לפחות 50 עסקים וארגונים בישראל כבר שילמו כופר בביטקוין להאקרים

לפחות 50 עסקים וארגונים בישראל כבר שילמו כופר בביטקוין להאקרים
מאת: אבי וייס, 21.12.16, 11:50
 
התקפות הסייבר מתעצמות ויש להאקרים הצלחות גם בארץ. עסקים מסרבים לחשוף, שהותקפו לאחרונה בתחום ה-Ransomware - התקפות כופר. אך יש מי שיודע להגן ולתקוף חזרה. חשיפת שירותי הסטארטאפ הישראלי White-Hat, שמעסיק כבר 32 האקרים.

הצצה מרתקת לעולם הגנת הסייבר: על "מודיעין התקפי", "קמפיינים של תקיפה דיגיטלית", "תקיפות פיזיות עם גאדג'טים ורחפנים". "שירות הגנה על בכירים" ו"מודיעין כשירות" ומה שביניהם.
 
"יש כל הזמן התקפות והצלחות של האקרים בישראל, גם התקפות Ransomware", מתאר וחושף שרון נימירובסקי, יזם ומנכ"ל White-Hat. "לפחות 50 עסקים וארגונים בישראל כבר חטפו וגם שילמו. עסקים שילמו בישראל אלפי דולרים ככופר, כל אחד. יש לארגונים לא מעטים בעיה, כי החשבים ואנשי הכספים אצלם לא יודעים או לא מוכנים לרכוש ביטקוין. לכן, יש הפונים אלינו ואנו משלמים עבורם לפי בקשתם את הכופר לתוקפים ואחר כך שולחים להם חשבונית בשקלים…".
 
קיימתי ראיון בלעדי עם שרון נימירובסקי (בתמונה למעלה משמאל במרכז התמונה, ביחד עם 2 המנהלים הבכירים בחברה: מימינו עידן קרן - משנה למנכ״ל ומשמאלו רעות מנשה - סמנכ״לית טכנולוגיות), כדי לשמוע על מימוש הרעיון של הגנת סייבר פרואקטיבית (הכוללת התקפה), על אנשים, אתרים, מחשבים ונתונים, מחברת הזנק (שהוקמה ב-2012 בעולם הסייבר), חברה מסוג לגמרי שונה ממה שאנו מכירים.
 
שאלה: מה זה White-Hat?
שרון נימירובסקי: "כיום אנו חברת הזנק בצמיחה מהירה, עם 32 האקרים. אנו "מלקטים אותם בפינצטה" אחד אחד. כל מועמד לעבודה אצלנו מקבל אתגרים, וזה הסינון הראשוני לפני שכף רגלו דורכת אצלנו.
 
הבסיס העסקי הראשוני שלנו הוא מודיעין סייבר. יש לנו 'דסק' של האקרים העובדים 24 שעות ביממה, שבקרוב נעביר אותו למשכן חדש לאור הגידול בביקוש לשירותים שלנו.
 
אנו מספקים ללקוחות שלנו תמונת מצב בכל רגע נתון, איך הם נראים בעיני 'האויב' שלהם. בגלל שכולנו האקרים, אנו יודעים ומבינים כיצד ההאקרים בחוץ עובדים ומסכנים את הלקוחות שלנו.
 
אולם, אנו לא רק עוסקים בניתוח מידע והתראות. אנו מצויים בעולם התקיפה ועל בסיס זה אנו מספקים את ההגנה".
 
שאלה: מה בפועל הלקוחות שלכם מקבלים?
תשובה: "שיטת העבודה שלנו מאוד ברורה וידועה ללקוחות:
1) הלקוח מקבל מודיעין חי וגם סיכום שבועי.
2) הלקוח מבצע פעולות פרואקטיביות, בעצמו (אם יש לו עובדים מיומנים לסייבר), או בעזרתנו, לאור החומר המודיעיני שמצטבר. למשל: חסימת כתובות IP, איתור מיילים חשודים בתוך הארגון וכיו"ב.
3) אם יש איזה ממצא חשוד, בעקבות הפעולות הללו, צוות תגובה שלנו נשלח ללקוח. ברוב המקרים אנו שולחים את האנשים שלנו פיזית ללקוח, כי יש לנו לא מעט ארגונים, שחוסמים כל גישה מרחוק לרשתות שלהם.
4) ללקוחות, שאין להם כוח אדם מקצועי משלהם, כוח אדם ייעודי לתחום הסייבר, אנו מספקים את כל השירותים עבורם ב"מיקור חוץ" והם מחוברים ישירות לחמ"ל שלנו ומנוטרים ע"י סנסורים, שאנו שותלים אצלם, וע"י הצלבות של מידע מודיעיני והצלבות נוספות, שנעשות עבורם במרכז אצלנו.
 
חשוב להבין, שעובד סייבר זה לא עובד אבטחה. אלו 2 מקצועות שונים לגמרי. עובד אבטחת מידע מפעיל ומטפל במוצרי אבטחה, שהארגון רכש והתקין אצלו ומפקח על מימוש מדיניות האבטחה של הארגון באמצעות אותם כלי אבטחה (חומרות ותוכנות), שהארגון רכש או שכר. אנו בכלל לא עוסקים במוצרי אבטחה ותפעולם עבור הארגון. אנו עוסקים בהגנה ובמלחמה ישירה באויבים של העסקים והארגונים, אויבים הנמצאים בעולם הסייבר".  
 
שאלה: מיהם הלקוחות שלכם?
תשובה: "מכל השוק. יש לנו לקוחות מהתחום הפיננסי, הרפואי, משרדי ממשלה, תחום האנרגיה, תחום הביטחון, חברות האשראי, חברות ביטוח, תחומי המשפט, למעשה זה מגוון ומכסה את כל פלחי השוק".
 
שאלה: שוק שירותי הסייבר הוא שוק מאוד תחרותי. למה שייקחו אתכם?
תשובה: "יש בעיקר תחרות חזקה בתחום אבטחה המידע. אנו לא בתחום הזה. בעולם הסייבר בו אנו עוסקים, ארגונים ועסקים רבים עדיין לא השכילו להבין, שהמצב של עולם האבטחה השתנה לחלוטין. הרוב עדיין תקועים בעולם אבטחת המידע הוותיק.
 
רוב הכלים של אבטחת מידע, שאנו פוגשים אצל הלקוחות שלנו, פותחו לפני 3 שנים ומעלה. זה לא מספק שום הגנה. זו רק אשליה. ארגונים בונים חומות סביב עצמם וכל הזמן מגביהים את החומות הללו כמה שיותר, עם מוצרי אבטחה כמה שיותר יקרים ומסובכים. זו תפיסה שגויה.
 
מולם, יש ארגונים המאמצים את התפיסות החדשות והטכנולוגיות החדשות כי הם עברו לענן. הם משתמשים בכלים של ביג-דאטה, בכלים של קוד פתוח ונמצאים במערכות וירטואליות. הם כבר מבינים, שהכלים הישנים לא יעילים ולא רלבנטיים לסביבות העבודה הללו.
 
לצערי, תפיסות העולם של תחום ההגנה, נתקעה אצל רבים בראש בעולם הישן של פיירוולים, אנטי וירוס, אנטי-Malware וכיו"ב והם חושבים, שזה מגן עליהם. למרות זאת, הם חוטפים Malware ולא מבינים למה.
 
לפני כ-3 שנים זיהינו את המגמה הזו, של הפער בתפיסה בעולם האבטחה, ובאנו לפתור ולתקוף את הבעיה הזו בפתרון חדש, שלא היה אז בשוק. כשתבחן את השוק תראה, שאין הרבה חברות המספקות סוג כזה של פתרון כמו שאנו מציעים.
 
היתרון הגדול עבור הארגון הוא, שאנו מספקים לו יכולת להכיר את האויב שלו, עוד לפני שהאויב הזה נהיה ממש איום מעשי על הארגון. אנו מציגים לארגון מיהם קבוצות התקיפה, שיכולות לאיים עליו, מה כבר יש בידי הקבוצות הללו, שעלול לסכן אותו, מהן החולשות והחוזקות של הקבוצות הללו ועוד. אנו מזהים ומכירים את המצב של הארגון עד לפני התקיפה ומבצעים בארגון תהליך, שנקרא אצלנוIOC  (ר"ת: Indications of Compromise).
 
במציאות שאנו חיים, אנו מביאים כל יום דברים חדשים לארגון, גם אם עדיין לא קרה מאומה. כי כיום לתקוף זה מאוד קל. יש המון כלים אוטומטיים, שהתוקפים משתמשים בהם. מספיק לשלוח מייל הנראה תמים ולגיטימי וזה מריץ קוד עוין, שמיד משתלט בשקט על מחשבי הארגון. כל הזמן יש אירועים כאלה. ארגונים משקיעים הון עתק בהגנות ועדיין נפגעים.
 
לכן, אנו עובדים לגמרי אחרת. אנו ממזערים חשיפות עוד לפני שהן התרחשו ועובדים פרואקטיבית. המודיעין שלנו הוא מודיעין התקפי. בנוסף, יש לנו צוות מחקר החוקר כל הזמן את הטכנולוגיות של הלקוחות שלנו ומזהה את החולשות של כל מה שיש אצל כל לקוח. אנו בודקים ע"י תקיפה, האם החולשות הללו יכולות לשמש לשליפת מידע מהלקוח ואת תוצאות התקיפה אנו מציגים ללקוח. כך הוא יכול להגן על עצמו עוד לפני שהתקיפה האמיתית מתרחשת.
 
בנוסף, אנו מבצעים סימולציות בכל רבעון על כל לקוח. זה לא מהסוג המקובל של Penetration Tests. זו תקיפה מלאה וממשית כשאנו מסתירים מהארגון, שאנו משתלטים עליו בתקיפה. אנו מבצעים קמפיינים של תקיפה, שכוללת איסוף מידע על הארגון, אנשיו והטכנולוגיות שלו. רק בסוף אנו מציגים לארגון מה השגנו ומה הלקחים מהתקיפה".
 
שאלה: איך מתבצעת תקיפה כזו?
תשובה: "הדוגמה הכי באנאלית, שכמעט תמיד עובדת: העובדים מקבלים נניח הזמנה לפיצה בחינם מהמסעדה הנמצאת אצלם בבניין או לידם. קבלת שובר הנחה מעסק, שהם מכירים, תמיד מפתה את העובדים וזה לא מתגלה במערכות ההגנה הקיימות. ברגע שהעובד יפעיל את שובר ההנחה, יופעל RAT וכך אנו מקבלים שליטה ראשונית על המחשב וממנו נמשיך ונדלג עד לקבלת שליטה מלאה בכל מחשבי הארגון, אפילו על הסמארטפונים הקיימים אצל העובדים.
 
אם לא די בתקיפה הדיגיטלית, אנו מבצעים גם תקיפה פיזית. יש לנו צוותי תקיפה פיזית, שמתחפשים, עוקבים אחרי התנהגות הארגון ומגיעים ונכנסים לתוך הארגון במסווה של עובדים לגיטימיים, למשל שליח הפיצה שהזמינו, או טכנאי לתיקון מחשבים. אז יש לנו אוסף גדול של גאדג'טים זעירים, שאנו מסוגלים בעזרתם לבצע 'הסנפה' של המידע שהקיים בארגון, בין באלחוט ובין בקווי. אנו פשוט משכפלים בשקט את המידע, שנע בתוך הארגון, באמצעות מוצרים אלקטרוניים זעירים, שאנו שותלים פיזית בארגון.
 
בסוף התקיפה, הארגון מקבל מאתנו את כל מה שאספנו ואנו ממליצים על התיקונים הנדרשים. למשל: חוסמי תדר ל-RFID ול-WiFi ושיטות הגנה נוספות לפרצות שגילינו בתקיפה האלקטרונית והפיזית.
 
כיום, אין חברות המתמחות בנושא ההגנה הפיזית מפני פריצות פיזיות, ולכן אנו תופרים פתרון ספציפי לכל ארגון לפי הפרצות, שאנו מגלים.
 
קל מאוד לבצע התקפות פיזיות. למשל מציבים נתב, שמרמה את הסמארטפונים בארגון כאילו הם נכנסו ל-WiFi אצל כל אחד בבית ואז הם מתחברים אוטומטית ובלי שהמשתמש מרגיש, מהסמארטפון לנתב הזה ומיד יש לנו רשת בשליטה שלנו ואנו יכולים להוציא את כל התעבורה העוברת דרך ה-WiFi והסמארטפונים ומשם יכולים להגיע לכל מקום, שאנו רוצים.
 
יש לנו גם רחפן, שיכול לעמוד באוויר מעל לבניין של הארגון ולהשתלט על התוכן של הארגון. הרחפן הזה יכול להשפיע על מה שנעשה בארגון, בגלל השליטה שהוא מקבל על הרשתות הקיימות בו". 
 
שאלה: מהיכן אתם משיגים את המידע על האויב?
תשובה: "בכל דרך אפשרית. אנו כמובן נמצאים המון ב-Darknet ומכירים את כל הכלים שההאקרים מפתחים".  
 
שאלה: יש בכלל פריצות כאלו בישראל?
תשובה: "בהחלט. תשאל את רא"ם היכן זה קרה...
 
הלקוחות שלנו רוצים להכיר את הפרצות לפני שזה קורה להם. זה היתרון שלנו. התקפות של Man in the Middle אלו התקפות ותיקות, שמתרחשות כל הזמן, גם כיום. מאות פעמים בחודש".   
 
שאלה: מהן ההתפתחויות הטריות ביותר בעולם התקיפות של ההאקרים?
תשובה: "יש מגמה חדשה, שהחלה בשנה האחרונה, וזה לתקוף בכירים בחברות בביתם ודרך הבית להגיע לארגון. בנוסף, מנסים לתקוף ספקים וכל מי שנמצא בשרשרת הערך של הארגון. יש להאקרים המון הצלחות בכיוונים הללו.
 
הסיבה די ברורה: מאמצי ההגנה של הארגון לא קיימים בביתו של הבכיר. אם תבחן את בית הבכיר ובני משפחתו, בית הדפוס של הארגון, משרד עורכי הדין של הארגון, רואה החשבון החיצוני של הארגון, כמעט כולם לא משקיעים בהגנה ברמה של הארגון ויש להם המון פרצות.
 
ראינו מקרים, שבהם ההאקרים תקפו את המחשב של הילד של הבכיר. זה מאוד קל. מציעים לילד משחק בחינם או קרדיט במשחק קיים, וברגע שהוא מקבל את המתנה הזו, השליטה על המחשב שלו עוברת להאקר. זה יכול להתרחש אם הבכיר שולח מייל פשוט מהמחשב שלו. אפילו בתוך ה-VPN שלו אנו מסוגלים להיכנס ולגנוב מידע.
 
לכן, יש לנו "שירות הגנה על בכירים", והשירות הזה מסופק בכמה אופנים:
א. סנסור סייבר בתוכנה. אנו מגיעים לבעלי התפקידים בארגון ומתקינים אצלם וגם אצל בני משפחתם (אם הם מסכימים), רכיב סייבר, שעוקב אחרי כל פעולה חשודה במערכת ההפעלה. רצוי, שהסנסור יותקן בכל המחשבים הנייחים, הניידים והסמארטפונים של בני המשפחה וזה מנוטר מרחוק אצלנו. זה למעשה סנסור תוכנה, שעובר מוצפן דרך הענן למוקד שלנו ולא מפריע בכלל לשימוש במחשבים.
 
ב. ניטור הבכירים לגבי הזהות שלהם ברשת האינטרנט. כלומר: איך הם נראים בכל מקום באינטרנט, בכל הרשתות החברתיות והאם בטעות נחשף מידע רגיש גם בלי ידיעתם. למשל: מגיע קובץ הנשלח כצרופה במייל לסמאטרפון שלהם ואוטומטית הצרופה הזו מגובה לענן מהסמארטפון, כי זו ברירת המחדל של כל סמארטפון. מהרגע הזה, בעל הסמארטפון לא יודע מה קורה עם המייל שלו ומה קרה למידע שעלה לענן. אנו תופסים את הבעיה הזו ברגע שהיא מתרחשת.
 
השירות הזה כולל ניטור על שמו של האדם או השם של החברה, מה כתבו עליו או על החברה והאם זה שלילי, או חשיפה של דבר אסור, מנקודת הראות של האדם או החברה. קח לדוגמה, שהילד של הבכיר מצלם "סלפי" בבית או בכל מקום כשהוא עם המשפחה ובתמונה מופיע הבכיר.
 
הסיבה לשירות הזה פשוטה: האקרים, קודם לתקיפה, לומדים ואוספים מידע על הארגון ועובדיו ומחפשים נקודות תורפה. לכן, כל מידע לא רצוי שדולף יכול לסכן את הארגון גם מבחינה עסקית וגם חושף אותו להתקפות סייבר. כבר ראינו כיצד האקרים משפיעים על כלכלות וממשלות. זה לא דבר תיאורטי. זה איום ממשי וחמור".
 
שאלה: לאן אתם מתפתחים?
תשובה: "אנו מגדילים ונמשיך להגדיל את "חדר המלחמה" שלנו. אנו מספקים SOC מרוחק לכל ארגון, שאין לו יכולות סייבר הוא יכול להשתמש בנו - אנו נהיה "סיירת הסייבר" שלו.
 
אנו מתחילים בקרוב לספק שירות חדש של "מודיעין כשירות". הסיבה: ראינו, שיש מחסור חמור באנשי סייבר. כפי שציינתי, אנשי סייבר הם לא אנשי אבטחת מידע, שעוסקים במוצרים, הרשאות, התקנות, פיקוח ותחזוקה.
 
סייבר זה איום מורכב ביותר ושונה לגמרי. כמות ההתקפות בעולם הסייבר עולה אקספוננציאלית, בעיקר בגלל שיש היום כלים אוטומטיים, שניתן לרכוש בזול באינטרנט. כך, כבר לא קשה להיות האקר, כי לא צריך להיות מומחה להפעיל את הכלים הללו.
 
לכן, נוצר מחסור של מגינים. ארגון שלא יכול להחזיק אנשי סייבר אצלו, כי הם יקרים או לא זמינים, יכול לשכור שירותים כמו שלנו. מכאן, גם בתחום המודיעין אנו נעבור לאוטומציה והלקוחות יוכלו להזמין אצלנו מודיעין בגישת ה-SaaS.
 
בתחומים שאנו עוסקים בהם, יש כל הזמן סוגי התקפות חדשות. ארגונים גדולים, גם בישראל, מקבלים אלפי התקפות ביום. מספרי ההתקפות נהיו הזויים. זה פשוט לא נתפס. יש ארגונים שאומרים: "לנו זה לא יקרה, יש לנו פיירוול". אז הם חוטפים ואחר כך מגיעים אלינו. מי שעובד כמונו פרואקטיבית, יש סיכוי מאוד נמוך, שיתקפו אותו ויצליחו".
 
שאלה: מה קורה בתחום ההתקפות החדשות דוגמת Ransomware (התקפות כופר)?
תשובה: "ארגונים פוחדים להודות בזה. החזיקו אותם במקום רגיש... ארגונים לא מוכנים להפתעה הזו והם נכנעים מהר לתוקפים ומשלמים. יש לנו פתרונות גם לנושא ה-Ransomware. אנו יודעים לתקוף גם את הבעיה הזו ויודעים לזהות גרסות חדשות של התקיפה, עוד לפני שהיא מתרחשת ופוגעת בעסק.
 
אחת השיטות שלנו להגנה מאוד פשוטה: אנו לוקחים 'מחשב גולם' ומדביקים את עצמנו ב-Ransomware ולומדים מהמחשב הזה כיצד להתגונן".
 
שאלה: מה החלום המקצועי שלך?
שרון נימירובסקי: "אנו מעוניינים לבנות את עצמנו כארגון גדול, עם כמה "חדרי מלחמה", כדי להגן על כמה שיותר עסקים וארגונים.
 
לאחרונה, עשינו לאחת מהפעילויות שלנוSpin Off  והקמנו סטארטאפ נוסף, שרק כעת יוצא לדרך בתחום הביטחוני ושיהיה ממוקד בפתרונות לעולם הביטחוני.
 
החלום שלנו להגיע לחברה גדולה, ממותגת ומתחדשת כל הזמן ושנוביל את השוק בהגנות סייבר לכולם. אני מאמין, שזה תחום דינמי שרק יגדל ושנוכל להצליח ולהוביל אותו.
 
את המשרדים החדשים שניכנס אליהם בקרוב בנינו בקונספט של גוגל, מה שמביא לרצון לבלות יותר זמן בעבודה מאשר בבית. אנו בונים סביבת עבודה לעובדים ולמנהלים, שתהיה בתפיסת עולם מובילה, מה שייתן כיף לעובדים לעבוד בסביבת עבודה כזו, כי העבודה שלנו מאוד שוחקת.
 
בעבודה שלנו, הגבול בין העבודה לבית מיטשטש. לכן, אני מעוניין להביא את האווירה הביתית לתוך העבודה. אני מאמין, שנוכל להצליח בכיוון הזה וזה יהיה מנוע הצמיחה הפנימי שלנו".