מתקפת הכופרה על הלל יפה – החוליה האחרונה בשרשרת המתארכת
ברחבי העולם הולך וגובר מספר מתקפות הסייבר על ארגוני בריאות, שנתפסים כמטרות קלות שלרוב יעדיפו לשלם כופר ולא לסכן חיי אדם. בסוף השבוע: עלייה במספר הניסיונות לבצע מתקפות דומות על גופים נוספים בישראל
מנדי קוגוסובסקי
| 16/10/2021
המרכז הרפואי הלל יפה, בשבוע שעבר. צילום: באדיבות הדוברות
נמשכת מתקפת הסייבר על המרכז הרפואי הלל יפה, ועל פי בית החולים, נמשכים גם ״המאמצים של כל הגורמים המעורבים ברמה הלאומית לשקם את מערכות המחשוב ולבצע חקירה של מהות האירוע״. צו איסור פרסום הוטל על פרטי החקירה, שמהמשטרה נמסר כי היא נערכת בשיתוף פעולה בינלאומי עם גורמי חוק במדינות זרות. הבוקר (א׳) הודיעו משרד הבריאות ומערך הסייבר הלאומי כי במהלך סוף השבוע זוהתה עלייה בניסיונות למתקפות על מוסדות רפואיים אחרים, אך שהניסיונות נבלמו לפני שנגרם נזק.
״זה אחלה כסף״
מה בעצם הסיבה למתקפה, ומי יכול לעמוד מאחוריה? רונן מואס, מנכ״ל חברת המידע ESET ישראל, מסביר כי ישנן שתי סיבות עיקריות למתקפות כופרה. ״הראשונה היא כמובן כסף, ארגונים גדולים נדרשים לשלם מיליוני דולרים כתשלום כופר וזה אחלה כסף לקבוצת התוקפים״.
ואכן, מערכות בריאות מהוות יעד קורץ לגורמים זדוניים העוסקים במתקפות כופרה, הרבה יותר מחברות מסחריות, שכן חיי אדם מוטלים על הכף, ומספר המתקפות רק הולך ועולה. על פי נתונים של חברת אבטחת המידע הרפואי האמריקנית Protenus, בין 2019 ל-2020 חל גידול של 42% במספר מתקפות הסייבר על שירותי בריאות, ולמעלה מ-40 מיליון תיקם רפואיים נפרצו. בנוסף לסיכון הרפואי המיידי הכרוך בשיבוש עבודתם של מכשירים מקוונים ובניהול המקרה, גם מידע אישי מסווג על מצבם הפיזי והנפשי של המטופלים מהווה נכס כלכלי משמעותי.
על פי פרסום של טל שחף ב-Ynet, הקבוצה העומדת מאחורי המתקפה על הלל יפה קרויה DeepBlueMagic, שנחשפה בחודש אוגוסט על ידי חברת Heimdal Security. אבל קבוצות כאלה מתגלות חדשות לבקרים. רק בשבוע שעבר חשפה חברת אבטחת המידע מנדיאנט את Fin12, קבוצת פצחנים דוברת רוסית הפועלת כבר שלוש שנים לפחות, שכ-20% מפעילותה מיועדת לתקיפת מגזר הבריאות בעבור תשלומי כופרה גבוהים. בחדשות 12 דיווח כי באחת השיחות שניהלו חוקרי האירוע עם התוקפים (שהשאירו את כתובת המייל שלהם על השרתים הפרוצים), ביקשו האחרונים 10 מיליון דולר דמי כופר.
אבל כפי שכבר פורסם, הלל יפה אינו מוסד פרטי אלא בית חולים ציבורי, ולכן האפשרות לתשלום הכופר אינה רלוונטית. רונן מואס מציע אפשרות נוספת: ״על פי מחקרים, רוב קבוצות התקיפה שביצעו מתקפות כופר על ארגונים ישראלים היו איראניות – הפריצה לחברת הביטוח שירביט, הפריצה לאוניברסיטת בר אילן ואפילו לחברת התקשורת וויסנטר מהחודש שעבר״, הוא אומר. ״גם הפעם ייתכן שמדובר במתקפה איראנית שנועדה בין השאר להביך ולפגוע במדינת ישראל. זה לא שהם יוותרו על תשלום הכופר, אבל נוסף נדבך נוסף במתקפה, והוא לאומי״.
איך תוקפים הפצחנים את הארגון?
מואס: ״ארגונים שמחזיקים מידע רגיש לרוב בונים את מערך המידע שלהם בצורה מבוזרת כאשר יש רשת פתוחה לעולם ורשת פנימית שלא פתוחה לעולם וכך מעלים את רמת האבטחה בארגון. העניין שלפעמים למשתמשים מסוימים יש גישה לשני סוגי הרשתות, ופריצה למחשב אחד בעצם מייצרת גשר בין רשת פנימית לחיצונית.
״התוקף צריך מידע מקדים כדי לדעת לאיזו נקודה בארגון לפרוץ כדי לקבל גישה לכל הרשתות, והשאלה היא האם המתקפה היא משהו רנדומלי – כשרק במקרה, בסיטואציה האחרונה, בית החולים שנפגע הוא הלל יפה נפגע – או שמא מדובר במתקפה ממוקדת ומתוכננת הרבה זמן מראש. האופציה השנייה סבירה יותר. רק כאשר לתוקפים יש מספיק מידע ארגוני שיוכלו לדרוש בעבורו תשלום כופר, רק אז הם מבצעים את המתקפה ומפרסמים אותה.
״חשוב להבין שמתקפה בסדר גודל כזה לא מתרחשת בין לילה ולפעמים מדובר על מתקפה שמתוכננת חודשים מראש. אפילו כשהתוקפים כבר הצליחו ופרצו לארגון, הם לא ממהרים לבצע את מתקפת הכופר ולהצפין את המידע או לפרסם את המתקפה עד שהם בטוחים שיש להם מספיק מידע בידיים ושחזור מידע מגיבוי כבר לא יעזור.
מה הלאה?
״זה לא נראה טוב במיוחד כרגע״, אמר ראש מערך הסייבר הלאומי, יגאל אונא, כשדיווח על המתקפה ביומה הראשון לכ-30 עמיתים מרחבי העולם, במסגרת פסגת אנטי-כופרה שכינס הבית הלבן. ניסיון העבר ממתקפות קודמות ברחבי העולם מלמד שהחזרה לשגרה עבור מוסדות רפואיים שנפגעו עלולה להימשך שבועות ארוכים, וכן שאין כל הבטחה שכל המידע ישוחזר. הבוקר מסרו משרד הבריאות ומערך הסייבר כי נמשכת העבודה להחזיר את מערכות המידע של בית החולים לפעילות שוטפת, באופן הדרגתי ומאובטח.
״עברנו לא מעט מבדקי איכות בתחום אבטחת המידע בשנים האחרונות, ובכולם עמדנו בהצלחה רבה ואף בהצטיינות ותשבוחות״, מסר בסוף השבוע מנהל הלל יפה, ד״ר מיקי דודקביץ. באופן שרק מגביר את העמימות סביב האירוע כולו והשלכותיו לטווח הקצר והארוך כאחד, הוסיף כי ״אנו תקווה, שחלק מהיכולות יושבו בתחילת שבוע הבא בהדרגה, אך ייתכנו שינויים בהתאם לקצב ההתקדמות של הצוותים המקצועיים העוסקים בדבר ובכפוף לאילוצים שונים״. היום (א׳) הודיעה, כי מתחילה עליה הדרגתית של מערכות טכנולוגיות חלופיות, וכי טיפולים דחופים מתקיימים ברחבי בית החולים.
ברחבי העולם הולך וגובר מספר מתקפות הסייבר על ארגוני בריאות, שנתפסים כמטרות קלות שלרוב יעדיפו לשלם כופר ולא לסכן חיי אדם. בסוף השבוע: עלייה במספר הניסיונות לבצע מתקפות דומות על גופים נוספים בישראל
המרכז הרפואי הלל יפה, בשבוע שעבר. צילום: באדיבות הדוברות
נמשכת מתקפת הסייבר על המרכז הרפואי הלל יפה, ועל פי בית החולים, נמשכים גם ״המאמצים של כל הגורמים המעורבים ברמה הלאומית לשקם את מערכות המחשוב ולבצע חקירה של מהות האירוע״. צו איסור פרסום הוטל על פרטי החקירה, שמהמשטרה נמסר כי היא נערכת בשיתוף פעולה בינלאומי עם גורמי חוק במדינות זרות. הבוקר (א׳) הודיעו משרד הבריאות ומערך הסייבר הלאומי כי במהלך סוף השבוע זוהתה עלייה בניסיונות למתקפות על מוסדות רפואיים אחרים, אך שהניסיונות נבלמו לפני שנגרם נזק.
״זה אחלה כסף״
מה בעצם הסיבה למתקפה, ומי יכול לעמוד מאחוריה? רונן מואס, מנכ״ל חברת המידע ESET ישראל, מסביר כי ישנן שתי סיבות עיקריות למתקפות כופרה. ״הראשונה היא כמובן כסף, ארגונים גדולים נדרשים לשלם מיליוני דולרים כתשלום כופר וזה אחלה כסף לקבוצת התוקפים״.
ואכן, מערכות בריאות מהוות יעד קורץ לגורמים זדוניים העוסקים במתקפות כופרה, הרבה יותר מחברות מסחריות, שכן חיי אדם מוטלים על הכף, ומספר המתקפות רק הולך ועולה. על פי נתונים של חברת אבטחת המידע הרפואי האמריקנית Protenus, בין 2019 ל-2020 חל גידול של 42% במספר מתקפות הסייבר על שירותי בריאות, ולמעלה מ-40 מיליון תיקם רפואיים נפרצו. בנוסף לסיכון הרפואי המיידי הכרוך בשיבוש עבודתם של מכשירים מקוונים ובניהול המקרה, גם מידע אישי מסווג על מצבם הפיזי והנפשי של המטופלים מהווה נכס כלכלי משמעותי.
על פי פרסום של טל שחף ב-Ynet, הקבוצה העומדת מאחורי המתקפה על הלל יפה קרויה DeepBlueMagic, שנחשפה בחודש אוגוסט על ידי חברת Heimdal Security. אבל קבוצות כאלה מתגלות חדשות לבקרים. רק בשבוע שעבר חשפה חברת אבטחת המידע מנדיאנט את Fin12, קבוצת פצחנים דוברת רוסית הפועלת כבר שלוש שנים לפחות, שכ-20% מפעילותה מיועדת לתקיפת מגזר הבריאות בעבור תשלומי כופרה גבוהים. בחדשות 12 דיווח כי באחת השיחות שניהלו חוקרי האירוע עם התוקפים (שהשאירו את כתובת המייל שלהם על השרתים הפרוצים), ביקשו האחרונים 10 מיליון דולר דמי כופר.
אבל כפי שכבר פורסם, הלל יפה אינו מוסד פרטי אלא בית חולים ציבורי, ולכן האפשרות לתשלום הכופר אינה רלוונטית. רונן מואס מציע אפשרות נוספת: ״על פי מחקרים, רוב קבוצות התקיפה שביצעו מתקפות כופר על ארגונים ישראלים היו איראניות – הפריצה לחברת הביטוח שירביט, הפריצה לאוניברסיטת בר אילן ואפילו לחברת התקשורת וויסנטר מהחודש שעבר״, הוא אומר. ״גם הפעם ייתכן שמדובר במתקפה איראנית שנועדה בין השאר להביך ולפגוע במדינת ישראל. זה לא שהם יוותרו על תשלום הכופר, אבל נוסף נדבך נוסף במתקפה, והוא לאומי״.
איך תוקפים הפצחנים את הארגון?
מואס: ״ארגונים שמחזיקים מידע רגיש לרוב בונים את מערך המידע שלהם בצורה מבוזרת כאשר יש רשת פתוחה לעולם ורשת פנימית שלא פתוחה לעולם וכך מעלים את רמת האבטחה בארגון. העניין שלפעמים למשתמשים מסוימים יש גישה לשני סוגי הרשתות, ופריצה למחשב אחד בעצם מייצרת גשר בין רשת פנימית לחיצונית.
״התוקף צריך מידע מקדים כדי לדעת לאיזו נקודה בארגון לפרוץ כדי לקבל גישה לכל הרשתות, והשאלה היא האם המתקפה היא משהו רנדומלי – כשרק במקרה, בסיטואציה האחרונה, בית החולים שנפגע הוא הלל יפה נפגע – או שמא מדובר במתקפה ממוקדת ומתוכננת הרבה זמן מראש. האופציה השנייה סבירה יותר. רק כאשר לתוקפים יש מספיק מידע ארגוני שיוכלו לדרוש בעבורו תשלום כופר, רק אז הם מבצעים את המתקפה ומפרסמים אותה.
״חשוב להבין שמתקפה בסדר גודל כזה לא מתרחשת בין לילה ולפעמים מדובר על מתקפה שמתוכננת חודשים מראש. אפילו כשהתוקפים כבר הצליחו ופרצו לארגון, הם לא ממהרים לבצע את מתקפת הכופר ולהצפין את המידע או לפרסם את המתקפה עד שהם בטוחים שיש להם מספיק מידע בידיים ושחזור מידע מגיבוי כבר לא יעזור.
מה הלאה?
״זה לא נראה טוב במיוחד כרגע״, אמר ראש מערך הסייבר הלאומי, יגאל אונא, כשדיווח על המתקפה ביומה הראשון לכ-30 עמיתים מרחבי העולם, במסגרת פסגת אנטי-כופרה שכינס הבית הלבן. ניסיון העבר ממתקפות קודמות ברחבי העולם מלמד שהחזרה לשגרה עבור מוסדות רפואיים שנפגעו עלולה להימשך שבועות ארוכים, וכן שאין כל הבטחה שכל המידע ישוחזר. הבוקר מסרו משרד הבריאות ומערך הסייבר כי נמשכת העבודה להחזיר את מערכות המידע של בית החולים לפעילות שוטפת, באופן הדרגתי ומאובטח.
״עברנו לא מעט מבדקי איכות בתחום אבטחת המידע בשנים האחרונות, ובכולם עמדנו בהצלחה רבה ואף בהצטיינות ותשבוחות״, מסר בסוף השבוע מנהל הלל יפה, ד״ר מיקי דודקביץ. באופן שרק מגביר את העמימות סביב האירוע כולו והשלכותיו לטווח הקצר והארוך כאחד, הוסיף כי ״אנו תקווה, שחלק מהיכולות יושבו בתחילת שבוע הבא בהדרגה, אך ייתכנו שינויים בהתאם לקצב ההתקדמות של הצוותים המקצועיים העוסקים בדבר ובכפוף לאילוצים שונים״. היום (א׳) הודיעה, כי מתחילה עליה הדרגתית של מערכות טכנולוגיות חלופיות, וכי טיפולים דחופים מתקיימים ברחבי בית החולים.
