים ודורשים כופר על מנת שלא לפרסם את המידע שנגנב ולספק מפתח הצפנה לשרתים שהוצפנו".
הוא הוסיף כי "מדובר בקבוצה ותיקה יחסית המוכרת עוד משנת 2020, אך חלק מהכלים והשיטות בהם היא משתמשת טרם נחשפו. בשלב זה, אין ודאות בתעשייה לגבי ארץ המקור ממנה מגיעים חברי הקבוצה, שמעניינת בעיקר בשל העובדה שהיא מתמקדת בחברות השייכות למגזרים של תשתיות קריטיות, כגון: בתי חולים, מפעלים חיוניים וחברות ממשלתיות".
בסיגניה ציינו כי ההאקרים כתבו קוד המאפשר להם "לשלוף" את יומני האירועים והפעולות ממערכת הלוגים של הארגון ב-Windows, שבדרך כלל משמשים אנשי אבטחה בארגון כדי לדעת מה קרה. ההאקרים מנצלים בדרך זו את המידע אליו נחשפו על מנת לבנות רשימת מטרות, להתפשט אליהן ולפרוס את תוכנת הכופרה ברשת הארגון.
חומקים ממערכות ההגנה
בסיגניה טוענים כי קבוצת ההאקרים משתמשת בכלי רוסי לניהול הגישה מרחוק שנקרא remote manipulator system כמנגנון פיקוד ובקרה. כלי גישה מרחוק נוסף שהם משתמשים בו, AnyDesk, משמש להוצאת נתונים מארגונים מאפשר לתוקפים להישאר "מתחת לרדאר" מבלי לעורר חשד כיוון שמדובר בכלי אדמיניסטרטיבי לגיטימי ושכיח.
בידרמן מסביר כי "ההאקרים יוצרים כלים חדשים כל הזמן על מנת שלא יזהו אותם. השילוב של כלי ניהול לגיטימיים עם כלים מתוצרת עצמית עוזר לקבוצה לחמוק ממערכות ההגנה הפרוסות בארגון. ההאקרים מקפידים למחוק את הכלים שלהם לאחר הרצה ובנוסף מצפינים את המערכות ברשת, כך שלמרות שמדובר בקבוצה ותיקה, הם עדיין מצליחים להוציא לפועל תקיפות הגובות מחיר כבד".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו