עד לשנים האחרונות, תקיפות כופרה התבססו על תבניות קבועות: מייל חשוד, קובץ מצורף נגוע, והצפנה רחבה של קבצים. אולם החל מ־2023, ניתן לזהות מגמה ברורה של מעבר מתקיפות גנריות לפעולות ממוקדות ומבוססות מידע, בין היתר הודות לשימוש גובר בבינה מלאכותית.
הבינה המלאכותית הפכה לחלק בלתי נפרד מהארסנל של קבוצות התקיפה. במקום להפיץ אלפי מיילים בתקווה שאחד מהם ייפתח, נעשה ניתוח ממוקד של מידע ציבורי וארגוני כדי לבנות פרופיל של כל יעד. ההתקפה הפכה למבצע מותאם אישית – עם מסרים שמותאמים לשפה, לתפקיד ולסיטואציה.
גם בניהול המשא ומתן חלה קפיצת מדרגה: במקום ניסוחים מאיימים או שגויים, מופיעים ממשקים חכמים שמדמים שיח מקצועי, ענייני ולעיתים אף מתוחכם. האלגוריתמים מנתחים את קצב וסגנון התגובה, ולעיתים גם את מבנה ההיררכיה הפנימית.
בשנת 2024 נרשמה עלייה חדה במספר התקיפות המדווחות – רבות מהן כללו רכיבי בינה מלאכותית, במיוחד בגופים ציבוריים, בריאותיים ותעשייתיים.
לאחר בחירת מטרה, מתקפת כופרה נפרסת במספר שלבים:
התחזות וחדירה: מייל מזויף שמבוסס על ניתוח סגנון אישי של אנשי מפתח, לעיתים תוך שימוש במידע מרשתות חברתיות.
סריקה והתפשטות: הכלי הזדוני סורק את הרשת, מזהה שרתים קריטיים והרשאות, תוך ניתוח תפקידי מפתח בארגון.
הצפנה מתוחכמת: הצפנה ממוקדת בקבצים חיוניים, לעיתים בזמנים רגישים.
משא ומתן חכם: דיאלוג באמצעות פורטל ייעודי, עם תרגום אוטומטי, ניתוח תגובות והתאמת הטון.
סחיטה ולחץ ציבורי: פרסום מידע מודלף, ניהול קמפיין תקשורתי אוטומטי, איתור מסמכים רגישים במיוחד.
קבוצת מדוזה, שפועלת מאז 2021, הפכה ב־2025 לשם מוכר בתחום. היא פועלת במודל "כופרה כשירות (RaaS),”וממוקדת בתקיפות על מוסדות קריטיים כמו בריאות, חינוך ותעשייה. בשנת 2025 דווחו למעלה מ־40 מתקפות בשמה. בין היעדים:HCRG Care Group הבריטי (2.2 טרה-בייט מידע), Toyota Financial, ומערכת החינוך של מיניאפוליס.
מה שמייחד את מדוזה הוא השימוש האסטרטגי בבינה מלאכותית לאורך כל שלבי התקיפה. מעבר להצפנה וסחיטה, נעשה שימוש בכלים לגיטימיים כמו AnyDesk ו־ PowerShell כדי לעקוף זיהוי. היא מפעילה מודלים שפתיים ליצירת מיילים מותאמים אישית, ולניהול משא ומתן מתוזמן ומדויק. התוצאה: מתקפות מדויקות, ממוקדות, ושקטות – עם השפעה קשה על מערכות קריטיות ועם דרישות כופר שיכולות להגיע למיליוני דולרים.
התמודדות עם מתקפות כופר מתוחכמות מתחילה קודם כל בהיבט האנושי – הכשרה של עובדים לזיהוי מיילים חשודים, היכרות עם טכניקות פישינג והטמעת הרגלי אבטחה נכונים. אך מעבר לכך, יש צורך גם בתשתית טכנולוגית חזקה ורציפה שתדע לזהות, להגיב ולשחזר מידע במהירות.
במענה לכך, CTERA מציעה פתרון כולל המתמקד בשלושה אתגרים מרכזיים: זיהוי, זמינות, ושחזור
זיהוי מוקדם מבוסס בינה מלאכותית
בלב המערכת פועל מודל בינה מלאכותית מובנה, שמזהה מתקפות כופר בזמן אמת באמצעות ניתוח התנהגותי. זהו מודל ייעודי שאינו נשען על חתימות קבצים אלא על ניתוח דפוסים חריגים בהרגלי השימוש הארגוניים. המודל פועל באופן מיידי, ללא צורך באימון מוקדם בסביבת הלקוח.
זמינות תמידית של קבצים, בכל מקום ובכל זמן – עם רציפות תפעולית מלאה
יכולת לספק חוויית עבודה מקומית בפרוטוקולים סטנדרטיים כמו SMB ו־NFS , תוך סנכרון מתמשך ובטוח לענן. כך נהנים המשתמשים מביצועים מקומיים – והארגון זוכה לגמישות, סקלאביליות ואבטחה ברמה ארגונית.
שחזור מיידי, בכל רגע נתון
במקרה של מתקפה, ניתן לשחזר את הקבצים לנקודה שלפני האירוע – במהירות, בדיוק, וללא תלות בתוקף. התהליך מהיר, אוטומטי, ומאפשר לארגון לחזור לשגרה בתוך זמן קצר.
ככל שהבינה המלאכותית ממשיכה לשנות את חוקי המשחק, כך גם קבוצות תקיפה מאמצות אותה כדי להפוך מתקפות לסמויות, מהירות ומדויקות יותר. ההשלכות עבור ארגונים כואבות – אך אינן גזירה.
שילוב של מודעות ארגונית, טכנולוגיות מניעה, וזיהוי ושחזור מתקדמים – כפי שמציעה CTERA יכול לא רק לצמצם את הנזק, אלא למנוע אותו מראש.