בקבוצה איימו כי אם הכסף לא יישלח תוך 24 שעות משעה 9:00 בבוקר ביום חמישי בבוקר, תעלה דרישת הכופר ל- 100 ביטקוין (1,922,220 דולר). אם יעבור עוד 24 שעות, הביקוש יעלה ל 200 ביטקוין (3,847,680 דולר). "אחר כך נמכור את הנתונים לאחרים", הזהירו ההאקרים והוסיפו כי הם ידליפו עוד נתונים בסוף כל 24 שעות. זמן קצר לאחר פרסום ההודעה, הקבוצה פרסמה קבצים נוספים, כולל פקסים ותעודות זהות.
על פי הדיווחים, לשירביט לקוחות רבים עובדי מדינה, ביניהם נשיא בית המשפט המחוזי בתל אביב, גלעד נויטל. בהודעת טלגרם הצהירה הקבוצה כי יש להם יעדים נוספים שיחשפו בהמשך וכי הם ביצעו את הפיגוע "תמורת כסף", ללא הבהרה נוספת.
"חברת הביטוח שירביט מציבה את הבטיחות והשירות של לקוחותיה בראש סדר העדיפויות שלה והיא מדורגת שנה אחר שנה בין חברות הביטוח המובילות בישראל בתחומי פעילותה", אמר מנכ"ל החברה צבי לייבושור בתגובה לאירוע. "שירביט השקיעה מיליוני שקלים באבטחת מאגרי מידע והגנה מפני מתקפות סייבר ועומדת בכל דרישות הרגולציה המחמירות בתחום זה", הוסיף. לייבושור הוסיף כי שירביט משקיעה את כל המשאבים והמאמצים הדרושים ל"פתרון יעיל, בטוח ומהיר להתקפת הסייבר, שמטרתה האמיתית היא לנסות לפגוע בכלכלה הישראלית".
ההתקפה באה במקביל לעלייה בהתקפות כופר נגד חברות ביטוח, כאשר עשרות חברות ביטוח בארה"ב דיווחו על התקפות כופר רק בשבוע האחרון, על פי שירות אבטחת הסייבר MonsterCloud.
התוקפים בארה"ב דרשו כופר ממוצע בין 100,000 למיליוני דולרים. "בהתבסס על ההתקפות האחרונות כאן בארה"ב, ההתקפות מונעות על ידי כסף, וגם אם לקורבן יש גיבוי, התוקף יסחט את הקורבן בעבור כופר כדי למנוע דליפת נתונים שהיא עצומה כשמדובר בחברות ביטוח. זו מגמה חדשה בארה"ב. מתקפה מסוג זה נגרמת בגלל חוסר ידע בנושא אבטחת סייבר ", אמר מנכ"ל MonsterCloud, זוהר פנחסי, ל"ג'רוזלם פוסט", והזהיר כי "נראה שלחברה יש דרך ארוכה וסוערת. המנכ"ל הוסיף כי לא ברור אם אותה קבוצה עומדת מאחורי ההתקפות בארה"ב, והסביר כי קבוצות האקרים נוטות לשנות את שמותיהן לעתים קרובות על מנת להגן על עצמן.
מחברת שירביט נמסר: "הלילה התקבלה דרישת כופר בסך של כמיליון דולר ואולטימטום בצידה. לצד דרישת הסחיטה, הדליפו התוקפים פרטים שמתייחסים לעדכון על מצב תביעות של כמה מלקוחות החברה. צוותי המומחים וגורמים נוספים בוחנים את השלכות ההודעה שפרסמו התוקפים, ובמקביל נערכים בחברה לחזרה לפעילות באופן מבוקר ומאובטח. באמצעות צוותי מומחים ממלכתיים ופרטיים בתחום הסייבר, שירביט פועלת כדי להגן על המידע ועל לקוחותיה. עם האינדיקציה הראשונה על האירוע, החברה חסמה את הגישה לשרתיה ופועלת בתיאום עם הרשויות, כדי למנוע פגיעה בלקוחות ובחברה".
התרעות פיקוד העורף