ביום שלישי אחר הצהריים, ישב עמית סרפר, ראש צוות מחקר בחברת הסייבר הישראלית, "סייבריזן", בבית הוריו ברמת גן. בעודו מאזין לחדשות, הוא שמע במקרה על מתקפת סייבר עולמית שמשתוללת ברחבי אירופה והמוערכת, עד כה, כמתקפה הגדולה בעולם מתקפות הכופר. שלוש שעות לאחר מכן הוא כבר הציג בפני עולם הסייבר, את הפתרון שלו למניעה ובלימת התפשטות המתקפה. מאז, כבר יומיים שלמים, זורם למשרדי החברה מבול של מאות פניות מחברות, ארגונים, ואפילו מממשלות המבקשות להתמגן בעזרת הפתרון הראשון ואולי היחיד למתקפה.
"אני בכלל הייתי בחופשה בארץ", מספר סרפר, המתגורר בבוסטון מטעם החברה, "והיה לי זמן 'להרוג' אחר הצהריים. צפיתי בחדשות ואז דיווחו על המתקפה. מיד יצרתי קשר עם מקורותי והגעתי לדוגמאות של הווירוס עצמו. התחלתי לפרק אותו ופשוט צפיתי בהתנהגות שלו ובדקתי מה גורם לו לעצור ולהפסיק. במקביל, ביקשתי משאר הקולגות שלי בחברה לבדוק את זה במעבדה פה בישראל, והתחלנו להריץ בדיקות. מהר מאוד גילינו שהצלחנו למנוע את ההדבקה וההפעלה של התוכנה אצל משתמשים שטרם נפגעו".
על פי נתוני החברה, מאז שלשום הורידו כ־100 אלף משתמשים ברחבי העולם את התוכנה מאתר חברת "סייבריזן", שמוצעת בחינם ומאפשרת להתמגן או לשתול "חיסון" מפני המתקפה.
הפתרון המוצע אינו מספק עצירה של המתקפה אצל מי שכבר נפגע, אבל מאפשר למנוע את התרחבותה. כל ארגון, חברה, מוסד ואפילו אדם פרטי, יכול להוריד את החיסון בלינק התוכנה הנמצא באתר החברה, ובכך למנוע מהמתקפה להגיע למחשבים שברשותו.
“גיליתי שתוכנת הווירוס הזדוני מפסיקה בשני מקרים: כאשר היא מסיימת להשתלט, וכאשר היא מחדירה קובץ זדוני בווינדוס, בודקת שהוא שם, ואז יוצאת”, מסביר סרפר, “לכן, אמרתי לעצמי שיהיה נכון לשתול בווינדוס קובץ כזה מראש, וכאשר היא מבצעת בדיקה, זה מטעה אותה לחשוב שכבר הצפינה והיא יוצאת מבלי לגרום כל נזק למחשב. מה שהפיל אותם זה שהיא לא מזהה שמדובר בקובץ מתחזה”.
סרפר העלה את ממצאיו לקהילת חוקרי הסייבר בטוויטר, ומשם זה התפשט כאש בשדה שרתים. “הוצפתי בפניות אישיות ומארגונים וחברות, והחלטנו להוציא הודעה מסודרת לעיתונות במשרדי החברה בבוסטון”, הוא ממשיך, “זה אומת על ידי חוקרים בתחום ברחבי העולם ולפי הפידבקים זה עובד. כל מי שלא נדבק ורוצה להגן על המחשב שלו, מוזמן להוריד את תוכנת ההגנה שלנו מהאתר ולהמשיך לפעול בראש שקט”.
הפתרון היחיד
סייבריזן, הממוקמת בישראל, בוסטון ויפן, נוסדה ב־2012 על ידי ליאור דיב, יונתן שטרים־עמית ויוסי נער, ומפתחת פלטפורמה קלה להתקנה לשימוש בארגונים גדולים. הפלטפורמה אוספת מידע מכל מכונות הקצה בארגון, מנתחת אותו כדי לזהות התנהגויות זדוניות ועוצרת התקפות בזמן אמת. המוצר של סייבריזן מספק ללקוחות גם מודיעין זמין וקל להבנה, ובין לקוחותיה נמנים תאגידי ענק כמו לוקהד מרטין האמריקאית וסופטבנק היפנית.
הפיתוח הישראלי הינו הפתרון המניעתי היחיד למתקפה זו לטענת החברה. עד כה גרמה מתקפת הסייבר לנזק עצום ברחבי העולם, והיא מוגדרת כקשה לפחות כמו wannacry, המתקפה שהתרחשה במאי האחרון והשאירה אחריה כ־200 אלף מחשבים פגועים ונזק של מיליוני דולרים. מאז יום שלישי נפגעו במתקפה הנוכחית מערכות שנמצאות בעיקר במזרח אירופה. בנקים וסופרמרקטים, אירעו שיבושים בנמלי תעופה, חברות נפט וספרנות ובאספקת החשמל. המתקפה אפילו שיתקה את המחשבים בכור הגרעיני בצ’רנוביל. נכון לאתמול בבוקר, היא התפשטה גם לארצות הברית וליתר מדינות אירופה.
“המתקפה הזו צועדת בעקבות המתקפה במאי וכנראה גם תעקוף אותה במימדים”, מסביר לטם גיא, מנהל בכיר לאבטחת סייבר בחברת "סייבריזן", "אנחנו נתקלים בתקיפות כופר על בסיס יומי, והמתקפה במאי היתה הגדולה מכולן, אבל נעצרה לאחר כיממה. הפעם זה חמור יותר כי התוכנה לא עוצרת. הקצב שלה רק מתגבר ומתפשט".
תוכנת כופרה תוקפת ארגונים ואנשים פרטיים בצורה זהה. היא מבצעת השתלטות על המחשב והצפנה של הקבצים, התמונות וכל המידע שבו, ונדרש כופר כסף על מנת לשחררו. הכופר עצמו נגבה באמצעות מטבע הביטקוין, ולא משאיר שום נתיב זיהוי.
"מה שמעניין במתקפה הזו הוא ההתפשטות המהירה שלה להרבה מאוד ארגונים וכנראה גם אנשים פרטיים", ממשיך גיא, "בשנתיים האחרונות תוקפי הכופר הבינו שארגונים גדולים הם מטרה נוחה ויוכלו לדרוש שם יותר כסף. לפני שלושה שבועות היתה התקפה על חברה שמארחת אתרים והיא שילמה כופר של למעלה ממיליון דולר".
מחול שדים
כאמור, בינתיים התפשטה המתקפה לכל אירופה ולארצות הברית. החשש הוא שתתפשט בגל שני למזרח וליפן, וכמובן לישראל. בארץ דיווחו מספר חברות על פגיעה מסויימת. חברת "פרוגינטר", הממוקמת בהרצליה פיתוח ומספקת שירות של איחסון אתרים ושרתים ממוגנים, חוותה מאז יום שלישי עשרות ניסיונות התקפה במחשבים של לקוחותיה. "עשרות חוות שרתים ענקיות נפגעו ברחבי העולם וקרסו", מספר מסביר עדן חן, שותף ומנהל בחברה.
"סביב השעה 15:30 התחלנו להרגיש תכונה גם בשרתים שלנו ואז החל מחול שדים: מתחיל ניטור, מחפשים מאיפה המקור של ההתקפה, מי היעדים, איך מונעים תקיפה על יעדים וכולי זיהינו שהיעד שלהם היה לקוחות מסוג מסויים בעלי טראפיק גדול , כמו אתרי חדשות, פורומים ואתרי מידע גדולים. העצה שלנו היתה לא לשלם. אנחנו מתמודדים עם זה ברמת החברה ולא נותנים לזה להגיע לרמת הלקוח כך שאין סכנה שהאתר שלו יקרוס. אבל אצלנו מאחורי הקלעים מתנהל קרב אימים".
הצוות ב"פרוגינטר" לא עצם עין מאז שלשום. חן מעריך כי המתקפות רק יחריפו ככל שערך המטבע האינטרנטי עולה. "ככל שיש יותר דרישות כופר, ערך המטבע של ביטקוין ואיטריום עולה", הוא אומר, "לפני כחודשיים עמד שווי הביטקוין על 1300 דולר לביטקוין אחד. כיום, הוא עומד על 2,600 דולרים. אני מעריך שזה רק יחמיר. ואין שום דרך לאתר את החשבונות הללו. הם מריצים תוכנה שמפזרת את הכסף באלפי חשבונות קטנים ולא ניתן לזהות את היעד הסופי".
"להערכתי, המתקפה לא תהיה אופרטיבית מבחינת התוקפים", אומר גיא, "כי כתובת המייל שהתוקפים פרסמו לקבלת הוראות הפענוח נחסמה. המשמעות היא שתשלום הכופר לא יביא לפענוח הקבצים’ כלומר, אין סיבה לשלם את הכופר ואין דרך לשחזר את המחשב. כך שהתוקפים אולי לא יקבלו כסף, אבל הנזק ימשיך להתפשט וצפוי מסוג מסלהיות גדול מאוד".
ברור לכל שאלפים ממוחות הסייבר הטובים בעולם עמלים סביב המתקפה הנוכחית במטרה למצוא פתרון ולהפסיקה. לטענת החוקרים בסייבריזן, אצלם בוחנים את הבעיה בתפיסה שונה. וזה לדבריהם, מקור ההצלחה.
"המון חוקרים מתמקדים במה עושה התוכנה ואיך היא פועלת", מסביר סרפר, "אנחנו פשוט ריכזנו מאמץ על חשיבה מסוג אחר וניסינו להבין מה גורם לה להפסיק לעבוד. הם התמקדו בחתימה של הווירוס ואילו אנחנו מנסים להתחקות אחר ההתנהגות של התוכנה. בזמן שכולם רודפים אחרי התכונות המוכרות, אנחנו מזהים דפוסי התנהגות ועוצרים תקיפות עתידיות".