סחיטה ותוכנות כופר הן המניע ליותר ממחצית מתקיפות הסייבר

במחצית הראשונה של שנת 2025, נתוני מיקרוסופט הראו כי ישראל היוותה כ-20.4% מהלקוחות שנפגעו מפעילות סייבר במזרח התיכון ובאפריקה.

Imagen abstracta-Microsoft Digital Defense Report 2025

מאת איימי הוגן-ברני, סגנית נשיא בכירה לאבטחת לקוחות ואמון במיקרוסופט:

במחצית הראשונה של שנת 2025, נתוני מיקרוסופט הראו כי ישראל היוותה כ-20.4% מהלקוחות שנפגעו מפעילות סייבר במזרח התיכון ובאפריקה.

ב־80% מהאירועים הקשורים לסייבר שנחקרו על ידי צוותי האבטחה של מיקרוסופט בשנת 2025, התוקפים ניסו לגנוב מידע – מגמה המונעת יותר ממניעים כלכליים מאשר מאיסוף מודיעין.  לפי דוח ההגנה הדיגיטלית האחרון של מיקרוסופט, שנכתב יחד עם מנהל אבטחת המידע הראשי שלנו, איגור ציגנסקי, יותר ממחצית מתקיפות הסייבר שמניעיהן ידועים נבעו מסחיטה או תוכנות כופר. מדובר בלפחות 52% מהאירועים שמונעים מרווח כספי, בעוד שתקיפות שהתמקדו בריגול בלבד היוו רק 4%. איומים מצד מדינות ממשיכים להוות איום רציני ומתמשך, אך רוב התקיפות המיידיות שארגונים מתמודדים איתן כיום מגיעות מפושעים מזדמנים שמחפשים להרוויח כסף.

מדי יום, מיקרוסופט מעבדת יותר מ-100 טריליון אותות, חוסמת כ-4.5 מיליון ניסיונות תוכנה זדונית חדשים, מנתחת 38 מיליון זיהויים של סיכוני אבטחת מידע, ובודקת 5 מיליארד הודעות דוא"ל לאיתור תוכנות זדוניות ופישינג. ההתקדמות הטכנולוגית שמאפשרת אוטומציה של פעולות וגישה לכלים זמינים ומתקדמים, אפשרו לפושעי סייבר – גם כאלה עם ידע טכני מוגבל – להרחיב את פעילותם באופן משמעותי. השימוש בבינה מלאכותית תרם אף הוא למגמה זו, כאשר פושעי סייבר מאיצים את פיתוח התוכנות הזדוניות ויוצרים תוכן מציאותי יותר, מה שמייעל פעילויות כמו פישינג ומתקפות כופר. כתוצאה מכך, פושעי סייבר מזדמנים מכוונים כיום לכולם — גדולים כקטנים — מה שהופך את הפשיעה המקוונת לאיום אוניברסלי, תמידי, שחודר לחיי היומיום שלנו.

בסביבה הזו, מנהלים חייבים להתייחס לאבטחת מידע כעדיפות אסטרטגית מרכזית – ולא רק כ"בעיית מחשוב" – ולבנות חוסן טכנולוגי ותפעולי מהיסוד. בדו"ח ההגנה הדיגיטלית השנתי השישי של מיקרוסופט, אשר מסקר מגמות בין יולי 2024 ליוני 2025, אנו מדגישים כי אמצעי אבטחה מסורתיים כבר אינם מספקים; יש צורך בהגנות מודרניות שמבוססות על בינה מלאכותית ושיתוף פעולה חזק בין תעשיות וממשלות כדי לעמוד בקצב האיומים. עבור אנשים פרטיים, צעדים פשוטים כמו שימוש בכלי אבטחה חזקים — במיוחד אימות רב-שלבי עמיד בפני פישינג –  עושים הבדל משמעותי, שכן אימות רב-שלבי יכול לחסום מעל 99% מהתקיפות מבוססות זהות.

שירותים חיוניים הפכו למטרות עיקריות עם השפעה ממשית בעולם האמיתי.

פושעי סייבר ממשיכים להתמקד בתקיפת שירותים ציבוריים חיוניים – מטרות שכאשר הן נפרצות, יש להן השפעה ישירה ומיידית על חיי האנשים. בתי חולים ורשויות מקומיות, למשל, הם כולם מטרות אטרקטיביות משום שהם מאחסנים מידע רגיש, או פועלים עם תקציבי אבטחת מידע מצומצמים ויכולות תגובה מוגבלות לאירועים, מה שמוביל לעיתים קרובות לשימוש בתוכנה מיושנת. בשנה האחרונה, תקיפות סייבר על מגזרים אלו גרמו להשלכות ממשיות, כולל עיכוב בטיפול רפואי דחוף, שיבוש שירותי חירום, ביטול שיעורים בבתי ספר, והשבתת מערכות תחבורה.

שחקני כופרה מתמקדים במיוחד במגזרים קריטיים אלה בשל האפשרויות המוגבלות של הקורבנות. לדוגמה, בית חולים חייב לשחזר במהירות את מערכותיו המוצפנות – אחרת חיי מטופלים עלולים להיות בסכנה – מה שעלול להשאיר לו ברירה אחת בלבד: לשלם. בנוסף, ממשלות, בתי חולים ומוסדות מחקר מאחסנים מידע רגיש שפושעים יכולים לגנוב ולהפיק ממנו רווח בשווקים בלתי חוקיים וב-Dark Web, מה שמגביר פעילות פלילית נוספת. הממשלות והתעשייה יכולות לשתף פעולה כדי לחזק את אבטחת הסייבר במגזרים אלו – במיוחד עבור הפגיעים ביותר. מאמצים אלו חיוניים להגנה על קהילות ולהבטחת רציפות בטיפול רפואי, חינוך ושירותי חירום.

שחקנים מדינתיים מרחיבים את פעילותם.

בעוד שפושעי סייבר מהווים את האיום הגדול ביותר מבחינת היקף הפעילות, שחקני מדינות-לאום ממשיכים לכוון לתעשיות ואזורים מרכזיים, תוך הרחבת המיקוד לריגול – ובחלק מהמקרים גם לרווח כלכלי. ישנה עלייה בפעילות סייבר בחסות מדינות כנגד מטרות גיאופוליטיות, תוך התרחבות המיקוד גם בתקשורת, במחקר ובאקדמיה.

תובנות מרכזיות:

  • סין ממשיכה במאמציה להרחיב את התקיפות כלפי תעשיות שונות לצורך ריגול וגניבת מידע רגיש. שחקנים הקשורים לסין תוקפים יותר ויותר ארגונים לא ממשלתיים (NGOs) כדי להרחיב את הבנתם על המתרחש, תוך שימוש ברשתות חשאיות ובמכשירים חשופים לרשת האינטרנט כדי לחדור אליהם ולחמוק מגילוי. הם גם הפכו למהירים יותר בחשיפה של חולשות שהתגלו לאחרונה.
  • איראן מרחיבה את מגוון המטרות שלה יותר מאי פעם, מאזור מזרח התיכון ועד צפון אמריקה, כחלק מהרחבת פעילות הריגול שלה. לאחרונה, שלושה שחקנים מדינתיים הקשורים לאיראן תקפו חברות בתחום השילוח והלוגיסטיקה באירופה ובמפרץ הפרסי כדי להשיג גישה מתמשכת למידע מסחרי רגיש, מה שמעורר את החשד שאיראן מנסה להתערב בפעילות השילוח המסחרית.
  • רוסיה, אף שעדיין ממוקדת במלחמה באוקראינה, הרחיבה את מגוון המטרות שלה. לדוגמה, מיקרוסופט הבחינה בשחקנים מדינתיים הקשורים לרוסיה שתוקפים עסקים קטנים במדינות התומכות באוקראינה. למעשה, מחוץ לאוקראינה, עשר המדינות שנפגעו ביותר מפעילות סייבר רוסית משתייכות כולן לברית נאט"ו – עלייה של 25% לעומת השנה שעברה. ייתכן ששחקנים רוסיים רואים בעסקים הקטנים נקודות גישה פוטנציאליות, מעוטי משאבים, שמהם ניתן לחדור לארגונים גדולים יותר.
  • צפון קוריאה ממשיכה להתמקד ביצירת הכנסות ובריגול. במגמה שמשכה תשומת לב רבה נראה כי אלפי עובדי IT הקשורים לצפון קוריאה ופועלים מרחוק, הגישו מועמדות למשרות בחברות ברחבי העולם, כשהם מעבירים את משכורותיהם לממשלה ככספי העברה. כאשר הם מתגלים, חלק מהעובדים הללו פונים לסחיטה כאמצעי נוסף ליצירת הכנסות עבור המשטר.

איומי הסייבר שמציבים שחקנים מדיניים הופכים לנרחבים ובלתי צפויים יותר. בנוסף, המעבר של לפחות חלק מהשחקנים הללו לניצול מוגבר של תשתיות פשיעה מקוונת מקשה עוד יותר על יכולת הייחוס. הדבר מדגיש את הצורך של ארגונים להישאר מעודכנים באיומים הרלוונטיים לתעשייה שלהם ולשתף פעולה עם עמיתים בתעשייה ועם ממשלות כדי להתמודד עם האיומים שמציבים שחקנים מדיניים.

בשנת 2025 נרשמה הסלמה בשימוש בבינה מלאכותית, הן מצד תוקפים והן מצד מגנים.

בשנה האחרונה, תוקפים ומגנים כאחד רתמו את כוחן של מערכות ה-AI. שחקנים זדוניים עושים שימוש בבינה מלאכותית כדי לשדרג את התקיפות שלהם באמצעות אוטומציה של פשינג, הרחבת הנדסה חברתית, יצירת תוכן מזויף, איתור מהיר יותר של פרצות, ופיתוח תוכנות זדוניות בעלות יכולת הסתגלות. גם שחקנים מדינתיים המשיכו לשלב בינה מלאכותית בפעולות השפעה במרחב הסייבר. פעילות זו התגברה בחצי השנה האחרונה, כאשר שחקנים עושים שימוש בטכנולוגיה כדי להפוך את מאמציהם למתקדמים, נרחבים וממוקדים יותר.

עבור מגנים, הבינה המלאכותית מוכיחה את עצמה ככלי בעל ערך רב. מיקרוסופט, לדוגמה, עושה שימוש ב-AI כדי לזהות איומים, לסגור פערי זיהוי, ללכוד ניסיונות פישינג ולהגן על משתמשים פגיעים. ככל שהסיכונים וההזדמנויות בתחום הבינה המלאכותית מתפתחים במהירות, ארגונים חייבים לתת עדיפות לאבטחת כלי ה-AI שלהם ולהכשיר את צוותיהם בהתאם. כולם, מהתעשייה ועד לממשל, נדרשים לפעול באופן יזום כדי לעמוד בקצב של תוקפים מתוחכמים יותר ולהבטיח שמערכי ההגנה יישארו צעד אחד לפני היריבים.

היריבים אינם פורצים פנימה — הם פשוט מתחברים.

על רקע התחכום הגובר של איומי הסייבר, נתון אחד בולט במיוחד: יותר מ-97% מהתקיפות על זהויות הן תקיפות סיסמה. רק במחצית הראשונה של שנת 2025, תקיפות מבוססות זהות זינקו ב-32%. המשמעות היא שרוב ניסיונות ההתחברות הזדוניים שארגון עלול להתמודד איתם מתבצעים באמצעות ניסיונות ניחוש סיסמה בהיקף רחב. התוקפים משיגים שמות משתמש וסיסמאות ("אישורים") עבור תקיפות אלו בעיקר מדליפות מידע.

עם זאת, דליפות מידע אינן המקור היחיד להשגת אישורים. השנה נרשמה עלייה בשימוש בתוכנות זדוניות מסוג Infostealer מצד פושעי סייבר. תוכנות אלו מסוגלות לאסוף באופן סמוי אישורים ומידע על חשבונות מקוונים, כמו אסימוני סשן (מזהי התחברות זמניים) של דפדפנים, בהיקפים גדולים. פושעי סייבר יכולים לרכוש את המידע הגנוב הזה בפורומים של פשיעת סייבר, מה שמקל על כל גורם זדוני לגשת לחשבונות, למשל לצורך הפצת תוכנות כופר.

למזלנו, הפתרון לפגיעה בזהות הוא פשוט. יישום אימות רב-שלבי עמיד בפני פישינג (MFA) יכול לעצור מעל 99% מסוג זה של תקיפות – גם אם לתוקף יש את שם המשתמש והסיסמה הנכונים. כדי להתמודד עם שרשרת האספקה הזדונית, יחידת הפשיעה הדיגיטלית של מיקרוסופט (DCU) פועלת נגד השימוש של פושעי סייבר בתוכנות  Infostealer. במאי, יחידת הפשיעה הדיגיטלית של מיקרוסופט שיבשה את פעילות תוכנת ה-Infostealer הפופולרית ביותר – Lumma Stealer – בשיתוף עם משרד המשפטים האמריקאי ו-Europol.

המשך הדרך: אבטחת סייבר היא עדיפות הגנתית משותפת

ככל ששחקנים זדוניים הופכים למתוחכמים, עקשניים ומזדמנים יותר, ארגונים חייבים להישאר ערניים, לעדכן את מערכי ההגנה שלהם באופן שוטף ולשתף מידע מודיעיני. מיקרוסופט ממשיכה במחויבותה לחזק את מוצריה ושירותיה במסגרת יוזמת Secure Future. החברה גם ממשיכה לשתף פעולה עם גורמים נוספים כדי לעקוב אחר איומים, להתריע בפני לקוחות שנמצאים תחת מתקפה ולשתף תובנות עם הציבור הרחב כאשר הדבר מתאים.

עם זאת, אבטחת מידע אינה רק אתגר טכנולוגי, אלא גם חובה של המדינה. אמצעים הגנתיים לבדם אינם מספיקים כדי להרתיע יריבים מדינתיים. ממשלות חייבות לבנות מסגרות שמאותתות על תגובה אמינה ומידתית לפעילות זדונית שמפרה את כללי המשפט הבינלאומי. באופן מעודד, ממשלות מזהות יותר ויותר תקיפות סייבר שנעשות על ידי גורמים זרים ומטילות סנקציות וכתבי אישום. שקיפות ואחריות גוברת זו הן צעדים חשובים לבניית הרתעה קולקטיבית. ככל שהטרנספורמציה הדיגיטלית מואצת, במיוחד עם עליית הבינה המלאכותית, איומי הסייבר מציבים סיכונים ליציבות הכלכלית, לממשל ולביטחון האישי. התמודדות עם אתגרים אלה דורשת לא רק חדשנות טכנולוגית, אלא פעולה מתואמת ברמה החברתית.

תגיות: