דוח סיכום שנת 2017 במרחב הסייבר של Clearsky

1. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬1‫מתוך‬71
‫סיכום‬‫שנת‬2017
‫במרחב‬‫הסייבר‬
‫דצמבר‬
2017

2. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬2‫מתוך‬71
‫ת‬‫קציר‬‫מנהלים‬
‫מגמות‬‫עיקריות‬‫בשנת‬2017‫במרחב‬‫הסייבר‬
•‫התקיפות‬‫המשמעותיות‬‫השנה‬‫התבצעו‬‫על‬‫ידי‬‫קבוצות‬‫פשיעה‬‫מאורגנות‬‫ושל‬‫תוקפים‬‫מדינתיים‬
.‫מדינות‬ ‫בין‬ ‫נוספת‬ ‫לחימה‬ ‫לזירת‬ ‫האחרונות‬ ‫בשנתיים‬ ‫הפך‬ ‫הסייבר‬ ‫מרחב‬‫רוסיה‬‫כ‬ ‫ידינו‬ ‫על‬ ‫הוכתרה‬-"‫מלכת‬
‫הסייבר‬"‫של‬2017‫רוסיה‬ .‫קבוצות‬ ‫של‬ ‫הגידול‬ ‫ובית‬ ‫כמולדת‬ ‫והן‬ ‫ביותר‬ ‫המשמעותי‬ ‫המדינתי‬ ‫כתוקף‬ ‫הן‬ ‫מככבת‬
‫מלי‬ ‫השנה‬ ‫שגנבו‬ ‫הסייבר‬ ‫פשיעת‬‫א‬‫וסחי‬ ‫כופרות‬ ‫באמצעות‬ ‫דולרים‬ ‫רדי‬.‫ממוקדות‬ ‫טות‬
•‫תקיפות‬‫סייבר‬‫תודעתיות‬
‫במשאלי‬ ,‫בבחירות‬ ‫חבלה‬ ,‫בדמוקרטיה‬ ‫פגיעה‬ ,‫קהל‬ ‫בדעת‬ ‫שינוי‬ ‫היתה‬ ‫שמטרתן‬ ‫סייבר‬ ‫תקיפות‬ ‫התבצעו‬ ‫השנה‬
‫קהל‬ ‫דעת‬.‫היא‬ ‫סייבר‬ ‫תקיפת‬‫איננה‬‫יצירת‬ ‫להיות‬ ‫יכולה‬ ‫סייבר‬ ‫תקיפת‬ .‫מחשב‬ ‫במערכות‬ ‫ופגיעה‬ ‫נוזקה‬ ‫החדרת‬ ‫רק‬
‫חברתיות‬ ‫ברשתות‬ ‫מדומים‬ ‫פרופילים‬ ‫אלפי‬ ‫עשרות‬,‫על‬ ‫ולהשפיע‬ ‫קהל‬ ‫דעת‬ ‫לשנות‬ ‫זמן‬ ‫ולאורך‬ ‫בוטה‬ ‫ונסיון‬
‫הבולטות‬ ‫הדוגמאות‬ .‫מדינתיים‬ ‫תהליכים‬–‫נסיו‬ ,‫בארה"ב‬ ‫הבחירות‬ ‫תוצאות‬ ‫שינוי‬ ,‫באוקראינה‬ ‫והרתעה‬ ‫פחד‬ ‫יצירת‬‫ן‬
‫ב‬ ‫הבריטים‬ ‫על‬ ‫והשפעה‬ ‫שינוי‬ ,‫בצרפת‬ ‫הבחירות‬ ‫תוצאות‬ ‫לשינוי‬-Brexit.
•‫מודל‬‫ה‬-"Eggshell Security"‫קרס‬
‫ובלתי‬ "‫"רכה‬ ‫הארגון‬ ‫ליבת‬ ‫השארת‬ ‫תוך‬ ,‫הארגון‬ "‫ב"גבולות‬ ‫מוגברים‬ ‫אבטחה‬ ‫אמצעי‬ ‫יישום‬ ‫הוא‬ ‫שעיקרו‬ ‫המודל‬
‫זו‬ ‫תפיסה‬ ,‫בפועל‬ .‫לחברות‬ ‫דולרים‬ ‫במליארדי‬ ‫לנזקים‬ ‫השנה‬ ‫גרם‬ ‫מוגנת‬‫לוקה‬ ‫לטיפול‬ ‫האחרונות‬ ‫בשנים‬ ‫הביאה‬
‫שארגונים‬ ‫הוא‬ ‫הנוכחי‬ ‫המצב‬ .‫אירגוניות‬ ‫הפנים‬ ‫המערכות‬ ‫באבטחת‬‫רבים‬‫משקיעים‬‫מאמצים‬‫רבים‬‫בהקשחת‬
‫מעטפת‬‫ההגנה‬‫שלהם‬‫אך‬ ,‫האבטחה‬‫ה‬‫פנים‬-‫ארגונית‬‫אינה‬‫זוכה‬‫ל‬‫והשקעה‬ ‫תקצוב‬‫מספיקים‬.‫חוסר‬‫האיזון‬
‫בהשקעה‬‫מביא‬‫לכך‬‫ש‬‫כאשר‬‫תוקף‬‫מצליח‬‫לחדור‬‫ולהיכנס‬‫לתוך‬‫הארגון‬,‫ביכולתו‬‫להת‬‫פשט‬‫ולפעול‬‫בו‬‫בקלות‬.‫רבה‬
‫שונות‬ ‫טכניקות‬ ‫משלבים‬ ‫אשר‬ ‫היברידיים‬ ‫תקיפה‬ ‫וקטורי‬ ‫כנגד‬ ‫שלו‬ ‫האפקטיביות‬ ‫את‬ ‫מאבד‬ ‫זה‬ ‫מודל‬ ,‫מזאת‬ ‫יתרה‬
‫כגון‬ ‫מתקפות‬ .‫במטרה‬ ‫והפגיעה‬ ‫החדירה‬ ‫את‬ ‫להבטיח‬ ‫מנת‬ ‫על‬NotPeya‫ו‬-WannaCry‫שלא‬ ‫בפועל‬ ‫והדגימו‬ ‫הוכיחו‬
‫לעבוד‬ ‫יותר‬ ‫ניתן‬.‫זה‬ ‫מודל‬ ‫לפי‬
•‫שנת‬‫ה‬-Enterprise-cyber attack‫תקיפות‬‫הרס‬‫מוצלחות‬‫בהיקף‬‫נ‬‫ר‬‫חב‬‫על‬‫חברות‬‫גדולות‬
‫אחת‬‫הבולטות‬ ‫המגמות‬‫ב‬ ‫סייבר‬ ‫תקיפות‬ ‫המאפיינות‬-2017‫הינן‬‫תקיפות‬‫הרס‬‫משמעותיות‬‫חברות‬ ‫נגד‬‫גדולות‬
‫לאומיות‬ ‫רב‬ ‫וחברות‬.‫הרס‬ ‫תקיפות‬ ‫התבצעו‬ ‫שבה‬ ‫הראשונה‬ ‫השנה‬ ‫זוהי‬‫נרחב‬ ‫בהיקף‬.‫פרטיים‬ ‫וארגונים‬ ‫חברות‬ ‫מול‬
‫לעבוד‬ ‫חדלו‬ ‫ארגונים‬ ‫של‬ ‫ליבה‬ ‫ומערכות‬ ‫מחשבים‬ ‫אלפי‬ ‫עשרות‬‫השנה‬‫בעקבות‬‫סייבר‬ ‫תקיפות‬.‫של‬ ‫בגובה‬ ‫נזקים‬
‫סיכוני‬ ‫את‬ ‫העולם‬ ‫בכל‬ ‫חברות‬ ‫הנהלות‬ ‫של‬ ‫היום‬ ‫לסדר‬ ‫והעלו‬ ‫המחישו‬ ‫רבים‬ ‫השבתה‬ ‫וחודשי‬ ‫דולרים‬ ‫מליארדי‬
‫הסייבר‬
•‫ניצול‬‫שרשרת‬‫האספקה‬‫לביצוע‬‫תקיפות‬‫סייבר‬
‫בשנה‬‫האחרונה‬‫חלה‬‫עלייה‬‫ב‬ ‫משמעותית‬‫ה‬ ‫שיעור‬‫תקיפות‬‫המוצלחות‬‫ש‬‫התבצעו‬‫ניצול‬ ‫תוך‬‫שרשרת‬‫ה‬‫אספקה‬
‫לצורך‬‫חדירה‬‫ליעד‬‫המותקף‬‫התבצעו‬ ‫התקיפות‬ ‫לרוב‬ .‫עם‬ ‫בשילוב‬‫ניצול‬‫חולשות‬‫במערכות‬‫ההפעלה‬‫ובפרוטוקולי‬
‫התקשורת‬.
•‫ניצול‬‫מיידי‬‫של‬‫חולשות‬‫יום‬1
‫מגמה‬‫משמעותית‬‫נוספת‬‫נוגעת‬‫למהירות‬‫שבה‬‫תוקפים‬ ‫ידי‬ ‫על‬ ‫מנוצלים‬‫פרסומים‬‫בדבר‬‫חולשות‬0-Day‫או‬‫כלי‬
‫תקיפה‬‫חדשים‬.‫אירועי‬‫תקיפה‬‫רבים‬‫בשנת‬2017‫הראו‬‫כי‬‫בכדי‬‫שתוקף‬‫יצליח‬‫לממש‬‫פגיעה‬‫משמעותית‬‫בארגון‬,
‫הוא‬‫אינו‬‫צריך‬‫להשקיע‬‫זמן‬‫ומאמץ‬‫באיתור‬‫חולשות‬‫לא‬-‫מוכרות‬.‫כל‬‫שעליו‬‫לעשות‬‫הוא‬‫לעקוב‬‫אחר‬‫פרסומים‬‫בדבר‬
‫חולשות‬‫שהתגלו‬,‫ולנצל‬‫את‬‫פער‬‫הזמן‬‫שעובר‬‫מרגע‬‫פרסום‬‫החולשה‬‫ועד‬‫לעדכון‬‫ו‬ ‫האבטחה‬ ‫טלאי‬‫הגדרות‬
‫האבטחה‬‫בארגונים‬‫השונים‬)‫לעיתים‬‫מרגע‬ ‫וחודשים‬ ‫שבועות‬ ‫לוקח‬‫הפרסום‬‫החולשה‬ ‫של‬(‫ב‬‫פרק‬‫זמן‬‫זה‬.‫דוגמה‬
‫ל‬‫נ‬‫י‬‫צול‬‫חולשת‬1-Day‫כזו‬‫ראינו‬‫במתקפת‬WannaCry.
•‫פרוליפרציה‬–‫התפשטות‬‫שיתוף‬‫ושימוש‬‫מיידי‬‫בכלי‬‫תקיפה‬‫שפו‬‫רסמו‬‫ברשת‬‫באופן‬‫דומה‬‫יום‬ ‫חולשות‬ ‫לניצול‬
1,‫ישנה‬‫פרוליפרציה‬‫של‬‫כלי‬‫תקיפה‬,‫כפי‬‫שלמשל‬‫אירע‬‫כאשר‬‫זמן‬‫קצר‬‫לאחר‬‫פרסום‬‫כלי‬‫התקיפה‬‫של‬‫ה‬-NSA,
‫זוהה‬‫שימוש‬‫בהם‬‫ע‬‫ידי‬ ‫ל‬‫קבוצות‬‫מצפון‬-‫קוריאה‬‫סין‬ ,‫רוסיה‬ ,.‫נוספות‬ ‫ומדינות‬

3. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬3‫מתוך‬71
•‫המגזר‬‫הפיננסי‬)‫בנקים‬(‫הפכו‬‫מטרה‬‫מרכזית‬‫לתוקפים‬‫מיומנים‬)‫הן‬‫גורמי‬‫פשיעה‬‫והן‬‫תוקפים‬‫מדינתיים‬(
‫ה‬ ‫כמו‬ ‫בנקאיות‬ ‫ליבה‬ ‫מערכות‬-SWIFT‫ה‬ ‫ומערכות‬ATM‫המטרה‬ .‫סייבר‬ ‫לתוקפי‬ ‫מועדף‬ ‫ליעד‬ ‫להיות‬ ‫הפכו‬–‫גניבה‬
‫העיקריים‬ ‫המותקפים‬ .‫דולרים‬ ‫מליוני‬ ‫מאות‬ ‫של‬–‫הרחוק‬ ‫ובמזרח‬ ‫אירופה‬ ‫במזרח‬ ‫בנקים‬
•‫בורסות‬‫וארנקי‬‫מטבעות‬‫קריפטוגרפיים‬‫הפכו‬‫גם‬‫הם‬‫ליעד‬‫מרכזי‬‫לתקיפות‬‫פשיעת‬‫סייבר‬
‫גדל‬ ‫הסייבר‬ ‫ופושעי‬ ‫ההאקרים‬ ‫של‬ ‫העניין‬ ‫גם‬ ‫כך‬ ,‫גדל‬ ‫הקריפטוגרפיים‬ ‫המטבעות‬ ‫של‬ ‫והפרסום‬ ‫שהשימוש‬ ‫ככל‬
.‫זו‬ ‫בסביבה‬ ‫דולרים‬ ‫מליוני‬ ‫למאות‬ ‫עשרות‬ ‫בין‬ ‫נגנבו‬ ‫השנה‬ .‫בהתאם‬
‫השחקנים‬‫הבולטים‬‫בשנת‬2017‫במרחב‬‫הסייבר‬
‫בשנת‬ ‫להערכתנו‬ ‫בהמשך‬2016,‫ה‬‫ב‬ ‫סייבר‬ ‫תקיפות‬ ‫בביצוע‬ ‫ביותר‬ ‫הבולטים‬ ‫שחקנים‬2017‫הם‬‫רוסים‬ ‫תוקפים‬‫המשויכים‬
:‫קטגוריות‬ ‫לשתי‬
1.‫תחת‬ ‫המסווגות‬ ‫תקיפות‬‫מדינתית‬ ‫סייבר‬ ‫לוחמת‬‫של‬‫כמו‬ ‫קבוצות‬APT28‫אוקראינה‬ ‫נגד‬ ‫היו‬ ‫בהן‬ ‫שהמפורסמות‬
‫וארה"ב‬.‫הממשל‬‫הרוסי‬‫ה‬‫משיך‬‫לה‬‫שתמש‬‫השנה‬‫באופן‬‫גלוי‬‫ובוטה‬‫בנשק‬‫הסייבר‬‫כנשק‬‫זמין‬‫החל‬‫בתקיפות‬
‫שבוצעו‬‫על‬‫אוקראינה‬‫וכלה‬‫בניסיונות‬‫ההשפעה‬‫על‬‫הבחירות‬‫במספר‬‫מדינות‬‫במטרה‬‫ל‬‫ערער‬‫את‬‫הסטטוס‬‫קוו‬
‫הג‬‫י‬‫או‬-‫פוליטי‬‫העולמי‬.
2.‫של‬ ‫תקיפות‬‫סייבר‬ ‫פשיעת‬ ‫קבוצות‬‫קבוצת‬ ‫הן‬ ‫בהם‬ ‫כשהבולטות‬Carbanak‫מערכי‬ ‫תקפו‬ ‫אשר‬Swift‫ו‬-ATM.
‫ל‬ ‫בהתאם‬‫ה‬‫בסוף‬ ‫ערכתנו‬2016,‫הגדולות‬ ‫הרוסיות‬ ‫הפשיעה‬ ‫קבוצות‬)‫כגון‬(Carbanak,‫נכון‬‫דצמבר‬ ‫לתחילת‬,‫פעלו‬ ‫לא‬
‫ממוקד‬ ‫באופן‬‫ב‬ ‫בישראל‬ ‫חברות‬ ‫נגד‬‫מהלך‬2017.
‫ה‬‫תקיפות‬‫המשמעותיות‬‫ביותר‬‫במהלך‬2017
1.Petya/NotPetya–‫מתקפת‬‫סייבר‬‫הרסנית‬‫כנגד‬‫אוקראינה‬:‫ב‬‫סוף‬‫יוני‬2017‫בוצעה‬‫אחת‬‫מהמתקפות‬
‫ההרסניות‬‫ביותר‬‫על‬‫מערכות‬‫מחשב‬‫בארגונים‬‫וחברות‬‫שמרביתם‬‫באוקראינה‬.‫התקיפה‬‫בוצעה‬‫ככל‬‫הנראה‬‫על‬‫ידי‬
‫יחידות‬‫תקיפה‬‫רוסיות‬‫ומטרתה‬‫הייתה‬‫גרימת‬‫נזק‬‫נרחב‬‫לחברות‬‫ולארגונים‬‫באוקראינה‬‫עימה‬ ‫הסוחרים‬ ‫או‬ ,.‫נכון‬
‫לדצמבר‬2017‫הגדו‬ ‫הכלכלי‬ ‫לנזק‬ ‫שגרמה‬ ‫הסייבר‬ ‫במתקפת‬ ‫מדובר‬‫הנזק‬ .‫יחידה‬ ‫לתקיפה‬ ‫מעולם‬ ‫שנרשם‬ ‫ביותר‬ ‫ל‬
‫כ‬ ‫על‬ ‫עומד‬ ‫הנפגעות‬ ‫החברות‬ ‫דיווחי‬ ‫לפי‬ ‫הישיר‬1.2.‫דולר‬ ‫מליארד‬‫שהתבצעה‬ ‫ביותר‬ ‫המשמעותית‬ ‫היא‬ ‫זו‬ ‫מתקפה‬
.‫השנה‬
2.‫אירועי‬‫ההרס‬ ‫נוזקת‬WannaCry:‫קמפיין‬‫נוזקת‬‫כופר‬/‫הרס‬‫עולמי‬‫בהיקף‬‫נרחב‬.‫למעלה‬‫מ‬-230,000‫אלף‬
‫מחשבים‬‫ונהרסו‬ ‫נפגעו‬‫ובלמעלה‬‫מ‬-150‫מדינות‬‫בתוך‬‫יממה‬.‫המתקפה‬ ‫מתחילת‬
3.‫הפריצה‬‫האמריקאית‬ ‫הדירוג‬ ‫לחברת‬Equifax:‫החברה‬‫הודיעה‬‫ספטמבר‬ ‫בתחילת‬‫כי‬‫היא‬‫נפגעה‬‫מתקיפת‬‫סייבר‬
‫אשר‬‫תוצאתה‬‫גניבת‬‫מידע‬‫רגיש‬‫של‬‫כ‬-143‫מיליון‬‫אזרחים‬‫וחברות‬.‫מרבית‬‫המידע‬‫שנגנב‬‫הוא‬‫של‬‫אזרחי‬
‫ארה‬"‫ב‬,‫קנדה‬‫ובריטניה‬.‫חברת‬Equifax‫הינה‬‫אחת‬‫משלושת‬‫החברות‬‫הדירוג‬‫האשראי‬‫הגדולות‬‫בארה‬"‫ב‬‫עם‬
‫שלוחות‬‫רבות‬‫ברחבי‬‫העולם‬.‫החברה‬‫מנהלת‬‫מאגרי‬‫מידע‬‫רגישים‬‫הכוללים‬‫דירוג‬‫אשראי‬‫של‬‫כ‬-800‫מיליון‬
‫אזרחים‬‫וחברות‬.
4.‫הדלפ‬‫ו‬‫ת‬‫ופרסום‬‫כלי‬‫תקיפה‬‫של‬‫ה‬–:NSA‫הדלפת‬‫חולשות‬‫יום‬‫אפס‬‫ו‬‫כלי‬‫תקיפה‬‫של‬‫סוכנות‬‫הביון‬,‫הוביל‬‫לפיתוח‬
‫וקטורים‬‫מבעבר‬ ‫ומתוחכמים‬ ‫חדשים‬ ‫תקיפה‬ ‫וכלי‬.‫ההדלפות‬‫מתבצעות‬‫על‬‫ידי‬‫תוקפים‬‫מסוגים‬‫שונים‬)‫מפגינים‬,
‫הקטיביסטים‬,‫פושעים‬‫למטרות‬‫סחיטה‬‫ומדינות‬‫וארגוני‬‫טרור‬‫לצורך‬‫פגיעה‬‫בגופים‬‫המותקפים‬(.
5.‫ניסיונות‬‫התערבות‬‫של‬‫הרוסים‬‫במערכת‬‫הבחירות‬‫בארה‬"‫ב‬‫ובמדינות‬‫אחרות‬,‫כולל‬‫ב‬-Brexit:‫הפצת‬‫מידע‬
,‫כוזב‬ ‫או‬ ‫רגיש‬‫וחבלה‬‫בתהליכים‬‫דמוקרטיים‬.‫שימוש‬‫כגון‬ ‫שונות‬ ‫חברתיות‬ ‫בפלטפורמות‬‫פייסבוק‬‫וטוויטר‬‫לצורך‬
‫עירעור‬‫הססטוס‬-‫קוו‬‫הפוליטי‬‫של‬‫מדינות‬‫מערביות‬‫ופרו‬-‫מערביות‬.
‫ו‬‫ביותר‬ ‫המשמעותיים‬ ‫התקיפה‬ ‫קטורי‬‫בשנת‬2017
1.:‫האספקה‬ ‫שרשרת‬ ‫ניצול‬ ‫באמצעות‬ ‫תקיפת‬‫חברה‬ ‫על‬ ‫תקיפה‬ ‫לבצע‬ ‫במטרה‬ ‫שלישי‬ ‫צד‬ ‫שירות‬ ‫לספק‬ ‫חדירה‬
‫מוצריה‬ ‫או‬ ‫בשירותיה‬ ‫המשתמשת‬.,‫לדוגמא‬‫ב‬ ‫ביותר‬ ‫ההרסני‬ ‫בקמפיין‬-2017)NotPetya‫בווקטור‬ ‫שימוש‬ ‫נעשה‬ (

4. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬4‫מתוך‬71
‫ואיר‬ ‫חברות‬ ‫אלפי‬ ‫לאלפי‬ ‫נוזקה‬ ‫הופצה‬ ‫ודרכו‬ ‫נפרץ‬ ‫חשבונות‬ ‫הנהלת‬ ‫תוכנת‬ ‫ספק‬ ‫כאשר‬ ‫זה‬‫)חלקם‬ ‫גונים‬
.‫באוקראינה‬ (‫ממשלתיים‬
2.‫מובנות‬ ‫בחולשות‬ ‫שימוש‬:‫תקשורת‬ ‫ופרוטוקולי‬ ‫הפעלה‬ ‫במערכות‬‫ניצול‬ ‫ידי‬ ‫על‬ ‫ואירגונים‬ ‫לחברות‬ ‫פריצה‬
‫חולשות‬‫מובנות‬‫במערכות‬‫הפעלה‬‫ופרוטוקולי‬‫תקשורת‬.‫סדרת‬ ‫בשל‬ ‫היתר‬ ‫בין‬ ‫השנה‬ ‫גדל‬ ‫זה‬ ‫וקטור‬‫הדלפ‬‫ות‬‫כלי‬
‫תקיפה‬‫מדינתיים‬Vault7‫שב‬ ‫לאחר‬ ‫גדל‬ ‫זה‬ ‫איום‬ .-9‫של‬ ‫המקור‬ ‫קוד‬ ‫הודלף‬ ‫בנובמבר‬HIVE‫השליטה‬ ‫מערכת‬ ,
‫ה‬ ‫נוזקות‬ ‫של‬ ‫ובקרה‬-CIA.
3.‫תקיפות‬‫סחיטה‬‫באמצעות‬‫נוזקות‬‫כופר‬Ransomeware:‫מהלך‬2017‫נפגעו‬‫מתקיפות‬‫סחיטת‬‫כופר‬‫ממוקדות‬ ‫לא‬
‫מאות‬‫אלפי‬‫עסקים‬,‫ארגונים‬‫ציבוריים‬/‫ממשלתיים‬‫ואזרחים‬.
4.‫תרמית‬‫היו‬"‫ר‬)BEC – Business Email Compromise(-‫תקיפות‬‫מבוססות‬‫התחזות‬‫לבכירים‬:‫על‬‫פי‬‫דוח‬‫שפרסם‬
‫ה‬-FBI‫חברות‬‫בארצות‬‫הברית‬‫הפסידו‬‫למעלה‬‫מחמישה‬‫מיליארד‬‫דולר‬‫בתקיפות‬‫אלה‬‫במהלך‬‫השנתיים‬
‫האחרונות‬.‫תרמית‬‫זו‬‫הינה‬‫פשוטה‬‫יחסית‬‫לביצוע‬‫ובמהלכה‬‫התוקף‬‫מתחזה‬‫לאיש‬‫הנהלה‬‫ומבקש‬‫מהמותקף‬
‫להעביר‬‫לו‬‫מיידית‬‫ובחשאי‬‫כסף‬.
5.‫תקיפת‬DDOS‫חלקן‬ ,‫נרחבות‬‫באמצעות‬‫מכשירים‬‫חכמים‬)IOT(:‫השנה‬‫ראינו‬‫גידול‬‫משמעותי‬‫ב‬‫תדירות‬
‫מתקפות‬DDoS‫כנגד‬‫גורמים‬‫רבים‬‫ברחבי‬‫העולם‬1
.‫מתחילת‬ ,‫לראייה‬2017‫מתקפות‬DDoS‫ב‬ ‫עלו‬-91%.‫גידול‬
‫זה‬‫נובע‬‫בין‬‫היתר‬‫מהצמיחה‬‫המשמעותית‬‫של‬‫שוק‬‫המכשירים‬"‫החכמים‬"‫המחוברים‬‫לאינטרנט‬)IOT – Internet
of Things(‫שירותי‬ ‫התבססות‬ ‫מגמת‬ ‫והמשך‬ ,DDoS-for-hire‫לפועל‬ ‫להוציא‬ ‫זדוני‬ ‫גורם‬ ‫לכול‬ ‫מאפשרים‬ ‫אשר‬ ,
.‫משמעותיות‬ ‫שירות‬ ‫מניעת‬ ‫מתקפות‬
‫תחזי‬‫ל‬ ‫ת‬‫שנת‬2018
1.‫הרחבת‬‫ניצול‬‫שרשרת‬‫אספקה‬‫וניצול‬‫חולשות‬‫פנימיות‬‫בארגוני‬:‫ם‬‫התקיפות‬‫הגדולות‬‫השנה‬ ‫התרחשו‬ ‫אשר‬
‫ה‬‫דגימו‬‫לכלל‬‫הפועלות‬ ‫התקיפות‬ ‫קבוצות‬‫כיום‬‫ו‬ ‫שכדאי‬ ‫הסייבר‬ ‫במרחב‬‫ניתן‬‫ל‬‫הגדיל‬‫משמעותי‬‫היקף‬ ‫את‬ ‫הן‬ ‫ת‬
‫ההצלחה‬ ‫אחוזי‬ ‫את‬ ‫והן‬ ,‫המטרות‬‫זה‬ ‫תקיפה‬ ‫וקטור‬ ‫ניצול‬ ‫ידי‬ ‫על‬ ‫בתקיפות‬.‫זה‬ ‫וקטור‬ ‫להערכתנו‬ ,‫כן‬ ‫על‬‫"ינוצל‬
‫ב‬ "‫היטב‬.‫הבאה‬ ‫שנה‬
2.‫התק‬ ‫בנסיונות‬ ‫גידול‬‫של‬ ‫יפה‬‫גופים‬‫פיננסיי‬:‫ם‬‫ב‬‫מהלך‬2016-2017‫התרחשו‬‫תקיפות‬‫מערכות‬ ‫כנגד‬ ‫רבות‬
‫סוויפט‬,ATM‫ומערכות‬‫הליבה‬‫של‬‫הבנקים‬/‫הנהלת‬‫חשבונות‬.‫מגמה‬‫זו‬‫צפויה‬‫להתגבר‬‫בשנת‬2018,‫לצד‬‫תקיפות‬
‫חדשות‬‫על‬‫מערכות‬‫ליבה‬‫בנקאיות‬‫נוספות‬.
3.‫תקיפ‬ ‫כלי‬ ‫של‬ ‫פרוליפרציה‬:‫ה‬‫במהלך‬2017‫כי‬ ‫ראינו‬‫הזמן‬ ‫פרק‬‫ברחבי‬ ‫להשמשתו‬ ‫ועד‬ ‫תקיפה‬ ‫כלי‬ ‫פרסום‬ ‫מרגע‬
‫ומתקצר‬ ‫הולך‬ ‫העולם‬.‫ראינו‬ ,‫ועוד‬ ‫זאת‬‫מבעבר‬ ‫רבים‬ ‫גורמים‬ ‫בקרב‬ ‫והפצתם‬ ‫פיתוחם‬ ‫המשך‬‫כגון‬ ,‫שימוש‬‫בכלים‬
‫ה‬ ‫של‬-NSA‫בידי‬‫הצפון‬-‫קוריאנים‬‫והרוסים‬.‫מגמה‬‫זו‬‫בשנת‬ ‫גם‬ ‫להמשיך‬ ‫צפויה‬2018.
4.‫ה‬ ‫החלת‬ ‫בעקבות‬ ‫מידע‬ ‫לדליפות‬ ‫המודעות‬ ‫העלאת‬-GDPR:‫ב‬-25‫במאי‬2018‫חוק‬ ‫באירופה‬ ‫לתוקף‬ ‫יכנס‬
) ‫נתונים‬ ‫על‬ ‫כללית‬ ‫להגנה‬ ‫הרגולציה‬General Data Protection Regulation – GDPR‫החוק‬ ‫של‬ ‫המשמעויות‬ ‫אחת‬ .(
‫בתוך‬ ‫שלו‬ ‫הנתונים‬ ‫למאגר‬ ‫פריצה‬ ‫על‬ ‫לדווח‬ ‫יצטרך‬ ‫ארגון‬ ‫שכל‬ ‫היא‬72.‫כבדים‬ ‫קנסות‬ ‫עליו‬ ‫יוטלו‬ ‫אחרת‬ ,‫שעות‬
‫לה‬ ‫שסביר‬ ‫אף‬ ‫ועל‬ ,‫זאת‬ ‫לאור‬‫לראות‬ ‫צפויים‬ ‫אנו‬ ,‫החדשות‬ ‫להנחיות‬ ‫במהירות‬ ‫להסתגל‬ ‫יתקשו‬ ‫רבים‬ ‫שארגונים‬ ‫ניח‬
.‫אירופאיים‬ ‫אתרים‬ ‫של‬ ‫המידע‬ ‫ולמאגרי‬ ‫נתונים‬ ‫לבסיסי‬ ‫פריצות‬ ‫לגבי‬ ‫ובדיווחים‬ ‫בשקיפות‬ ‫עלייה‬
5.‫באשר‬‫לישרא‬:‫ל‬‫אנו‬ ‫להערכתנו‬‫צפויים‬‫לראות‬‫התחזקות‬‫בפעילות‬‫של‬‫גורמי‬‫פשיעה‬‫בין‬-‫לאומיים‬‫בתוך‬‫המרחב‬
‫הקיברנטי‬‫הישראלי‬,‫לצד‬‫כניסת‬‫גורמי‬‫פשיעה‬‫חדשים‬.‫נוספים‬ ‫וקטורים‬ ‫של‬ ‫אימוץ‬ ‫לראות‬ ‫צופים‬ ‫גם‬ ‫אנו‬ ,‫זאת‬ ‫לצד‬
‫של‬ ‫מאלו‬ ‫משמעותי‬ ‫באופן‬ ‫נמוכה‬ ‫מבצעית‬ ‫ביכולת‬ ‫כי‬ ‫אם‬ ,‫ישראל‬ ‫כנגד‬ ‫פועלים‬ ‫אשר‬ ‫מדינתיים‬ ‫תקיפה‬ ‫גורמים‬ ‫בידי‬
.‫הפשיעה‬ ‫גורמי‬
1
https://www.infosecurity-magazine.com/news/ddos-attacks-nearly-double-since/

5. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬5‫מתוך‬71
‫ל‬ ‫המלצות‬‫שנת‬2018
1.‫ה‬ ‫חיזוק‬‫השקעה‬‫באבטחה‬‫התוך‬-‫ארגונית‬:‫היבריד‬ ‫תקיפה‬ ‫וקטורי‬ ‫של‬ ‫הנוכחית‬ ‫ההתפתחות‬ ‫עם‬‫י‬‫ניתן‬ ‫לא‬ ‫כבר‬ ‫ים‬
‫לתעדף‬‫את‬ ‫רק‬‫אבטחה‬ ‫שכבת‬‫החיצונית‬‫כן‬ ‫על‬ .‫אבטחה‬ ‫למודל‬ ‫לעבור‬ ‫יש‬‫יותר‬‫באופן‬ ‫להתמודד‬ ‫יכול‬ ‫אשר‬ ‫הוליסטי‬
‫האחרונות‬ ‫בשנתיים‬ ‫ראינו‬ ‫אותם‬ ‫התקיפה‬ ‫טכניקות‬ ‫של‬ ‫המואצת‬ ‫האבולוציה‬ ‫כנגד‬ ‫אפקטיבי‬.
2.‫רשת‬ ‫הפרדת‬ ‫ביצוע‬‫מהאינטרנט‬ ‫ליבה‬ ‫מערכות‬ ‫של‬ ‫וניתוק‬ ‫ות‬
3.‫סייבר‬ ‫מתקיפת‬ ‫חודשים‬ ‫שלושה‬ ‫עד‬ ‫כחודש‬ ‫של‬ ‫זמן‬ ‫פרק‬ ‫לשרוד‬ ‫לחברה‬ ‫לאפשר‬ ‫שיוכל‬ ‫חירום‬ ‫מערך‬ ‫הקמת‬
‫הרסנית‬
4.‫צמצום‬‫פערי‬‫הזמן‬‫בין‬‫של‬ ‫הביצוע‬ ‫לזמן‬ ‫אבטחה‬ ‫טלאי‬ ‫של‬ ‫הפרסום‬‫עדכו‬‫ני‬‫טלאי‬‫אבטחה‬‫בפוע‬:‫ל‬‫ממליצים‬ ‫אנו‬
‫מדיניות‬ ‫ליישם‬ ‫ניתן‬ ‫כיצד‬ ‫לבחון‬‫אבטחה‬ ‫עדכוני‬ ‫התקנת‬‫של‬ ‫השוטפת‬ ‫בפעילות‬ ‫שבפגיעה‬ ‫הסיכון‬ ‫למרות‬ ,‫מהירים‬
‫הארגון‬‫זמנים‬ ‫טווח‬ ‫להגדיר‬ ‫מומלץ‬ ‫לדוגמא‬ .‫ר‬‫י‬.‫בארגון‬ ‫הרלוונטים‬ ‫הגורמים‬ ‫כול‬ ‫על‬ ‫ומוסכם‬ ‫ברור‬ ‫אך‬ ‫אלי‬
5.‫העלאת‬‫מודעות‬‫עובדים‬‫לווקטורי‬‫תקיפה‬‫חדש‬‫ים‬:‫וקמפיינים‬ ‫שונות‬ ‫חברתית‬ ‫הנדסה‬ ‫טכניקות‬ ‫על‬ ‫דגש‬
.‫משמעותיים‬
‫שנת‬‫סייבר‬‫מצוינת‬,
‫הסייבר‬ ‫מודיעין‬ ‫צוות‬

6. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬6‫מתוך‬71
‫ת‬‫ו‬‫כן‬‫עניינים‬
‫מגמות‬‫עיקריות‬‫בשנת‬2017‫במרחב‬‫הסייבר‬2
‫השחקנים‬‫הבולטים‬‫בשנת‬2017‫במרחב‬‫הסייבר‬3
‫התקיפות‬‫המשמעותיות‬‫ביותר‬‫במהלך‬20173
‫וקטורי‬‫התקיפה‬‫המשמעותיים‬‫ביותר‬‫בשנת‬20173
‫תחזית‬‫לשנת‬20184
‫המלצות‬‫לשנת‬20185
‫תוכן‬‫עניינים‬6
‫מגמות‬‫ותקיפות‬‫בולטות‬‫בעולם‬20179
‫מגמות‬‫עיקריות‬‫בשנת‬2017...............................................................................................................................9
‫כלי‬‫תקיפה‬‫עיקריים‬‫בשנת‬2017.........................................................................................................................9
‫טבלת‬‫סיכום‬‫אירועי‬‫הסייבר‬2017,‫כולל‬‫וקטור‬‫התקיפה‬‫והיקף‬‫הנזק‬......................................................................11
‫מגמות‬‫בפעילויות‬‫זדוניות‬‫בשנת‬2017...............................................................................................................13
‫המערכות‬‫המותקפות‬‫ביותר‬‫במהלך‬‫שנת‬201713
‫משפחות‬‫נוזקות‬‫הכופר‬‫הנפוצות‬‫ביותר‬‫בשנת‬201713
‫נוזקות‬‫סלולריות‬–‫מגמות‬‫בשנת‬201713
‫מתקפות‬DDOS14
‫המתקפות‬‫הגדולות‬‫ביותר‬‫בשנת‬201715
‫מתקפת‬‫סייבר‬‫הרסנית‬PETYA/NOTPETYA...........................................................................................................15
‫תחקור‬‫האירוע‬16
‫משמעויות‬17
‫פריצה‬‫לספק‬‫תוכנת‬‫הנהלת‬‫חשבון‬‫אוקראיני‬‫נוסף‬17
‫אירוע‬‫נוזקת‬‫ההרס‬WANNACRY.........................................................................................................................17
‫תובנות‬18
‫ממצאים‬‫נוספים‬‫מחזקים‬‫את‬‫הסברה‬‫כי‬‫צפון‬‫קוריאה‬‫עומדת‬‫מאחורי‬WANNACRY19
‫מעקב‬‫אחר‬‫הדיונים‬‫אודות‬‫ה‬-WANNACRY‫בקהילת‬‫ה‬-CYBERCRIME‫הרוסית‬20
‫הפריצה‬‫לחברת‬‫דירוג‬‫האשראי‬‫האמריקנית‬EQUIFAX...........................................................................................20
‫מה‬‫נגנב‬‫ממערכות‬‫המידע‬‫של‬‫החברה‬21
‫מיהם‬‫התוקפים‬21
‫ניסיונות‬‫התחזות‬‫לתוקפים‬‫לאחר‬‫פרסום‬‫הידיעה‬‫הפומבית‬21
‫ביצוע‬‫החקירה‬21
‫רגישות‬‫המידע‬‫שנגנב‬22
‫מהם‬‫דרכי‬‫ה‬‫פעולה‬‫האפשריות‬‫של‬‫התוקפים‬22
‫לוח‬‫זמנים‬‫של‬‫הפריצה‬22
‫לוח‬‫הזמנים‬‫ווקטור‬‫התקיפה‬22
‫וקטו‬‫ר‬‫התקיפה‬22
‫טיפול‬‫החברה‬‫באזרחים‬‫ובחברות‬‫שייתכן‬‫ונפגעו‬‫בפריצה‬23
‫תובנות‬‫מהפריצה‬24

7. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬7‫מתוך‬71
‫שיחזור‬‫פעילות‬‫התוקפים‬24
PARADISE PAPERS–‫הדלפת‬‫מסמכים‬‫חושפת‬‫העלמות‬‫מס‬‫בהיקף‬‫של‬‫טריליוני‬‫דולרים‬................................................25
‫ווקטור‬‫התקיפה‬25
‫קשר‬‫לישראל‬25
‫השתלשלות‬‫האירועים‬25
‫גורמים‬‫אשר‬‫נחשפו‬26
‫מתקפות‬‫נוזקות‬‫כופר‬‫משמעותיות‬....................................................................................................................26
‫מתקפת‬RANSOMWARE‫שיתקה‬‫כ‬-70%‫ממצלמות‬‫האבטחה‬‫במעגל‬‫סגור‬‫של‬‫משטרת‬‫וושינגטון‬26
‫חברת‬‫אירוח‬‫שרתים‬‫דרום‬‫קוריאנית‬‫שילמה‬‫מיליון‬‫דולר‬‫כופר‬‫לאחר‬‫הצפנת‬‫שרתיה‬‫בנוזקת‬‫כופר‬26
‫תקיפות‬‫נוזקות‬‫כופר‬‫כנגד‬‫בתי‬‫חולים‬‫ואירגונים‬‫רפואיים‬26
‫פעילות‬‫נוזקות‬‫כופר‬‫בישראל‬28
‫מת‬‫קפות‬‫נוזקת‬‫כופר‬‫מתחזות‬28
‫הדלפה‬‫של‬‫כלי‬‫תקיפה‬‫מדינתיים‬......................................................................................................................28
‫תקיפת‬‫המערכת‬‫הבנקאית‬SWIFT....................................................................................................................30
‫חש‬‫יפת‬‫הפעילות‬‫של‬‫צפון‬‫קוריאה‬‫מול‬‫מוסדות‬‫פיננסיים‬‫ברחבי‬‫העולם‬31
‫נסיון‬‫גניבה‬‫של‬60‫מיליון‬‫דולר‬‫מהבנק‬‫טאיווני‬FAR EASTERN‫באמצעות‬‫מערכת‬SWIFT-10.1732
‫גניבת‬4‫וחצי‬‫מליון‬‫דולר‬‫ממבנק‬‫נפאלי‬‫באמצעות‬‫פריצה‬‫לשרת‬SWIFT33
‫מתקפות‬BEC.................................................................................................................................................33
‫תרחישי‬BEC‫נפוצים‬33
‫תקיפת‬‫סייבר‬‫תודעתית‬-‫התערבות‬‫רוסיה‬‫במערכת‬‫הבחירות‬‫האמריקאית‬............................................................34
‫מתווה‬‫הפעילות‬35
‫מתקפות‬‫נוזקות‬‫הרס‬‫כנגד‬‫ערב‬‫הסעודית‬..........................................................................................................35
‫השבתת‬‫שווקים‬‫מרכזיים‬‫בדארקנט‬..................................................................................................................37
‫שני‬‫השווקים‬‫הגדולים‬‫ביותר‬‫בדארקנט‬‫הושבתו‬‫במבצע‬‫בינלאומי‬‫משותף‬‫של‬‫היורופול‬‫וה‬-FBI37
‫התנהלות‬‫חשודה‬‫בשוק‬‫דארקנט‬‫מרכזי‬‫והשבתת‬‫שוק‬‫מרכזי‬‫אחר‬‫בידי‬‫השלטונות‬‫הרוסים‬38
‫מרבית‬‫השווקים‬‫הגדולים‬‫ב‬-DARKNET‫נפלו‬,‫חשד‬‫למבצע‬‫נוסף‬‫של‬‫רשויות‬‫החוק‬38
‫פלטפורמת‬‫המטבעות‬‫הדיגיטליים‬ENIGMA‫נפרצה‬‫וכחצי‬‫מיליון‬‫דולר‬‫במטבעות‬ETHERIUM‫נגנבו‬‫ממשתמשים‬.............39
‫תקיפות‬‫קבוצת‬‫התקיפה‬‫הרוסית‬DRAGONFLY‫נגד‬‫ארגוני‬‫תשתית‬..........................................................................39
SHADOWPAD-‫תקיפה‬‫סינית‬‫על‬‫בנקים‬‫ותשתיות‬‫קריטיות‬‫באמצעות‬‫הפצת‬‫עדכון‬‫נושא‬‫נוזקה‬‫לתוכנת‬NETSARANG.......40
‫דליפה‬‫של‬‫מאגר‬‫רישיונות‬‫הנהיגה‬‫של‬‫שבדיה‬‫בשנת‬2015...................................................................................40
‫מתקפות‬‫המבוססת‬‫על‬‫גישה‬‫ל‬-OUTLOOK WEB ACCESS‫בעיקר‬‫בסביבת‬OFFICE 365..................................................41
‫פריצה‬‫לחברת‬‫דלויט‬.......................................................................................................................................41
‫מתקפות‬‫סייבר‬‫בישראל‬‫בשנת‬201742
‫תקיפות‬‫אירניות‬‫נרחבות‬‫מול‬‫גורמים‬‫בישראל‬.....................................................................................................42
‫ינואר‬01.1742
‫פברואר‬02.1743
‫מרץ‬03.1743
‫אפריל‬04.1743
‫מאי‬05.1743
‫יוני‬06.1744
‫יולי‬07.1744
‫אוגוסט‬08.1744
‫ספטמבר‬09.1745

8. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬8‫מתוך‬71
‫אוקטובר‬10.1746
‫נובמבר‬11.1747
‫טבלת‬‫סיכום‬‫תקיפות‬‫קבוצת‬OILRIG‫האיראנית‬‫נגד‬‫חברות‬IT‫ישראליות‬48
‫עשרות‬‫אלפי‬‫מיילים‬‫המכילים‬‫נוזקות‬LOCKY‫ו‬TRICKBOT -‫נשלחו‬‫למספר‬‫ארגונים‬‫בישראל‬..........................................49
‫האקר‬‫ערבי‬‫פורץ‬‫ומשבית‬‫חשבונות‬‫אינסטגרם‬‫פופולריים‬‫ישראליים‬......................................................................49
‫האקטיביסטים‬‫טורקים‬‫השחיתו‬‫שני‬‫אתרי‬‫חדשות‬‫ישראליים‬‫לרגל‬‫ציון‬100‫שנים‬‫להצהרת‬‫בלפור‬‫ותמיכה‬‫בעזה‬..........50
‫שימוש‬‫בפרופילי‬‫פייסבוק‬‫מזוייפים‬‫ליצירת‬‫קשר‬‫עם‬‫חיילי‬‫צה‬"‫ל‬‫על‬‫מנת‬‫להשתלט‬‫על‬‫מכשיר‬‫הסלולר‬‫שלהם‬...............54
‫סקירה‬‫של‬‫הפרופילים‬‫המזוייפים‬‫וחנות‬‫האפליקציות‬54
‫מתקפות‬BEC‫נגד‬‫חברות‬‫ישראליות‬..................................................................................................................57
‫מקרה‬‫ראשון‬-‫במבצע‬‫משותף‬‫של‬‫משטרת‬‫ישראל‬‫וארגוני‬‫משטרה‬‫בינלאומיים‬‫נלכדה‬‫כנופיית‬‫פשע‬‫ישראלית‬‫שהתמחתה‬
‫בביצוע‬‫הונאות‬BEC)‫תיק‬278(57
‫מקרה‬‫שני‬–‫סיכול‬‫הונאת‬BEC‫בחברה‬‫ישראלית‬57
‫מקרה‬‫שלישי‬–‫המשך‬‫ניסיונות‬‫הונאה‬‫ממוקדים‬‫באמצעות‬‫התחזות‬‫לבכירים‬‫בחברות‬‫ישראליות‬58
2017OPISRAEL–‫כישלון‬‫ההקטיביסטים‬.............................................................................................................59
‫תובנות‬‫תפעוליות‬‫מהמבצע‬59
‫פריצות‬‫והדלפות‬‫משמעותיות‬‫מאתרים‬‫ישראלים‬59
‫השחתות‬‫אתרים‬60
‫מתקפות‬DDOS60
‫קבוצות‬‫וגורמים‬‫בולטים‬‫שהשתתפו‬‫ב‬-OPISRAEL60
‫פעילות‬‫של‬‫האקרים‬‫ישראלים‬61
‫נסיונות‬‫חידוש‬‫קמפיין‬OPISRAEL#‫תחת‬‫מבצע‬OPISRAELFREEJULY61
‫לוח‬‫זמנים‬–‫פרוט‬‫אירועים‬‫ותקיפות‬201763

9. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬9‫מתוך‬71
‫מ‬‫גמות‬‫ותקיפות‬‫בולטות‬‫בעולם‬2017
‫עיקריות‬ ‫מגמות‬‫בשנת‬2017
‫מגמות‬‫והערות‬ ‫תיאור‬
‫האפקטיביות‬ ‫איבוד‬
‫האבטחה‬ ‫מודל‬ ‫של‬
–"EggShell
Security"
‫האחרונות‬ ‫בשנים‬ ‫השקיעו‬ ‫רבים‬ ‫ארגונים‬‫ההגנה‬ ‫מעטפת‬ ‫בהקשחת‬ ‫רבים‬ ‫מאמצים‬‫החיצוניות‬
‫שלה‬‫ם‬,‫של‬ ‫מוקשח‬ ‫מערך‬ ‫בהקמת‬ ‫ההשקעה‬ ‫את‬ ‫והזניחו‬‫אבטחה‬‫פנים‬-‫זה‬ ‫האיזון‬ ‫חוסר‬ .‫ארגונית‬
‫הגובר‬ ‫השימוש‬ ,‫לדוגמא‬ .‫זדוניים‬ ‫גורמים‬ ‫בידי‬ ‫שונות‬ ‫בדרכים‬ ‫מנוצל‬‫ב‬‫היברידי‬ ‫תקיפה‬ ‫וקטורי‬‫י‬‫ם‬
‫ולא‬ ,‫הארגון‬ ‫לתוך‬ ‫לחדור‬ ‫התוקף‬ ‫סיכויי‬ ‫את‬ ‫מגבירים‬ ‫אשר‬‫ולפעול‬ ‫רוחבית‬ ‫לנוע‬ ‫מכן‬ ‫חר‬‫בו‬‫בקלות‬
‫יחסית‬.
‫של‬ ‫גובר‬ ‫ניצול‬
‫האספקה‬ ‫שרשרת‬
‫תקיפת‬ ‫לצורת‬
‫שונות‬ ‫מטרות‬
‫בקמפיין‬ .‫המותקפת‬ ‫החברה‬ ‫של‬ ‫ספק‬ ‫באמצעות‬ ‫חדירה‬NotPetya‫בתוכנה‬ ‫שימוש‬ ‫נעשה‬
‫ולגרום‬ ‫חברות‬ ‫באלפי‬ ‫נוזקה‬ ‫לשתול‬ ‫מנת‬ ‫על‬ ‫האוקראיני‬ ‫לממשל‬ ‫הכנסות‬ ‫על‬ ‫לדיווח‬ ‫לגיטימית‬
‫מוחלט‬ ‫להרס‬‫איראנית‬ ‫תוקפים‬ ‫קבוצת‬ ‫זיהינו‬ ‫בישראל‬ .‫חברות‬ ‫אותן‬ ‫של‬ ‫המחשוב‬ ‫מערכות‬ ‫של‬
‫ספקי‬ ‫באמצעות‬ ‫שחדרה‬IT.‫חברות‬ ‫מאותן‬ ‫שרות‬ ‫המקבלות‬ ‫חברות‬ ‫של‬ ‫גדול‬ ‫למספר‬
‫בחולשות‬ ‫שימוש‬
‫במערכות‬ ‫מובנות‬
‫ופרוטוקולי‬ ‫הפעלה‬
‫תקשורת‬
‫שנת‬ ‫של‬ ‫הראשונה‬ ‫במחצית‬ ‫ביותר‬ ‫ההרסניים‬ ‫הקמפיינים‬ ‫בשני‬2017)NotPetya‫ו‬-WanaCry(
‫אנו‬ .‫תקשורת‬ ‫ובפרוטוקולי‬ ‫מיקרוסופט‬ ‫של‬ ‫ההפעלה‬ ‫במערכות‬ ‫מובנות‬ ‫בחולשות‬ ‫שימוש‬ ‫נעשה‬
‫ה‬ ‫קבוצת‬ ‫ידי‬ ‫על‬ ‫שהודלפו‬ ‫בחולשות‬ ‫שימוש‬ ‫של‬ ‫מגמה‬ ‫המשך‬ ‫מזהים‬ShadowBrokers‫במחצית‬
‫תוקפים‬ ‫בספטמבר‬ ,‫כן‬ ‫כמו‬ .‫השנה‬ ‫של‬ ‫השנייה‬‫ניצל‬‫ו‬‫חולשה‬‫מס‬'CVE-2017-5638‫בפריצה‬
‫לחבר‬‫האשראי‬ ‫דירוג‬ ‫ת‬Equifax.
‫גובר‬ ‫שימוש‬
‫בוו‬‫תקיפה‬ ‫קטורי‬
‫היבריד‬‫י‬‫ים‬
‫שילוב‬‫של‬‫כגון‬ ‫תקיפה‬ ‫טכניקות‬ ‫מספר‬‫ניצול‬‫שרשרת‬‫האספקה‬‫יחד‬‫עם‬‫שימוש‬‫בחולשות‬‫השנה‬ .
‫מתקפות‬ ‫מבצעים‬ ‫תוקפים‬ ‫בהם‬ ‫אירועים‬ ‫של‬ ‫משמעותי‬ ‫גידול‬ ‫גם‬ ‫ראינו‬brute-force‫לניחוש‬
‫הרשאות‬RDP‫מכן‬ ‫ולאחר‬ ,‫הארגון‬ ‫למערכות‬ ‫חדירה‬ ‫לצורך‬‫הדביקו‬‫בנוזקות‬ ‫נוספות‬ ‫מערכות‬
‫וקטור‬ ‫כי‬ ‫לציין‬ ‫ראוי‬ .‫כופר‬‫זה‬ ‫תקיפה‬‫כמעט‬ ‫זוהה‬‫ר‬ ‫תמיד‬‫בתקיפות‬ ‫ק‬‫ואירגונים‬ ‫חברות‬ ‫נגד‬
.‫גדולים‬
‫כלי‬ ‫של‬ ‫פרוליפרציה‬
‫תקיפה‬
‫זו‬ ‫מגמה‬ .‫ומתקצר‬ ‫הולך‬ ‫העולם‬ ‫ברחבי‬ ‫להשמשתו‬ ‫ועד‬ ‫תקיפה‬ ‫כלי‬ ‫פרסום‬ ‫מרגע‬ ‫הזמן‬ ‫פרק‬‫צפויה‬
‫בשנת‬ ‫גם‬ ‫להמשיך‬2018‫הצפון‬ ‫של‬ ‫השימוש‬ :‫לדוגמא‬ .-‫ה‬ ‫של‬ ‫בכלים‬ ‫קוריאנים‬-NSA.
‫תקיפות‬1-Day,‫מוכרות‬ ‫לא‬ ‫חולשות‬ ‫לאתר‬ ‫נדרשים‬ ‫אינם‬ ‫כבר‬ ‫תוקפים‬ .‫בפומבי‬ ‫שמתפרסמות‬ ‫בחולשות‬ ‫שימוש‬
‫עד‬ ‫החולשה‬ ‫פרסום‬ ‫מרגע‬ ‫שעובר‬ ‫הזמן‬ ‫את‬ ‫ומנצלים‬ ‫חולשות‬ ‫לגבי‬ ‫פרסומים‬ ‫מאתרים‬ ‫אלא‬
‫הגדרות‬ ‫לעדכון‬‫זהו‬ ‫שכזה‬ ‫חולשה‬ ‫ניצל‬ ‫אשר‬ ‫ביותר‬ ‫המשמעותי‬ ‫האירוע‬ .‫בגופים‬ ‫האבטחה‬
‫מתקפת‬WannaCry.
‫תקיפות‬ ‫התרבות‬
‫נרחב‬ ‫בהיקף‬ ‫הרס‬
‫השמדת‬ ‫היא‬ ‫אלה‬ ‫תקיפות‬ ‫מטרת‬ ,‫כופר‬ ‫דרישת‬ ‫או‬ ‫מידע‬ ‫איסוף‬ ‫שמטרתן‬ ‫לתקיפות‬ ‫בניגוד‬
‫אשר‬ ,‫זה‬ ‫מסוג‬ ‫מתקיפות‬ ‫שנגדם‬ ‫בהרס‬ ‫שיא‬ ‫נרשם‬ ‫האחרונה‬ ‫בשנה‬ .‫הנתקפות‬ ‫המערכות‬‫לרוב‬
.‫מדינתיים‬ ‫תוקפים‬ ‫ע"י‬ ‫מבוצעות‬
‫עיקריים‬ ‫תקיפה‬ ‫כלי‬‫בשנת‬2017
‫התקיפה‬ ‫כלי‬
‫הרס‬ / ‫כופר‬ ‫נוזקות‬,‫כן‬ ‫כמו‬ .‫כופר‬ ‫נוזקות‬ ‫מתקפות‬ ‫ותחכום‬ ‫בהיקף‬ ‫דרמטית‬ ‫עלייה‬ ‫ראינו‬ ‫האחרונה‬ ‫בשנה‬
‫כופר‬ ‫לנוזקות‬ ‫התחזו‬ ‫אשר‬ ‫הרס‬ ‫נוזקות‬ ‫הפיצו‬ ‫התוקפים‬ ‫בהם‬ ‫גדולים‬ ‫אירועים‬ ‫מספר‬ ‫התרחשו‬
‫מתוך‬.‫באירוע‬ ‫והטיפול‬ ‫התגובה‬ ‫זמן‬ ‫משך‬ ‫להערכת‬ ‫כוונה‬
‫אימייל‬ ‫הודעות‬‫נושאות‬
‫זדוניות‬ ‫צרופה‬,‫או‬
‫מפנות‬‫לקישור‬‫זדוני‬
‫משלוח‬‫הודעות‬‫אימייל‬‫זדוניות‬‫ממוקדות‬‫באמצעות‬ ‫רחבה‬ ‫בהפצה‬ ‫או‬
‫רשתות‬BOT.‫שימוש‬‫בדואר‬‫אלקטרוני‬‫מתבצע‬‫ב‬‫מגוון‬‫רב‬‫של‬‫מתקפות‬
‫כגון‬‫מתקפות‬‫פישיניג‬‫מסוגים‬‫שונים‬)BEC‫ובתור‬ ,‫זדוני‬ ‫ספאם‬ ,('‫וכו‬
‫ומערכות‬ ‫לאירגוניים‬ ‫חדירה‬ ‫אמצעי‬.‫להמחשה‬–‫רק‬‫במהלך‬‫הרבעון‬
‫צרופות‬‫נפוצות‬
‫במתקפות‬‫מייל‬
.doc
.exe
.scr

10. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬10‫מתוך‬71
‫הראשון‬‫של‬2017‫קספרסקי‬ ,2
‫ל‬ ‫מעל‬ ‫איתרו‬-51‫הודעות‬ ‫מיליון‬
.‫זדוניות‬
‫משלבים‬ ‫שונים‬ ‫זדוניים‬ ‫גורמים‬ ,‫והגנה‬ ‫סינון‬ ‫מערכות‬ ‫לעקוף‬ ‫מנת‬ ‫על‬
‫חברתית‬ ‫הנדסה‬ ‫של‬ ‫אלמנטים‬ ‫שלהם‬ ‫במתקפות‬3
‫ניתן‬ ‫לכך‬ ‫דוגמא‬ .
‫הרוסית‬ ‫התקיפה‬ ‫בקבוצת‬ ‫לראות‬Carbanak‫עם‬ ‫קשר‬ ‫יוצרת‬ ‫אשר‬
‫לקבל‬ ‫נציגים‬ ‫שיכנוע‬ ‫באמצעות‬ ‫הדבקה‬ ‫ומבטיחים‬ ‫שונים‬ ‫עסקים‬
.‫זדוניות‬ ‫צרופות‬ ‫ולפתוח‬
.xls
.bin
.js
.class
. ace
.xml
.rtf
DDE-‫הרצת‬‫קוד‬‫זדוני‬
‫במסמכי‬‫אופיס‬‫ללא‬
‫שימוש‬‫במקרו‬
‫האחרונים‬ ‫בחודשיים‬‫נסקרה‬4
‫ואקסל‬ ‫וורד‬ ‫מסמכי‬ ‫פתיחת‬ ‫בעת‬ ‫קוד‬ ‫להרצת‬ ‫שיטה‬.‫השיטה‬
‫בשם‬ ‫מובנה‬ ‫מנגנון‬ ‫על‬ ‫מתבססת‬Dynamic Data Exchange,‫מיקרוסופט‬ ‫ידי‬ ‫על‬ ‫מוגדרת‬ ‫והיא‬
‫אבטחה‬ ‫עדכון‬ ‫עבורה‬ ‫פורסם‬ ‫לא‬ ‫ולכן‬ ‫כפגיעות‬ ‫ולא‬ ‫כיכולת‬.
‫זו‬ ‫בשיטה‬ ‫משתמשת‬ ‫אשר‬ ‫נוזקת‬ ‫המכיל‬ ‫מסמך‬ ‫פתיחת‬ ‫בעת‬,‫הודעות‬ ‫שתי‬ ‫למשתמש‬ ‫יוצגו‬
‫קוד‬ ‫הרצת‬ ‫שתתבצע‬ ‫בכדי‬ ‫להסכים‬ ‫עליו‬ ‫עליהן‬.‫בתוכן‬ ‫חלקים‬ ‫לשנות‬ ‫יכול‬ ‫התוקף‬ ,‫זאת‬ ‫עם‬
.‫זדונית‬ ‫פחות‬ ‫שתראה‬ ‫כך‬ ‫השנייה‬ ‫ההודעה‬
‫אך‬ ,‫חדשה‬ ‫אינה‬ ‫זו‬ ‫שיטה‬‫היא‬‫דיווחה‬ ‫טאלוס‬ .‫בשטח‬ ‫בתקיפות‬ ‫מנוצלת‬5
‫ניצ‬ ‫על‬‫זו‬ ‫שיטה‬ ‫ול‬
‫ל‬ ‫המתחזות‬ ‫בתקיפות‬-SEC‫הפיננסית‬ ‫התקיפה‬ ‫קבוצת‬ ‫ידי‬ ‫על‬ ‫הנראה‬ ‫כפי‬ ,‫האמריקאי‬FIN7.
‫כגון‬ ‫מדיניות‬ ‫תקיפה‬ ‫גורמי‬ ‫אף‬ ‫כי‬ ‫דווח‬ ‫לאחרונה‬Fancy Bear)APT28‫זו‬ ‫חולשה‬ ‫מנצלים‬ (
‫בתקיפותיהן‬6
‫ו‬ .‫השנייה‬ ‫המערכת‬ ‫זו‬ ‫שאופיס‬ ‫לכך‬ ‫הובילו‬ ‫אשר‬ ‫הגורמים‬ ‫אחד‬ ‫הוא‬ ‫זה‬ ‫קטור‬
‫ב‬ ‫מותקפת‬ ‫הכי‬‫מהלך‬2017.
‫ב‬-23‫מיקרוסופט‬ ‫באוקטובר‬‫שחררה‬‫מספר‬‫המלצות‬‫להתמודדות‬‫עם‬‫הבעיה‬7
.‫לצד‬‫המלצות‬
‫לשנות‬‫בצורה‬‫ידנית‬‫מספר‬‫ערכים‬‫ומפתחות‬Registry‫הנוגעים‬‫לתוכנות‬‫ה‬-Office,‫במטרה‬
‫לבטל‬‫עדכון‬‫אוטומטי‬‫של‬‫שדות‬DDE‫וקישורי‬OLE,‫החברה‬‫ממליצה‬‫למשתמשים‬‫להתקין‬‫את‬
‫עדכון‬‫המערכת‬Windows 10 Fall Creator Update.‫עדכון‬‫זה‬‫מגביר‬‫את‬‫רמת‬‫האבטחה‬
‫המוצעת‬‫ע‬"‫י‬Windows Defender Exploit Guard8
,‫תוך‬‫חסימת‬‫נוזקות‬‫מבוססות‬DDE.
‫שימוש‬‫באתרים‬
‫לגיטימיים‬‫לביצוע‬
‫מתקפות‬Waterhole
‫התוקף‬‫יוצר‬‫אתר‬‫מתחזה‬‫או‬‫משתלט‬‫על‬‫אתר‬‫קיים‬‫ותוקף‬‫משתמשים‬‫הגולשים‬‫לאתר‬
‫באמצעות‬‫פגיעויות‬‫שונות‬)0/1 – day.(‫להגיע‬ ‫הקורבן‬ ‫את‬ ‫מפתה‬ ‫התוקף‬ ‫רבים‬ ‫במקרים‬
.'‫וכו‬ ‫פישינג‬ ‫מייל‬ ‫כגון‬ ‫שונים‬ ‫באמצעים‬ ‫שימוש‬ ‫ידי‬ ‫על‬ ‫לאתר‬
‫כמו‬,‫כן‬‫במקרים‬‫של‬‫תקיפה‬‫ממוקדת‬‫התוקף‬‫מתאים‬‫את‬‫האתר‬‫ספציפית‬‫לקורבן‬‫ולתחומי‬
‫העניין‬.‫שלו‬‫להמחשת‬‫ממדי‬,‫התופעה‬‫עד‬‫הרבעון‬‫השלישי‬‫של‬2017,‫קספרסקי‬‫איתרו‬‫מעל‬
72‫מיליון‬‫אתרים‬‫ייחודיים‬‫בעלי‬‫תוכן‬‫זדוני‬‫התוקף‬‫גולשים‬9
.‫ו‬‫זה‬ ‫השנה‬ ‫נפוץ‬ ‫הפך‬ ‫אשר‬ ‫קטור‬
.‫זדוניים‬ ‫אתרים‬ ‫כנגד‬ ‫דפדפנים‬ ‫של‬ ‫ההזהרה‬ ‫להודעה‬ ‫המתחזה‬ ‫תוכן‬ ‫בעל‬ ‫זדוני‬ ‫אתר‬ ‫יצירת‬
‫מופעלו‬ ‫בהם‬ ‫שונים‬ ‫מתחזים‬ ‫לשירותים‬ ‫מפנים‬ ‫או‬ ‫נוזקות‬ ‫מורידים‬ ‫לרוב‬ ‫אלו‬ ‫אתרים‬‫על‬ ‫ת‬
.‫אישיים/אשראי‬ ‫פרטים‬ ‫לגניבת‬ ‫במטרה‬ ‫חברתית‬ ‫הנדסה‬ ‫טקטיקות‬ ‫הקורבן‬
‫טקטיקה‬‫נפוצה‬‫נוספת‬‫היא‬‫יצירת‬‫אתר‬‫בעל‬‫דומיין‬‫עם‬‫שינוי‬‫קטן‬‫וכמעט‬‫בלתי‬‫נראה‬.‫בכתובת‬
‫דוגמא‬‫לכך‬‫השנה‬ ‫בתחילת‬ ‫כאשר‬ ‫לראות‬ ‫ניתן‬‫הדומיין‬ ‫את‬ ‫רשמו‬ ‫זדוניים‬ ‫גורמים‬
ɢoogle[.]com‫ל‬ ‫המתחזה‬-Google.com)‫ה‬-G.(‫לטינית‬ ‫אות‬ ‫למעשה‬ ‫היא‬ ‫הקטנה‬‫שימוש‬
‫וכיום‬ ,‫גדל‬ ‫זה‬ ‫בווקטור‬URL‫דומות‬ ‫אותיות‬ ‫בעלות‬ ‫ייחודיות‬ ‫שפות‬ ‫עם‬ ‫נרשמים‬ ‫שלמים‬
‫בראשית‬ .‫ההונאה‬ ‫הזיהוי‬ ‫על‬ ‫מקשים‬ ‫ובכך‬ ‫לאנגלית‬2017‫איראניים‬ ‫קמפיינים‬ ‫זיהינו‬
.‫מישראל‬ ‫גולשים‬ ‫מחשבי‬ ‫על‬ ‫השתלטות‬ ‫לצורך‬ ‫שיטה‬ ‫באותה‬ ‫שהשתמשו‬
2 https://securelist.com/spam-and-phishing-in-q1-2017/78221/
3 https://www.malwarebytes.com/pdf/labs/Cybercrime-Tactics-and-Techniques-Q1-2017.pdf
4 https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/
5 http://blog.talosintelligence.com/2017/10/dnsmessenger-sec-campaign.html?m=1
6 https://thehackernews.com/2017/11/apt28-office-dde-malware.html
7 https://technet.microsoft.com/en-us/library/security/4053440.aspx
8 https://blogs.technet.microsoft.com/mmpc/2017/10/23/windows-defender-exploit-guard-reduce-the-attack-surface-against-next-
generation-malware/
9 https://securelist.com/it-threat-evolution-q3-2017-statistics/83131/

11. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬11‫מתוך‬71
‫הזרקות‬SQL‫בקוד‬ ‫שימוש‬ ‫באמצעות‬ ‫לאתר‬ ‫חודר‬ ‫תוקף‬Database‫מסוג‬SQL‫בעמוד‬ ‫הזדהות‬ ‫פרטי‬ ‫במקום‬
‫ה‬-Login.‫במידה‬‫והאתר‬‫לא‬‫מתוכנת‬‫כראוי‬‫אז‬‫הקוד‬‫חודר‬‫לתשתית‬‫של‬‫האתר‬‫ומאפשר‬
‫גישה‬.‫לתוקף‬
‫של‬ ‫גידול‬ ‫נרשם‬ ‫השנה‬62%‫אשתקד‬ ‫המקבילה‬ ‫התקופה‬ ‫מול‬ ‫זה‬ ‫בווקטור‬10
.
‫הפצת‬‫אפליקציות‬
Android‫זדוניות‬
‫הדבקה‬‫באמצעות‬‫חנויות‬‫אפליקציה‬‫לא‬.‫רשמיות/מתחזות‬
‫לאתר‬ ‫כניסה‬ ‫באמצעות‬ ‫הדבקה‬Waterhole‫ישנה‬ ‫בגרסה‬ ‫מדובר‬ ‫כאשר‬ ‫)לרוב‬ ‫פגיעות‬ ‫וניצול‬
.‫האפליקציה‬ ‫התקנת‬ ‫לצורך‬ (‫אנדרויד‬ ‫של‬
‫של‬ ‫להתקנה‬ ‫קורבנות‬ ‫פיתוי‬APK‫לדוגמא‬ .‫חיצוני‬,‫המשחק‬ ‫של‬ ‫זדוניות‬ ‫גרסאות‬Pokémon
Go.‫מכיוון‬‫שהמשחק‬‫לא‬‫שוחרר‬‫בכול‬,‫העולם‬‫רבים‬‫התפתו‬‫להתקין‬‫גרסאות‬‫אות‬‫ן‬‫התוקפים‬
‫פרסמו‬‫באמצעים‬‫שונים‬‫כגון‬‫רשתות‬.‫חברתיות‬
‫תקיפ‬‫ו‬‫ת‬DDOS
‫באמצעות‬‫מכשירים‬
‫חכמים‬)IOT(
‫עלייה‬ ‫ראינו‬ ‫השנה‬11
‫של‬91%‫במתקפות‬DDoS.‫גידול‬‫זה‬‫נובע‬‫בין‬‫היתר‬‫מהצמיחה‬
‫המשמעותית‬‫של‬‫שוק‬‫המכשירים‬"‫החכמים‬"‫המחוברים‬‫לאינטרנט‬)IOT – Internet of
Things(‫כגון‬ ‫בוטנטים‬ ‫בידי‬ ‫מודבקים‬ ‫אשר‬ ,Mirai‫הגדולה‬ ‫המתקפה‬ ‫על‬ ‫אחראי‬ ‫זה‬ ‫בוטנט‬ .
‫של‬ ‫בהיקף‬ ‫השנה‬ ‫ביותר‬109.‫ג'יגה‬
‫באיומי‬ ‫חברות‬ ‫סחיטת‬
‫שירות‬ ‫מניעת‬ ‫מתקפות‬
RDoS (Ransom Denial
of service)
‫מתקפות‬ ‫של‬ ‫דרמטית‬ ‫עלייה‬ ‫נראה‬ ‫האחרון‬ ‫ברבעון‬RDoS‫על‬ ‫מאיימים‬ ‫זדוניים‬ ‫גורמים‬ ‫בהם‬
‫במתקפות‬ ‫חברות‬DDoS‫ביוני‬ ,‫לדוגמא‬ .‫כופר‬ ‫להם‬ ‫ישולם‬ ‫אם‬ ‫אלא‬‫שבעה‬‫דרום‬ ‫בנקים‬
‫קבוצת‬ ‫בידי‬ ‫זה‬ ‫באופן‬ ‫נסחטו‬ ‫קוריאנים‬Armada Collective‫של‬ ‫סכום‬ ‫עבור‬315.‫דולר‬ ‫אלף‬
‫שירותי‬ ‫התבבסות‬ ‫עם‬ ‫נפוצות‬ ‫יותר‬ ‫נעשות‬ ‫אלו‬ ‫מתקפות‬DDoS‫בתשלום‬–‫בשם‬ ‫ידוע‬DDoS-
for-hire.
‫לחשבונות‬ ‫חדירה‬
‫ענן‬ ‫מבוססות‬ ‫ומערכות‬
)365,Gmail,Dropbox(
‫למערכות‬ ‫מעבר‬ ‫ומשם‬
‫יותר‬ ‫רגישות‬ ‫אחרות‬
.‫וחברות‬ ‫לאירגונים‬ ‫חדירה‬ ‫לצורך‬ ‫שונות‬ ‫ענן‬ ‫מערכות‬ ‫ניצול‬ ‫המשך‬
‫הסייבר‬ ‫אירועי‬ ‫סיכום‬ ‫טבלת‬2017,‫הנזק‬ ‫והיקף‬ ‫התקיפה‬ ‫וקטור‬ ‫כולל‬
‫קמפיין‬‫התקיפה‬‫יעד‬‫תארי‬‫ך‬‫התוקף‬‫היקף‬‫הנזק‬‫ו‬‫קטור‬‫התקיפה‬
NotPetya‫אוקראינה‬‫יולי‬‫מיוחסת‬ ‫המתקפה‬
‫מדיניים‬ ‫לגורמים‬
‫רוסיים‬
‫משמעותית‬ ‫פגיעה‬
‫חברות‬ ‫בכאלפיים‬
‫אשר‬ ‫וזרות‬ ‫אוקראיניות‬
‫ב‬ ‫פועלות‬‫אוקראינה‬‫בין‬ .
‫הגדולים‬ ‫האירגונים‬
‫באופן‬ ‫נפגעו‬ ‫אשר‬ ‫ביותר‬
:‫משמעותי‬
Maersk, Merck, FedEx
‫הפצת‬‫נוזקת‬
‫הרס‬,‫אשר‬
‫התחזתה‬‫לנוזקת‬
‫כופר‬,‫באמצעות‬
‫עידכון‬‫של‬‫תוכנת‬
‫חשבונות‬
‫לגיטימית‬.
WannaCry‫עולמי‬‫אפריל‬‫מיוחסת‬ ‫המתקפה‬
‫קוריאה‬ ‫לצפון‬
‫הן‬ ‫מחשבים‬ ‫אלפי‬
‫אירגונים‬ ‫של‬ ‫והן‬ ‫פרטיים‬
‫ללא‬ ‫הודבקו‬ ‫וחברות‬
‫שיחזור‬ ‫יכולת‬.
‫קמפיין‬‫נוזקת‬
‫כופר‬/‫הרס‬‫עולמי‬
‫בהיקף‬‫חסר‬
‫תקדים‬
10 https://www.akamai.com/uk/en/about/news/press/2017-press/akamai-releases-third-quarter-2017-state-of-the-internet-security-
report.jsp
11 http://info.corero.com/DDoS-Trends-Report.html

12. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬12‫מתוך‬71
Equifax‫ארה"ב‬‫ספטמבר‬‫הנראה‬ ‫ככל‬‫תוקף‬
‫מדינתי‬‫סיני‬
‫כ‬ ‫של‬ ‫רגיש‬ ‫מידע‬ ‫גניבת‬-
143‫אזרחים‬ ‫מיליון‬
‫וחברות‬.
‫שימוש‬‫בחולשות‬
‫מובנות‬‫במערכות‬
‫הפעלה‬
‫ופרוטוקולי‬
‫תקשורת‬-‫ניצ‬‫ו‬‫ל‬
‫חולשה‬‫מס‬'
CVE-2017-
5638
‫הדלפת‬‫כלי‬‫תקיפה‬
‫מדינתיים‬
‫ארה"ב‬‫מרץ‬-
‫מתמשך‬
‫ההאקרים‬ ‫קבוצת‬
Shadowbrokers
‫ההדלפה‬ ‫בעקבות‬
‫חדש‬ ‫איומים‬ ‫סט‬ ‫התפתח‬
‫על‬‫ההגנה‬ ‫מערכי‬
‫גדל‬ ‫זה‬ ‫איום‬ .‫בסייבר‬
‫ש‬ ‫לאחר‬‫ב‬-9‫בנובמבר‬
‫של‬ ‫המקור‬ ‫קוד‬ ‫הודלף‬
HIVE‫השליטה‬ ‫מערכת‬ ,
‫ה‬ ‫נוזקות‬ ‫של‬ ‫ובקרה‬-
CIA.
‫כלי‬ ‫הדלפת‬
‫של‬ ‫התקיפה‬
‫הביון‬ ‫ארגון‬
‫פומבי‬ ‫באופן‬
‫באינטרנט‬.
‫תקיפות‬‫כנגד‬
‫המערכת‬‫הבנקאית‬
SWIFT
‫עולמי‬2016–
‫מתמשך‬
‫קבוצת‬Lazarus
‫קוריאנית‬ ‫הצפון‬
‫של‬ ‫גניבה‬‫מאות‬‫מיליוני‬
‫שונים‬ ‫מבנקים‬ ‫דולרים‬
‫העולם‬ ‫ברחבי‬.‫פוטנציאל‬
‫עתידית‬ ‫גניבה‬ ‫של‬ ‫נוסף‬
‫דולרים‬ ‫מיליארדי‬ ‫של‬.
‫של‬ ‫מגוון‬
‫כגון‬ ‫ווקטורים‬
‫בנקים‬ ‫הדבקת‬
‫ווקטור‬ ‫בנוזקות‬
‫מתוחכם‬ ‫הסוואה‬
‫גניבת‬ ‫לצורך‬
‫והנפקת‬ ‫כספים‬
‫אשראי‬ ‫מכתבי‬
) ‫מזוייפים‬LC.(
‫ניסיונות‬‫התערבות‬
‫של‬‫הרוסים‬‫במערכת‬
‫הבחירות‬‫בארה"ב‬
‫ובמדינות‬‫אחרות‬,
‫ב‬ ‫כולל‬Brexit
‫ארה"ב‬
‫ומספר‬
‫מדינות‬
‫נוספות‬
‫תחילת‬
2017–
‫מתמשך‬
‫תקיפה‬ ‫גורמי‬
‫לרוסיה‬ ‫המיוחסים‬
‫הססטוס‬ ‫עירעור‬-‫קוו‬
‫מדינות‬ ‫של‬ ‫הפוליטי‬
‫ופרו‬ ‫מערביות‬-‫מערביות‬.
‫הפצת‬‫מידע‬
/‫רגיש‬‫כוזב‬
‫ב‬,‫חלקו‬‫לצורך‬
‫בתהליכים‬ ‫חבלה‬
.‫דמוקרטיים‬
‫בפייסבוק‬ ‫שימוש‬
‫וטווי‬.‫טר‬
Paradise Papers‫עולמי‬‫אוקטובר‬‫ידוע‬ ‫לא‬‫הדלפת‬‫מסמכים‬‫חושפת‬
‫העלמות‬‫מס‬‫בהיקף‬‫של‬
‫טריליוני‬‫דולרים‬.‫נחשפו‬
‫רגישים‬ ‫פיננסים‬ ‫מסמכים‬
‫בעלי‬ ‫רבים‬ ‫אנשים‬ ‫של‬
‫כולל‬ ,‫השפעה‬
‫אנשי‬ ‫ואף‬ ‫פוליטיקאים‬
‫אצולה‬.
‫הפריצה‬ ‫ווקטור‬
‫נכון‬ ‫פורסם‬ ‫לא‬
‫הדו‬ ‫לכתיבת‬‫ח‬.
‫מתקפות‬‫הרס‬‫כנגד‬
‫ערב‬‫הסעודית‬
‫ערב‬
‫הסעודית‬
2016-
‫מתמשך‬
‫תקיפה‬ ‫גורמי‬
‫לאירן‬ ‫המיוחסים‬
‫באירוגונים‬ ‫פגיעה‬
‫רבות‬ ‫סעודיות‬ ‫וחברות‬.
‫לצורך‬ ‫פריצה‬
‫ריגול‬ ‫מטרות‬
‫והרס‬
‫נוזקות‬‫כופר‬‫והתחזות‬
‫לבכירים‬)BEC(
‫עולמי‬‫מתמשך‬‫פשיעה‬ ‫גורמי‬‫רבים‬‫של‬ ‫גניבה‬‫מליוני‬ ‫מאות‬
‫דולרים‬.
‫הדבקת‬‫מחשבים‬
‫מיילים‬ ‫באמצעות‬
‫נוזקה‬ ‫נושאי‬,
‫לאתרים‬ ‫גלישה‬
‫מודבקים‬,‫פריצה‬
‫מייל‬ ‫לחשבונות‬
‫תקיפות‬‫כופר‬
‫ממוקדות‬‫כנגד‬‫בתי‬
‫חולים‬‫וארגונים‬
‫ציבוריים‬/‫ממשלתיים‬
‫עולמי‬‫מתמשך‬‫פשיעה‬ ‫גורמי‬
‫שונים‬
‫דולרים‬ ‫מיליוני‬ ‫של‬ ‫גניבה‬.‫מערכות‬ ‫הדבקת‬
‫בתי‬‫חולים‬
‫כופר‬ ‫בנוזקות‬
‫אימייל‬ ‫באמצעות‬
‫נוזקה‬ ‫נושא‬.

13. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬13‫מתוך‬71
‫זדוניות‬ ‫בפעילויות‬ ‫מגמות‬‫ב‬‫שנת‬2017
‫במהלך‬2017‫כי‬ ‫ראינו‬‫זדוניים‬ ‫גורמים‬ ‫בה‬ ‫העבודה‬ ‫שיטת‬ ‫מבחינת‬ ‫והן‬ ‫הנוזקות‬ ‫וגיוון‬ ‫תחכום‬ ‫מבחינת‬ ‫הן‬ ‫מדרגה‬ ‫עליית‬ ‫חלה‬
‫בהן‬ ‫משתמשים‬‫זיהו‬ ‫קספרסקי‬ ,‫היקף‬ ‫מבחינת‬ .12
‫ל‬ ‫מעל‬ ‫כה‬ ‫עד‬-198‫שונים‬ ‫מסוגים‬ ‫נוזקות‬ ‫של‬ ‫דגימות‬ ‫מיליון‬‫בעוד‬ ,‫קומודו‬
‫זיהו‬13
‫כמעט‬ ‫השנה‬400.‫דגימות‬ ‫מיליון‬,‫מזאת‬ ‫יתרה‬‫ראינו‬‫השנה‬‫עדויות‬‫גוברות‬‫כי‬‫ל‬ ‫הפכו‬ ‫כופר‬ ‫נוזקות‬"‫תעשייה‬"‫מאורגנת‬
‫ורווחית‬14
.‫מחקרים‬‫תואמ‬ ‫אלו‬‫ים‬‫מסוף‬ ‫שלנו‬ ‫הסקירה‬ ‫את‬2016‫הגדרנו‬ ‫בה‬‫המשמעותי‬ ‫הסייבר‬ ‫כאיום‬ ‫הכופר‬ ‫נוזקות‬ ‫את‬
‫במהלך‬ ‫ביותר‬2017.
‫ה‬‫מערכות‬‫המותקפות‬‫ביותר‬‫במהלך‬‫שנת‬2017
‫ב‬‫של‬ ‫והשניה‬ ‫הראשונה‬ ‫מחצית‬2017,‫למערכת‬ ‫הפכה‬ ‫אופיס‬‫ביותר‬ ‫המותקפת‬ ‫השנייה‬‫עם‬22.80%‫כול‬ ‫מסך‬ ‫אחוז‬
‫)מ‬ ‫התקיפות‬-10.26%(‫השנה‬ ‫של‬ ‫הראשונה‬ ‫במחצית‬‫הסל‬ ‫ההפעלה‬ ‫מערכת‬ ‫את‬ ‫עקפה‬ ‫ובכך‬ ,‫ו‬‫שכעת‬ ‫אנדרואיד‬ ‫לרית‬
‫על‬ ‫עומדת‬22.71%‫מתקפות‬ ‫של‬ ‫הגוברת‬ ‫המגמה‬ ‫בשל‬ ‫היתר‬ ‫בין‬ ‫נובעת‬ ‫זו‬ ‫עליה‬ .DDE‫מובנת‬ ‫פונקצייה‬ ‫על‬ ‫המתבססות‬
‫מנת‬ ‫על‬ ‫באופיס‬‫הרצת‬‫קוד‬‫זדוני‬‫ללא‬‫שימוש‬‫במקרו‬.
‫תוכנה‬‫אחוז‬‫שהותקף‬
‫דפדפנים‬35.00
‫מערכת‬‫מיקרוסופט‬‫אופיס‬22.80
‫מערכת‬‫ההפעלה‬‫הסלולרית‬‫אנדרואיד‬22.71
‫ג‬'‫אווה‬7.62
‫אדובי‬‫פלאש‬5.48
‫תוכנות‬PDF1.39
‫משפחות‬‫נוזקות‬‫ה‬‫כופר‬‫הנפוצות‬‫ביותר‬‫ב‬‫שנת‬2017
‫תוכנה‬‫אחוז‬‫שהותקף‬
WannaCry16.78
Crypton14.41
Purgen/GlobeImposter6.90
Locky6.78
Cerber4.30
Cryrar/ACCDFISA3.99
Shade2.69
Spora1.87
(generic verdict)1.77
(generic verdict)1.27
‫סלולריות‬ ‫נוזקות‬–‫מגמ‬‫ות‬‫בשנת‬2017
‫אף‬ ‫על‬‫ה‬ ‫שהפלטפורמות‬‫הסייבר‬ ‫בזירת‬ ‫מרכזיות‬‫הן‬‫המגמות‬ ‫אחת‬ ,‫מחשב‬ ‫מערכות‬ ‫עדיין‬‫ה‬‫במהלך‬ ‫גוברות‬2017‫היא‬
‫סלולריות‬ ‫נוזקות‬ ‫באמצעות‬ ‫תקיפות‬.‫התקיפות‬ ‫ותחכום‬ ‫בהיקף‬ ‫חדה‬ ‫עלייה‬ ‫עם‬ ,‫חוקרי‬‫של‬ ‫השלישי‬ ‫ברבעון‬ ‫זיהו‬ ‫קספרסקי‬
2017‫סלולריות‬ ‫נוזקות‬ ‫של‬ ‫הדבקות‬ ‫וחצי‬ ‫למליון‬ ‫מעל‬–‫של‬ ‫זינוק‬20%.‫הקודם‬ ‫מהרבעון‬‫הן‬ ‫אלו‬20‫הנוזקות‬‫סלולריות‬
‫הנפוצות‬‫ביותר‬‫ב‬-2017:
‫שם‬‫אחוז‬‫המשתמשים‬‫שהודבקו‬‫בנוזקה‬
DangerousObject.Multi. Generic67.14
Trojan.AndroidOS.Hiddad.an7.52
Trojan.AndroidOS.Boogr.gsh4.56
12 https://securelist.com/it-threat-evolution-q3-2017-statistics/83131/
13 https://www.comodo.com/ctrlquarterlyreport/q3/Comodo_Q3Report_111417_HR.pdf#_ga=2.41741931.834119800.1510771011-
900913835.1510771011
14 https://securelist.com/analysis/kaspersky-security-bulletin/76757/kaspersky-security-bulletin-2016-story-of-the-year/

14. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬14‫מתוך‬71
Backdoor.AndroidOS. Ztorg.c2.96
Trojan.AndroidOS. Sivu.c2.91
Backdoor.AndroidOS. Ztorg.a2.59
Trojan.AndroidOS. Hiddad.v2.20
Trojan-Dropper.AndroidOS. Hqwar.i2.09
Trojan.AndroidOS.Hiddad.pac2.05
Trojan.AndroidOS.Triada.pac1.98
Trojan.AndroidOS. Iop.c1.87
Trojan-Banker.AndroidOS. Svpeng.q1.68
Trojan.AndroidOS.Ztorg.ag1.63
Trojan.AndroidOS. Ztorg.aa1.57
Trojan.AndroidOS. Agent.eb1.57
Trojan.AndroidOS.Agent.bw1.53
Trojan.AndroidOS. Loki.d1.48
Trojan.AndroidOS. Ztorg.ak1.47
Trojan-Downloader.AndroidOS.Agent.bf1.41
Trojan-Dropper.AndroidOS.Agent.cv1.29
‫מתקפות‬DDoS
‫השנה‬‫ראינו‬‫גידול‬‫משמעותי‬‫ב‬‫תדירות‬‫מתקפות‬DDoS‫כנגד‬‫גורמים‬‫רבים‬‫ברחבי‬‫העולם‬15
.‫מתחילת‬2017‫גידול‬ ‫חל‬
‫בשיעור‬‫מתקפות‬DDoS‫ב‬-91%.‫גידול‬‫זה‬‫נובע‬‫בין‬‫היתר‬‫מהצמיחה‬‫המשמעותית‬‫של‬‫שוק‬‫המכשירים‬"‫החכמים‬"
‫המחוברים‬‫לאינטרנט‬)IOT – Internet of Things(,‫אשר‬‫מודבקים‬‫בידי‬‫בוטנטים‬‫כגון‬Mirai.‫בוטנט‬‫זה‬‫אחראי‬‫על‬‫המתקפה‬
‫הגדולה‬‫ביותר‬‫השנה‬‫בהיקף‬‫של‬109‫ג‬'‫יגה‬.‫שירותי‬ ‫התבססות‬ ‫מגמת‬ ‫נמשכת‬ ,‫כך‬ ‫על‬ ‫בנוסף‬DDoS-for-hire‫אשר‬ ,
.‫משמעותיות‬ ‫שירות‬ ‫מניעת‬ ‫מתקפות‬ ‫לפועל‬ ‫להוציא‬ ‫זדוני‬ ‫גורם‬ ‫לכול‬ ‫מאפשרים‬
‫הושבת‬ ‫באפריל‬ ,‫זאת‬ ‫עם‬‫ה‬‫בעולם‬ ‫בגדולות‬ ‫הבוטנט‬ ‫מרשתות‬ ‫אחת‬–Kelihos‫האקר‬ ‫עצרו‬ ‫בספרד‬ ‫החוק‬ ‫שרשויות‬ ‫לאחר‬ ,
‫בשם‬ ‫רוסי‬Peter Levashov‫אותה‬ ‫הפעיל‬ ‫אשר‬16
.
15 https://www.infosecurity-magazine.com/news/ddos-attacks-nearly-double-since/
16 https://www.technologyreview.com/s/604138/the-fbi-shut-down-a-huge-botnet-but-there-are-plenty-more-left/

15. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬15‫מתוך‬71
‫ב‬ ‫ביותר‬ ‫הגדולות‬ ‫המתקפות‬‫שנת‬2017
‫מתקפת‬‫סי‬‫יבר‬‫הרסנית‬Petya/NotPetya
‫בסוף‬‫יוני‬2017‫בוצעה‬‫אחת‬‫מהמתקפות‬‫ההרסניות‬‫ביותר‬‫על‬‫מערכות‬‫מחשב‬‫בארגונים‬‫וחברות‬‫ש‬‫מרביתם‬‫באוקראינה‬.
‫מעל‬‫אלפיים‬‫חברות‬‫הותקפו‬‫ומרביתם‬‫נפגעו‬‫בצורה‬‫קשה‬,‫בתקיפה‬‫אשר‬‫התחזתה‬‫תחילה‬‫למתקפת‬‫נוזקת‬‫כופר‬.‫התוקפים‬
‫ניצלו‬‫ו‬‫קטור‬‫הדבקה‬‫שעד‬‫כה‬‫לא‬‫נראה‬‫בשימוש‬‫בהיקף‬‫נרחב‬‫שכזה‬–‫הפצה‬‫של‬‫נוזקה‬‫באמצעות‬‫עידכון‬‫של‬‫תוכנה‬
‫לגיטימית‬.‫התקיפה‬‫בוצעה‬‫ככל‬‫הנראה‬‫על‬‫ידי‬‫יחידות‬‫תקיפה‬‫רוסיות‬‫ומטרתה‬‫הייתה‬‫גרימת‬‫נזק‬‫נרחב‬‫לחברות‬‫ולארגונים‬
‫באוקראינה‬.‫להלן‬‫סיכום‬‫התקיפה‬.
‫מועד‬‫התקיפה‬
‫התקיפה‬‫בוצעה‬‫בערב‬‫חג‬"‫החוקה‬"‫יום‬‫חג‬‫וחופש‬‫באוקראינה‬.‫המטרה‬–‫פגיעה‬‫מקסימלית‬‫בכמה‬‫שיותר‬‫ארגונים‬‫ומערכות‬
‫מבוססות‬‫מחשב‬,‫כשמקומות‬‫העבודה‬‫ריקים‬,‫מבלי‬‫שיהיה‬‫מישהו‬‫שיוכל‬‫לעצור‬‫זאת‬.
‫וקטור‬‫התקיפה‬‫העיקרי‬
‫באמצעות‬‫משלוח‬‫עדכו‬‫ני‬‫תוכנה‬‫נושאי‬‫נוזקה‬"‫לגיטימי‬‫ים‬"‫כביכול‬‫לתוכנת‬MeDoc.‫תוכנת‬‫זו‬‫המשמשת‬‫את‬‫כלל‬‫העסקים‬
‫באוקראינה‬‫לנהל‬‫חשבונות‬,‫להפיק‬‫חשבוניות‬‫דיגיטליות‬‫ולדווח‬‫לרשויות‬‫המיסים‬.‫במקביל‬‫לווקטור‬‫התקיפה‬‫העיקרי‬,‫ישנם‬
‫אינדיקטורים‬‫לכך‬‫שהופעל‬‫וקטור‬‫תקיפה‬‫משני‬‫באמצעות‬‫הדבקת‬‫אתר‬‫חדשות‬‫מרכזי‬‫אוקראיני‬‫ודרכו‬‫הדבקת‬‫גולשים‬.
‫וקטור‬‫התקיפה‬,‫בדומה‬‫ל‬,WannaCry‫לא‬‫היה‬‫באמצעות‬‫מייל‬.‫לראשונה‬‫בוצעה‬‫תקיפה‬‫באמצעות‬‫משלוח‬‫עדכון‬‫תוכנה‬
‫נושאת‬‫נוזקה‬,‫מספק‬‫תוכנה‬‫לגיטימי‬.
‫וקטור‬‫ההתפשטות‬
‫וקטור‬‫ההתפשטות‬‫בתוך‬‫הרשתות‬‫הפנימיות‬‫של‬‫החברות‬‫היה‬‫באמצעות‬‫שני‬‫מתווים‬:
‫הראשון‬–‫גניבת‬‫הרשאות‬‫מהמחשב‬‫המודבק‬‫שיש‬‫לו‬‫הרשאות‬‫גישה‬‫ל‬admin$ share‫במחשבים‬‫אחרים‬.‫התפשטות‬
‫הנוזקה‬‫בווקטור‬‫זה‬‫התבצעה‬‫בהצלחה‬‫וללא‬‫הפרעה‬‫גם‬‫למחשבים‬‫ושרתים‬‫מעודכנים‬‫עם‬‫טלאי‬‫האבטחה‬‫המתקדמים‬
‫ביותר‬.
‫השני‬–‫שימוש‬‫בחולשת‬‫פרוטוקול‬SMBv1‫כמו‬‫ב‬Wannacry.‫התפשטות‬‫הנוזקה‬‫במתווה‬‫זה‬‫הייתה‬‫יכולה‬‫להתבצע‬‫רק‬
‫למחשבים‬‫שלא‬‫עודכנו‬‫בהם‬‫טלאי‬‫אבטחה‬.
‫פעילות‬‫ומטרת‬‫הנוזקה‬
‫זוהי‬‫נוזקת‬‫הרס‬,‫לא‬‫כופרה‬‫ובוודאי‬‫שלא‬‫נכתבה‬‫לצורך‬‫השגת‬‫רווח‬‫כספי‬.‫מטרת‬‫הנוזקה‬‫היא‬‫למחוק‬/‫להשבית‬‫ולהרוס‬‫את‬
‫הדיסק‬‫במחשב‬‫שאליו‬‫היא‬‫מגיעה‬.‫הנוזקה‬‫מצפינה‬‫את‬‫הקבצים‬‫ולאחר‬‫מכן‬‫משבשת‬‫את‬‫הדיסק‬)‫מוחקת‬‫את‬‫ה‬MBR(‫כך‬
‫שגם‬‫אם‬‫החברות‬‫יצליחו‬‫לשקם‬‫את‬‫הדיסק‬,‫הן‬‫לא‬‫יוכלו‬‫לשחזר‬‫את‬‫המידע‬‫על‬‫הדיסק‬.‫להערכתנו‬‫המטרה‬‫האסטרטגית‬‫של‬
‫התקיפה‬‫היא‬‫לייצר‬‫הרתעה‬,‫לנקום‬‫ולהרוס‬‫תשתיות‬.
‫דרך‬‫הפעילות‬‫של‬‫הנוזקה‬‫הייתה‬‫דו‬‫שלבית‬–‫שלב‬‫ההתפשטות‬‫ושלב‬‫ביצוע‬‫הפגיעה‬.‫הנוזקה‬‫תוכננה‬‫כך‬‫שתהליך‬‫ההרס‬
‫יתבצע‬‫רק‬‫לאחר‬‫זמן‬‫מסוים‬.‫המטרה‬‫היתה‬‫לתת‬‫לנוזקה‬‫להתפשט‬‫ברשתות‬‫הארגונים‬‫למקסימום‬‫מחשבים‬‫לפני‬‫שהיא‬
‫מתחילה‬‫לפעול‬‫ובכך‬‫למקסם‬‫את‬‫הפגיעה‬.‫התוצאה‬‫הייתה‬‫שהיכולת‬‫של‬‫ארגונים‬‫לעצור‬‫את‬‫ההתפשטות‬‫והתקיפה‬
‫הייתה‬‫מוגבלת‬‫מאוד‬.
‫יעדי‬‫התקיפה‬
‫הנוזקה‬‫כוונה‬‫לפגוע‬‫בחברות‬‫וארגונים‬‫באוקראינה‬.‫ככל‬‫הנראה‬‫מדובר‬‫בכ‬-2,000‫ארגונים‬‫וחברות‬‫שנפגעו‬‫מהנוזקה‬.‫בין‬
‫הארגונים‬‫משרדי‬‫ממשלה‬,‫בנקים‬,‫חברות‬‫עסקיות‬‫וגם‬‫עסקים‬‫קטנים‬.‫ובנוסף‬,‫מכיוון‬‫שישנן‬‫חברות‬‫בינלאומיות‬‫שיש‬‫להן‬
‫סניפים‬‫ו‬/‫או‬‫עושים‬‫עסקים‬‫באוקראינה‬‫וגם‬‫הן‬‫השתמשו‬‫בתוכנת‬‫הדיווח‬‫הכספי‬MeDoc,‫גם‬‫הן‬‫נפגעו‬‫קשות‬.‫לקח‬
‫ל‬‫חברות‬‫כמו‬‫מרסק‬)‫חברת‬‫השינוע‬‫הימי‬‫הגדולה‬‫בעולם‬(‫או‬TNT‫ימים‬‫רבים‬‫לחזור‬‫לעבודה‬‫סדירה‬‫לאחר‬‫הנזקים‬‫הכבדים‬
‫שספגו‬.‫אחת‬‫מחברות‬‫האבטחה‬‫בארה‬"‫ב‬‫דיווחה‬‫על‬‫כ‬5,000‫מחשבים‬‫שנהרסו‬‫לחלוטין‬‫בחברה‬‫אמריקנית‬)‫ככל‬‫הנראה‬
(TNT.

16. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬16‫מתוך‬71
‫זהות‬‫התוקף‬
‫על‬‫פי‬‫דרך‬‫הפעולה‬,‫התקיפות‬‫הקודמות‬,‫נראה‬‫כמעט‬‫בוודאות‬‫שזו‬‫תקיפה‬‫רוסית‬.‫אולם‬‫אין‬‫הוכחה‬‫פורנזית‬‫לכך‬.‫חברת‬
‫קספרסקי‬‫הראתה‬‫הקבלה‬‫מסוימת‬‫בין‬‫הקוד‬‫שהשתמשו‬‫בו‬‫בתקיפות‬‫מערכות‬‫החשמל‬‫האוקראיניות‬‫בתחילת‬‫השנה‬‫לבין‬
‫נוזקה‬‫זו‬.‫גם‬‫שירות‬‫הביטחון‬‫האוקראיני‬‫הוציא‬‫הודעה‬‫רשמית‬‫המאשימה‬‫את‬‫שירותי‬‫הביטחון‬‫של‬‫רוסיה‬‫במתקפה‬.17
‫כיצד‬‫ניתן‬‫להיערך‬‫טוב‬‫יותר‬‫על‬‫מנת‬‫לסכל‬‫תקיפה‬‫כזו‬‫בעתיד‬
‫בשבוע‬‫לאחר‬‫התקיפה‬‫שוחחנו‬‫עם‬‫מספר‬‫מנהלי‬‫אבטחה‬.‫להלן‬‫התובנות‬‫שלנו‬‫משיחות‬‫איתם‬:
1.‫לא‬‫קיימת‬‫היום‬‫יכולת‬‫ממשית‬‫של‬‫ארגונים‬‫לבדוק‬‫ולמנוע‬‫קבלת‬‫עדכוני‬‫תוכנה‬‫ממקור‬‫לגיטימי‬‫שמכיל‬‫נוזקה‬.‫המשמעות‬
‫היא‬‫שתקיפה‬‫כמו‬‫זו‬‫שבוצעה‬‫באוקראינה‬‫הייתה‬‫פוגעת‬‫קשות‬‫גם‬‫בחברות‬‫בישראל‬.‫יש‬‫צורך‬‫למפות‬‫ולבדוק‬‫איך‬‫ניתן‬
‫לנטר‬‫את‬‫העדכונים‬‫המתקבלים‬‫מחברות‬‫שלהן‬‫תוכנות‬‫מותקנות‬‫בארגון‬.
2.‫קיימת‬‫חשיבות‬‫רבה‬‫לשמירה‬‫על‬Security Baseline‫בארגון‬‫כשהרכיבים‬‫הקריטיים‬‫הם‬-‫סגמנטציה‬,‫ניהול‬‫הרשאות‬
‫קפדני‬,‫שמירת‬‫גיבויים‬‫המנותקים‬‫לחלוטין‬‫מהרשת‬‫ויכולת‬‫מוכחת‬‫להתאוששות‬‫מאסון‬.
3.‫המידע‬‫על‬‫התקיפה‬‫הגיע‬‫באירוע‬‫הזה‬‫באופן‬‫מקוטע‬,‫לא‬‫ברור‬,‫עם‬‫הרבה‬‫טעויות‬.‫הארגון‬‫נדרש‬‫להתמודד‬‫בזמן‬‫אמת‬
‫עם‬‫תקיפה‬‫כשתהליך‬‫קבלת‬‫החלטות‬‫המבוסס‬‫על‬‫מידע‬‫חלקי‬‫בלבד‬‫שחלקו‬‫שגוי‬.‫ברור‬‫שככל‬‫שארגון‬‫יקבל‬‫מידע‬
‫אמין‬‫ומדויק‬‫על‬‫התקיפה‬‫בזמן‬‫אמת‬‫ויבין‬‫מהר‬‫יותר‬‫את‬‫מהות‬‫התקיפה‬,‫דרך‬‫ביצועה‬‫והמאפיינים‬‫הטכניים‬‫שלה‬–‫כך‬
‫יוכל‬‫לבצע‬‫פעולות‬‫חרום‬‫למניעת‬‫פגיעה‬‫בארגון‬)‫כאן‬‫נכנסים‬‫לפעולה‬‫שרותי‬‫מודיעין‬‫סייבר‬,‫התרעות‬‫מחברות‬‫אנטי‬
‫וירוס‬,‫מארגוני‬CERT.(
4.‫חברות‬‫שלהם‬‫סניפים‬‫במדינות‬‫שונות‬‫בעולם‬‫צריכות‬‫להיערך‬‫לכך‬‫שניתן‬‫יהיה‬‫לנתק‬‫בזמן‬‫קצר‬‫את‬‫אותם‬‫סניפים‬
‫במדינות‬‫שנפגעו‬‫מרשתות‬‫החברות‬.,‫זה‬ ‫מסוג‬ ‫מתקפה‬ ‫על‬ ‫אינדיקציות‬ ‫יש‬ ‫כאשר‬‫יש‬‫לשקול‬‫כיבוי‬‫מידי‬‫של‬‫הרשתות‬
‫באותם‬‫סניפים‬.‫צריך‬‫להבין‬‫שאם‬‫מתווה‬‫התקיפה‬‫הוא‬‫של‬‫פצצות‬‫זמן‬,‫ניתוק‬‫לרוב‬‫יהיה‬‫מאוחר‬‫מדי‬‫כמו‬‫שראינו‬‫במרסק‬
‫ובחברת‬TNT.
5.‫וקטורי‬‫התקיפה‬‫וכלי‬‫התקיפה‬‫השתפרו‬‫מהותי‬ ‫באופן‬‫ו‬‫כיום‬‫מייצרים‬‫איומים‬‫חדשים‬‫על‬‫מערכי‬‫ההגנה‬.‫אם‬‫בארבע‬
‫השנים‬‫האחרונות‬‫וקטור‬‫התקיפה‬‫הראשי‬‫היה‬‫דואר‬‫אלקטרוני‬‫וארגונים‬‫הצליחו‬‫לייצר‬‫פחות‬‫או‬‫יותר‬‫מעטה‬‫הגנה‬
‫אפקטיבי‬‫לווקטור‬‫זה‬,‫התקיפות‬‫האחרונות‬‫התבצעו‬‫תוך‬‫ניצול‬‫חולשות‬‫חדשות‬‫שמחייבות‬‫הערכות‬‫הגנתית‬‫חדשה‬.
‫תחקור‬‫האירוע‬
‫כשבוע‬‫לאחר‬‫המתקפת‬NotPetya)‫הידועה‬‫גם‬‫כ‬Diskcoder / ExPetr / PetrWrap,(‫אשר‬‫מחקה‬‫אלפי‬‫מחשבים‬‫והשפיעה‬
‫על‬‫חברות‬‫ומדינות‬‫הקשורות‬‫בקשרי‬‫מסחר‬‫עם‬‫אוקראינה‬‫ברחבי‬‫העולם‬,‫חברות‬‫האבטחה‬Talos18
‫ו‬-19
ESET‫פרסמו‬
‫דוחות‬‫חקירה‬‫החשפו‬‫ממצאים‬‫חדשים‬‫מהאירוע‬.‫להלן‬‫סיכום‬‫וניתוח‬‫של‬‫ממצאים‬‫אלו‬.
‫מועד‬‫תחילת‬‫התקיפה‬‫היה‬‫מוקדם‬‫ושונה‬‫מהממצאים‬‫הראשונים‬‫של‬‫חקירת‬‫התקיפה‬.‫התקיפה‬‫החלה‬‫באפריל‬2017
‫ולא‬‫בסוף‬‫ביוני‬
‫וקטור‬‫ההדבקה‬‫הראשוני‬‫התבצע‬‫באמצעות‬‫התקנת‬‫דלת‬‫אחורית‬‫בתוכנת‬‫הנהלת‬‫החשבונות‬‫האוקראינית‬MeDoc.‫התוקף‬
‫פרץ‬‫לשרת‬‫העדכונים‬‫של‬MeDoc,‫ושינה‬‫את‬‫התוכנה‬‫כך‬‫שתכלול‬‫דלת‬‫אחורית‬.‫גרסה‬‫ראשונה‬‫הופצה‬‫לכלל‬‫הארגונים‬
‫המשתמשים‬‫בתוכנה‬‫זו‬‫באפריל‬2017.
‫הנוזקה‬‫היא‬‫נוזקת‬‫הרס‬Wiper,‫לא‬‫כופרה‬
‫נוזקת‬‫ההרס‬‫בה‬‫נעשה‬‫שימוש‬‫השתמש‬‫בנוזקת‬Petya–‫נוזק‬‫ת‬‫כופר‬‫בשימוש‬‫גורמי‬‫פשיעה‬‫גורמים‬ ‫כי‬ ‫לציין‬ ‫חשוב‬ ‫זאת‬ ‫עם‬ .
‫אלו‬‫אינם‬‫קשורים‬‫לתקיפות‬‫באוקראינה‬.‫התוקף‬‫השתמש‬‫בקובץ‬‫הבינארי‬‫של‬Petya,‫ושינה‬‫אותו‬‫לצרכיו‬,‫יתכן‬‫כדי‬‫ליצור‬
‫בלבול‬‫והטעייה‬‫במהלך‬‫התקיפה‬.‫בתקיפה‬‫באוקראינה‬,‫בניגוד‬‫לתקיפות‬‫נוזקת‬‫כופר‬‫פליליות‬‫לצרכי‬‫רווח‬‫כספי‬,‫התוקף‬‫לא‬
17 https://ssu.gov.ua/ua/news/1/category/2/view/3660#sthash.eXmK8lpy.Kg8ZGUD4.dpbs
18 http://blog.talosintelligence.com/2017/07/the-medoc-connection.html?m=1
19 https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/

17. ©‫ל‬ ‫שמורות‬ ‫הזכויות‬ ‫כל‬ClearSky Cyber Security Ltd.2017
‫עמוד‬17‫מתוך‬71
‫מסוגל‬‫היה‬‫להשיב‬‫את‬‫הקבצים‬‫המוצפנים‬‫ובכל‬‫מקרה‬‫לא‬‫תכנן‬‫לעשות‬‫זאת‬.‫לכן‬,‫הנוזקה‬‫היא‬‫בעצם‬Wiper–‫כלי‬
‫להשבתת‬‫המחשב‬‫והשמדת‬‫ראיות‬,‫ולא‬‫נוזקת‬‫כופר‬.
‫שרת‬‫השליטה‬‫של‬‫הדלת‬‫האחורית‬‫היה‬‫שרת‬‫העדכונים‬‫הלגיטימי‬‫של‬‫תוכנת‬‫הנהלת‬‫החשבונות‬
‫התוקפים‬‫הגדירו‬‫מחדש‬‫את‬‫התקשורת‬‫לשרת‬‫העדכונים‬‫של‬‫תוכנת‬MeDoc‫כך‬‫שיוכל‬‫לתעל‬‫תעבורה‬‫אל‬‫שרת‬‫בשליטת‬
‫התוקפים‬.‫באופן‬‫זה‬,‫הנוזקה‬‫אשר‬‫בשלב‬‫זה‬‫הייתה‬‫מותקנת‬‫באלפי‬‫ארגונים‬,‫תקשרה‬‫עם‬‫שרת‬‫השליטה‬‫דרך‬‫שרת‬
‫לגיטימי‬.‫בנוסף‬‫לכך‬,‫התקשורת‬‫והזלגת‬‫הנתונים‬‫בוצעה‬‫באופן‬‫קשה‬‫לאיתור‬–‫דרך‬‫עוגיות‬‫בתעבורת‬web.
‫משמעויות‬
‫צוותי‬‫האבטחה‬‫באלפי‬‫ארגונים‬‫וכלל‬‫ספקי‬‫שירותי‬‫האבטחה‬‫לא‬‫איתרו‬‫את‬‫פעילות‬‫הנוזקה‬‫לאורך‬‫תקופה‬‫ארוכה‬
‫על‬‫אף‬‫שהגרסה‬‫נושאת‬‫הנוזקה‬‫הותקנה‬‫החל‬‫מאפריל‬‫באלפי‬‫ארגונים‬,‫וכן‬‫נראה‬‫שהושמשה‬‫לביצוע‬‫פעולות‬‫זדוניות‬20
,
‫פעולת‬‫הנוזקה‬‫לא‬‫אותרה‬‫עד‬‫אשר‬‫התוקפים‬‫הפכו‬‫אותה‬‫לרועשת‬‫במיוחד‬‫על‬‫ידי‬‫השבתת‬‫פעילות‬‫בארגונים‬.
‫לא‬‫קיימים‬‫אינדיקטורים‬‫אשר‬‫היו‬‫יכולים‬‫להצביע‬‫על‬‫תעבורת‬‫הנוזקה‬‫לאתר‬‫ולחסום‬‫אותה‬
‫בדומה‬‫ל‬-WannaCry,‫ובאופן‬‫דומה‬‫לפעילות‬APT10‫אשר‬‫תקפה‬‫דרך‬‫שרשרת‬‫אספקה‬,‫לא‬‫ניתן‬‫לאתר‬,‫לנטר‬‫ולחסום‬
‫תעבורת‬‫אינטרנט‬‫של‬‫הנוזקות‬‫בעזרת‬‫כתובת‬IP‫ודומיינים‬‫זדוניים‬.‫הסיבה‬‫לכך‬‫היא‬‫שהשליטה‬‫בכלים‬‫אלו‬‫מבוצעת‬
‫באמצעות‬‫תקשורת‬‫לגיטימית‬‫אל‬‫ספקי‬‫שירות‬)‫או‬‫ללא‬‫כל‬‫שרת‬‫שליטה‬‫במקרה‬‫של‬WannaCry.(
‫ל‬ ‫פריצה‬‫נוסף‬ ‫אוקראיני‬ ‫חשבון‬ ‫הנהלת‬ ‫תוכנת‬ ‫ספק‬
‫בסגנון‬ ‫נוספת‬ ‫מתקפה‬ ‫מפני‬ ‫חששות‬ ‫עלו‬ ‫באוגוסט‬NotPetya‫חברת‬ ‫ששרתי‬ ‫לאחר‬Crystal Finance Millennium‫נפרצו‬21
.
‫מייצרת‬ ‫זו‬ ‫חברה‬‫תוכנת‬‫הנהלת‬‫החשבונות‬.‫הנוזקה‬ ‫את‬ ‫איכסנו‬ ‫הם‬ ‫בהם‬ ‫הווב‬ ‫לשרתי‬ ‫חדרו‬ ‫התוקפים‬ .‫באוקראינה‬ ‫נפוצה‬
‫ל‬ ‫בניגוד‬ ‫זאת‬ ‫עם‬-NotPetya‫לשרתי‬ ‫חדרו‬ ‫לא‬ ‫התוקפים‬ ,CFM.‫תוכנה‬ ‫עידכוני‬ ‫ללקוחות‬ ‫מפיצים‬ ‫אשר‬
‫שמתקפת‬ ‫מכיוון‬ ‫חשוד‬ ‫זה‬ ‫מועד‬ .‫האוקראיני‬ ‫העצמאות‬ ‫יום‬ ‫לפני‬ ‫ימים‬ ‫מספר‬ ‫זוהתה‬ ‫הפריצה‬ ,‫כן‬ ‫כמו‬NotPetya‫התרחשה‬
‫לפני‬ ‫יום‬‫חג‬-‫קשורה‬ ‫ולא‬ ‫גנרית‬ ‫מתקפה‬ ‫הינה‬ ‫זו‬ ‫מתקפה‬ ‫כי‬ ‫נראה‬ ,‫האירוע‬ ‫תחקור‬ ‫פי‬ ‫על‬ ,‫זאת‬ ‫עם‬ .‫האוקראיני‬ ‫החוקה‬ ‫יום‬
‫ל‬-NotPetya.‫נכון‬‫דצמבר‬ ‫לתחילת‬‫לא‬‫נו‬ ‫מתקפה‬ ‫זוהה‬.‫אוקראינה‬ ‫כנגד‬ ‫זה‬ ‫מסוג‬ ‫ספת‬
‫אירוע‬‫נוזקת‬‫ההרס‬WannaCry
‫ביום‬‫שישי‬12‫מאי‬‫התבצעה‬‫מתקפת‬WannaCry‫בהיקף‬‫חסר‬‫תקדים‬‫וגרמה‬‫להדבקת‬‫ו‬‫פגיעה‬‫ב‬‫למעלה‬‫מ‬-230,000‫אלף‬
‫מחשבים‬‫ו‬‫בלמעלה‬‫מ‬-150‫מדינות‬‫בתוך‬‫יממה‬.‫הנוזקה‬,‫אשר‬‫התבססה‬‫על‬‫חולשה‬‫שאותרה‬‫על‬‫ידי‬‫סוכנות‬‫הביון‬
‫האמריקאית‬NSA‫ונחשפה‬‫בידי‬WikiLeaks,‫תקפה‬‫מערכות‬Windows‫כגון‬XP‫ו‬-7.‫אירגונים‬‫גדולים‬‫רבים‬,‫הן‬‫פרטיים‬‫והן‬
‫ממשלתיים‬‫אשר‬‫לא‬‫עדכנו‬‫את‬‫טלאי‬‫האבטחה‬‫נפגעו‬.
‫עוד‬‫לפני‬‫התקיפה‬,‫חברת‬‫מיקרוסופט‬‫ו‬‫ספקי‬‫תוכנה‬‫רבים‬‫אחרים‬‫שיחררו‬‫עידכוני‬‫אבטחה‬,‫אך‬‫בשל‬‫הקושי‬‫של‬‫אירג‬‫ו‬‫נים‬
‫ליישם‬‫את‬‫העידכונים‬‫במהירות‬‫ובייעילות‬‫לצד‬‫אבולוציה‬‫של‬‫הנוזקה‬,‫המשיכה‬‫הנוזקה‬‫לגרום‬‫נזקים‬‫שבועות‬ ‫מספר‬‫לאחר‬
‫תחילת‬‫ההפצה‬.
‫לדוגמ‬‫א‬,‫ב‬-19‫במאי‬‫חברת‬‫הונדה‬‫נאלצה‬‫להשבית‬‫ליום‬‫שלם‬‫את‬‫פעילות‬‫אחת‬‫המפעלים‬‫שלה‬‫ביפן‬‫לאחר‬‫הדבקה‬22
.
‫מספר‬‫ימים‬‫לאחר‬‫מכן‬,‫ב‬-22‫ביוני‬‫דווח‬‫שמערך‬‫הרמזורים‬‫באוסטרליה‬‫הודבק‬‫ומחלקת‬‫התחבורה‬‫נאלצה‬‫להשבית‬55
‫רמזורים‬‫ומצלמות‬‫מהירות‬23
.‫הדבקה‬‫זו‬‫התרחשה‬‫לאחר‬‫שעובד‬‫חיבר‬‫למערכת‬‫מכשיר‬USB‫נגוע‬.‫ב‬-22‫באוקטובר‬‫רשת‬
‫המרפאות‬‫האמריקאית‬FirstHealth‫היא‬ ‫כי‬ ‫דיווחה‬‫הודבקה‬‫לכן‬ ‫קודם‬ ‫יומיים‬‫בגרסה‬‫של‬WannaCry‫אשר‬‫השביתה‬‫את‬
‫פעילות‬‫הרשת‬.‫יום‬ ‫של‬ ‫זמן‬ ‫לפרק‬
20 https://www.welivesecurity.com/2017/05/23/xdata-ransomware-making-rounds-amid-global-wannacryptor-scare/
21 https://www.bleepingcomputer.com/news/security/ukraine-fears-second-ransomware-outbreak-as-another-accounting-firm-got-
hacked/
22 http://news.softpedia.com/news/honda-shuts-down-car-production-plant-due-to-wannacry-infection-516583.shtml
23 http://news.softpedia.com/news/wannacry-virus-takes-down-traffic-lights-and-speed-cameras-in-australia-516614.shtml