השבוע ה-FBI הודיע על סגירת First VPN – שירות VPN פרטי שלפי החוקרים שימש עשרות קבוצות כופר וסייעני פריצה לטשטש את עקבותיהם בתקיפות. השלכות הסיפור הזה רחבות יותר ממה שנראה – הוא חושף איך המערכת של מתקפות כופר עובדת ב-2026, ומה זה אומר לעסקים בארץ.
איך פועלת מערכת מתקפות הכופר ב-2026
בעבר, קבוצת כופר הייתה קבוצה אחת שעושה הכל – מוצאים פירצה, נכנסים, מצפינים, דורשים כסף. ב-2026 זה כבר לא ככה. המערכת התפצלה לתפקידים נפרדים:
- Initial Access Brokers (IABs): מומחים בלמצוא דרך להיכנס לארגונים. הם לא תוקפים בעצמם – הם מוכרים גישה למי שמשלם.
- Ransomware-as-a-Service: קבוצות שמפתחות את הכלי ההצפנה ומשכירות אותו לקבוצות תקיפה.
- Operators: אלה שעושים את העבודה בפועל – נכנסים עם הגישה שקנו, מצפינים, ומנהלים את המשא ומתן.
- Negotiators: מומחים במשא ומתן עם הקורבן. דוברי אנגלית טובה, סבלניים, מקצועיים.
- Money mules: מי שמעבירים את הכסף בלי להישרף.
- Infrastructure providers: כאן נכנס First VPN. הם סיפקו תשתית רשת אנונימית לכל הגורמים הקודמים.
למה הסגירה של First VPN חשובה
חוקרי FBI לא רק סגרו את ה-VPN – הם זיהו את כל 506 הלקוחות שלו. זה אומר שיש להם עכשיו רשימה של אנשים שהיו מעורבים בתקיפות, יחד עם השעות והמכשירים שהם השתמשו בהם. החקירות ההמשך כבר התחילו במספר מדינות.
בטווח הקצר זה ישתק כמה קבוצות. בטווח הבינוני – יקומו ספקים חדשים. הסיפור האמיתי הוא לא הסיפור הספציפי, אלא מה אנחנו לומדים מהשיטה.
מה עסק קטן או בינוני יכול ללמוד
נקודה ראשונה: אתם לא יעד אקראי. ה-IABs עובדים על מאגרי מטרות מאורגנים. הם סורקים את האינטרנט אחרי VPNs פגיעים, RDPs חשופים, ואפליקציות עם פגיעויות ידועות. אם יש לכם RDP חשוף לאינטרנט עם סיסמה בינונית, הזמן עד שאתם ברשימה הוא ימים בודדים.
נקודה שנייה: הפריצה לא קורית באותו יום שאתם מצפנים. ברוב המקרים, ה-IAB מקבל גישה, מוכר אותה, וזה לוקח שבועות עד שהקונה מתחיל לפעול. בזמן הזה אתם יכולים לזהות פעילות חריגה אם יש לכם ניטור נכון.
נקודה שלישית: ביטוח לא תמיד מציל. ב-2026 חברות הביטוח מסרבות לשלם אם יוכיחו שהארגון לא ביצע צעדים בסיסיים: MFA, גיבוי מבודד, ניטור. אם הוכיחו שהפריצה הייתה דרך RDP פתוח שלא בוטל – הביטוח מסרב.
שלוש פעולות שעוצרות 80% מהתקיפות
זה לא חוכמה גדולה. רוב הקבוצות לא מחפשות אתגר – הן מחפשות עסק קל. אם תקשו עליהן, הן יזוזו ליעד הבא.
- אין RDP חשוף לאינטרנט. אין יוצא מן הכלל. אם צריך גישה מרחוק – VPN עם MFA או פתרון ZTNA. RDP ישיר זה לא 2026.
- גיבוי מבודד פעם ביום, נבדק פעם בחודש. "מבודד" אומר שלא מחובר לרשת בזמן הגיבוי. בלי זה – הגיבוי שלכם מוצפן יחד עם השרת.
- MFA על הכל. לא רק על Office. VPN, SSH, RDP פנימי, ניהול cloud, פאנלים של ספקים. כל מקום שאפשר להזדהות בו צריך MFA. אנחנו רואים את זה כל יום אצל לקוחות חדשים – יש להם MFA על המייל אבל לא על ה-VPN. וכש-VPN נפרץ, התקיפה כבר רצה לעומקי הרשת.
אם אתם רוצים סקירה מהירה של תשתית האבטחה שלכם – 90 דקות, מסקנות ברורות, רשימת פעולות מתועדפת – דברו איתנו. אנחנו עושים את זה לכמה עסקים בחודש, וכמעט תמיד מוצאים 2-3 פערים שניתן לסגור באותו שבוע ומעלים את רף ההגנה משמעותית.
לקריאה נוספת על איך תוקפים נכנסים לארגונים, יש לנו פוסט על EvilTokens שמסביר טכניקה מתקדמת לעקוף MFA – גם מי שכבר חושב שמסודר עם MFA צריך לקרוא.