IT News פורטל המחשוב העסקי וההייטק של ישראל
ממצאים חדשים של חברת הסייבר CYFOX חושפים את מנגנון הפעולה של אחת מקבוצות הכופר המסוכנות בעולם
תל אביב, 21 מאי 2025 – חוקרי סטארט אפ הסייבר הישראלי CYFOX חושפים את שיטות התקיפה והמודיעין סביב קבוצת התקיפה DragonForce , קבוצת כופר פעילה המוכרת בזירת הסייבר ההתקפי. המחקר מקבל משנה תוקף לאור הדיווחים המאשרים כי הקבוצה עומדת מאחורי מתקפת הכופר על ענקיות הקמעונאות הבריטיות מארקס&ספנסר, קו-אופ והארודס שהתרחשה בשבועות האחרונים והובילה לדלף נתונים מאסיבי.
מתקפות הסייבר על רשתות הקמעונאות הבריטיות מהוות עדות לאיום הגובר מצד קבוצת התקיפה DragonForce ומסמנות עליית מדרגה בפעילות הקבוצה, המהווה כיום גורם מרכזי בגל תקיפות כופר מתוחכמות נגד ארגונים ברחבי העולם. במחקר שביצעו חוקריCYFOX , סטארט-אפ הסייבר המתמחה בפתרונות מבוססי GenAI, נחשפת הקבוצה כגוף מתוחכם המשתמש בשיטות מתקדמות להצפנה, הדלפה ולחץ פסיכולוגי על קורבנות.
על פי פרסום של כלי תקשורת בבריטניה, קבוצת DragonForce הייתה מעורבת ישירות או בעקיפין בתקיפות שבוצעו נגד רשתות המסחר. המתקפה על M&S כללה הצפנה של מערכות מידע קריטיות ופרסום הדרגתי של מידע רגיש של עובדים ולקוחות. ב-M&S דווח גם על שיבוש נרחב במערכות ההזמנות וההפצה, דבר שהוביל להפסדים של מיליוני ליש"ט ביום ולביטול המוני של הזמנות לקראת הקיץ. ברשת Co-op התוקפים טענו כי גנבו מידע של כ-20 מיליון חברי מועדון ואילו בהארודס השביתה התקיפה חלק מהשירותים.
המחקר של CYFOX מציג ניתוח טכני מעמיק של הכלים, השרתים והתשתיות שמפעילה DragonForce כולל איתור תת-דומיינים, כתובות IP משויכות, מסמכים פנימיים ותיעוד של שיחות פנימיות מתוך שרת ה-Command & Control של הקבוצה. על פי CYFOX מדובר בקבוצת איום רבת-זרועות המשתמשת בטכניקות כמו הצפנת קבצים, איומי דלף, וטקטיקות של הנדסה חברתית כדי למקסם נזק לארגונים.
לדברי חוקרי CYFOX, התשתית הדיגיטלית שנחשפה כוללת רשימות קורבנות, שיטות תקיפה, וכלי שליטה מרחוק, והיא עשויה לאפשר לגורמים בשוק האבטחה להיערך טוב יותר ולמנוע תקיפות דומות בעתיד.
הקבוצה, שמקורה במלזיה והחלה את דרכה כקבוצת אקטיביזם פוליטי עם זיקה למאבקים פרו-פלסטיניים, עברה בשנים האחרונות לשימוש נרחב במודלים של כופר כפול(Double Extortion) . כלומר, הצפנת מערכות הקורבן בשילוב איום בפרסום מידע רגיש שנגנב, במטרה ללחוץ על הקורבן לשלם דמי כופר.
דוח CYFOX חושף כי DragonForce משתמשת בגרסה של LockBit 3.0 עם התאמות שמקשות על זיהוי הקוד הזדוני, כולל דחיסה מיוחדת להטעיית תוכנות אבטחה, טפטים מותאמים ותשתיות תקשורת מוצפנות מבוססות Tor ו-TOX, תוך מחיקת לוגים ממערכות ההפעלה והתחמקות מכלי ניטור. התקיפות מבוצעות לרוב על ידי חדירה ראשונית באמצעות דיוג ממוקד (spear phishing), פריצה ל-VPN או גניבת אישורי גישה.
בנוסף בנתה קבוצת DragonForce תשתית מקוונת ב-Dark Web הכוללת לא רק קבצים גנובים, אלא גם תמלול של שיחות עם קורבנות וטיימרים להצגת דד-ליין לתשלום כופר – אלמנט המעלה את הלחץ הפסיכולוגי והפוטנציאל לנזק מוניטין מיידי.
חוקרי CYFOX מדגישים כי DragonForce פועלת כיום בשיתוף עם קבוצות נוספות כמו Scattered Spider ומספקת להן תשתיות "כופרה כשירות". שיתוף פעולה זה מגביר את ההיקף והתחכום של המתקפות, כפי שנראה בגל התקיפות האחרון בבריטניה.
המעבר של DragonForce ממניעים אידיאולוגיים לגרעין תקיפה כלכלי ומאורגן, מלווה בהתמקדות בסקטורים קריטיים כמו אנרגיה, בריאות, טכנולוגיה וקמעונאות – כולל מטרות במערב אירופה, הודו וישראל. לדברי ניר יהושע, מנהל מחקר ב- CYFOX: "לא מדובר עוד באקטיביסטים עם אג’נדה פוליטית בלבד. DragonForce מתפקדת כיום כקבוצת תקיפה בעלת אופרציה שלמה, עם תשתיות כופרה כשירות (RaaS) ונוכחות גלובלית ברורה."
"מטרתנו בפרסום המידע הייתה לחשוף את פעולתה הפנימית של אחת מקבוצות הכופרה הפעילות ביותר כיום", אמר יוסי טל, מנכ"ל CYFOX. "השילוב בין ניתוח טכני למודיעין בזמן אמת מאפשר לנו וללקוחותינו להיות צעד אחד לפני התוקפים. האירוע מספק דוגמה חיה להיקף הנזק שעלול להיגרם כאשר תשתיות הגנת הסייבר אינן מעודכנות אל מול האיומים המשתנים."
רשות הסייבר הבריטית, ה-NCSC, פרסמה התרעה בעקבות האירועים האחרונים, וקראה לארגונים לבדוק עדכוני אבטחה קריטיים, לשפר בקרות זהות והרשאות גישה ולבצע סימולציות תגובה למתקפות כופר.
אודות CYFOX
CYFOX מתמחה במתן פתרונות מתקדמים מבוססי בינה מלאכותית המותאמים לכל עסק. תוך מינוף טכנולוגיות מתקדמות, מספקת CYFOX חבילה מקיפה של מערכות לניהול GRC ארגוני, את שרשת האספקה, EDR, XDR ו-SOCaaS, ומבטיחה לעסקים אבטחה חזקה וניתנת להתאמה מפני איומי סייבר מתפתחים. ההתמקדות במחיר סביר ויעילות הופכת את CYFOX לשותף אידיאלי עבור עסקים המבקשים לשפר את האבטחה הדיגיטלית ואת התאימות לרגולציה מבלי להרחיב יתר על המידה את המשאבים שלהם. CYFOX מחויבת להעצים עסקים עם הכלים והתמיכה הדרושים להם כדי לשגשג בעולם דיגיטלי יותר ויותר. www.cyfox.com
