הסייבר סיגניה (Sygnia) מתייחסים הערב לדיווחים כי מאחורי מתקפת הסייבר על בית החולים מעייני הישועה היום עומדת קבוצת ההאקרים המכונה Ragnar Locker. בסיגניה עוקבים כבר מספר שנים אחר פעילות הקבוצה ומציינים כי קבוצת ההאקרים תוקפת תשתיות קריטיות כמו בתי חולים וארגונים בכל רחבי העולם, ועד היום תקפה קורבנות רבים בצפון אמריקה ובאירופה. כעת, לפי הדיווחים, גם ישראל על המפה.

בסיגניה מציינים כי ההאקרים שמאחורי Ragnar Locker, מתמקדים במתקפות כופרה של תשתיות קריטיות באמצעות כלים שהם מפתחים בעצמם. בבלוג שפרסמה החברה מאפריל האחרון, מספק צוות החוקרים של סיגניה כלים לארגונים לצורך זיהוי שיטות וכלי תקיפה של הקבוצה בטרם יוצפן המידע של הארגון בידי ההאקרים.

 
לדברי אורן בידרמן, ראש צוות זיהוי ותגובה לאירועי סייבר בסיגניה, "ההאקרים גונבים מידע רב מהארגון ולאחר מכן מצפינים את תחנות העבודה והשרתים ודורשים כופר על מנת שלא לפרסם את המידע שנגנב ולספק מפתח הצפנה לשרתים שהוצפנו. בבלוג מתואר כיצד ההאקרים עושים זאת וכי חלק מהכלים בהם הם משתמשים פותחו על-ידם. מדובר בקבוצה ותיקה יחסית המוכרת עוד משנת 2020, אך חלק מהכלים והשיטות בהם היא משתמשת טרם נחשפו. בשלב זה, אין ודאות בתעשייה לגבי ארץ המקור ממנה מגיעים חברי הקבוצה, שמעניינת בעיקר בשל העובדה שהיא מתמקדת בחברות השייכות למגזרים של תשתיות קריטיות, כגון: בתי חולים, מפעלים חיוניים וחברות ממשלתיות".

בסיגניה מציינים כי הקבוצה כתבה קוד המאפשר לה "לשלוף" את יומני האירועים והפעולות ממערכת הלוגים של הארגון ב-Windows, שבדרך כלל משמשים אנשי אבטחה בארגון כדי לדעת מה קרה. ההאקרים מנצלים את המידע אליו נחשפו על מנת לבנות רשימת מטרות בתוך הארגון, כדי להתפשט אליהן ולפרוס את תוכנת הכופר ברשת הארגון. בנוסף, הם משתמשים בכלי רוסי לניהול הגישה מרחוק שנקרא remote manipulator system כמנגנון פיקוד ובקרה.

הבלוג של סיגניה מספק מידע כיצד לחקור את הממצאים הפורנזיים שהותיר כלי זה על השרת שנפגע. כלי גישה מרחוק אחר, AnyDesk, שימש את ההאקרים להוצאת נתונים מהארגון ואיפשר להאקרים להישאר "מתחת לרדאר" מבלי לעורר חשד כיוון שמדובר בכלי אדמיניסטרטיבי לגיטימי ושכיח.

עוד ב-

נזק גדול: אחד מבתי החולים המרכזיים בישראל הותקף באירוע סייבר

לכתבה המלאה

בידרמן מסביר כי "ההאקרים יוצרים כלים חדשים כל הזמן על מנת שלא יזהו אותם. השילוב של כלי ניהול לגיטימיים עם כלים מתוצרת עצמית עוזר לקבוצה לחמוק ממערכות ההגנה הפרוסות בארגון. ההאקרים מקפידים למחוק את הכלים שלהם לאחר הרצה ובנוסף מצפינים את המערכות ברשת, כך שלמרות שמדובר בקבוצה ותיקה הם עדיין מצליחים להוציא לפועל תקיפות הגובות מחיר כבד מארגונים".