מתקפת כופר (Ransomware) היא האיום מספר אחת על עסקים בישראל ובעולם ב-2026. המתקפה מצפינה את כל הקבצים ברשת הארגון ודורשת תשלום כופר – בדרך כלל בביטקוין – תמורת מפתח הפענוח. מתקפה חדשה מתרחשת כל 11 שניות, והעלות הממוצעת לעסק שנפגע עומדת על מעל 2 מיליון ש"ח. במדריך הזה נסביר בדיוק מה קורה במתקפת כופרה, איך היא עובדת, מה לעשות אם נפגעתם, ובעיקר – איך למנוע אותה מראש. R-Net, כספק שירותי מחשוב לעסקים, מספקת מערך הגנה רב-שכבתי שמגן מפני Ransomware.
איך מתקפת כופר עובדת?
שלב 1: חדירה ראשונית – התוקף נכנס לרשת. הדרכים הנפוצות: מייל פישינג עם קובץ מצורף נגוע (91% מהמתקפות), ניצול חולשה בתוכנה לא מעודכנת, חיבור RDP (Remote Desktop) חשוף לאינטרנט עם סיסמה חלשה, או אתר אינטרנט נגוע.
שלב 2: תנועה רוחבית (Lateral Movement) – התוקף לא מפעיל את הכופרה מיד. הוא נע ברשת, מעלה הרשאות, מגיע לשרתים ולמערכות קריטיות. תהליך זה יכול לקחת ימים ואפילו שבועות, בזמן שאף אחד לא מרגיש.
שלב 3: חיסול הגנות – התוקף מנסה לכבות אנטי-וירוס, למחוק גיבויים מקומיים, ולנטרל מערכות ניטור. לכן חשוב שהEDR (SentinelOne) יהיה מוגן מפני כיבוי ושהגיבוי יהיה מנותק מהרשת.
שלב 4: הצפנה – ברגע שהתוקף מוכן, הוא מפעיל את ההצפנה על כל השרתים והמחשבים בו-זמנית. תוך דקות, כל הקבצים מוצפנים, מסכי כופר מופיעים, והעסק משותק.
שלב 5: דרישת כופר – הודעה על המסך עם דרישת תשלום (בדרך כלל $10,000-$500,000 בביטקוין), טיימר שסופר אחורה ("הכופר יעלה אם לא תשלמו תוך 72 שעות"), ואיום בפרסום מידע רגיש (Double Extortion).
מה לעשות אם נפגעתם ממתקפת כופר – צעד אחר צעד
1. בידוד מיידי – נתקו את כל המחשבים מהרשת. כבלי Ethernet החוצה, WiFi כבוי. כל שנייה שעוברת – עוד מחשבים מוצפנים. אם הFirewall שלכם מנוהל, אפשר לחסום תעבורה ברמת הרשת.
2. אל תשלמו כופר – נקודה. אין ערובה. 80% שילמו ונפגעו שוב. אתם מממנים פשיעה. הפתרון: גיבוי.
3. בדקו מצב הגיבויים – אם יש לכם גיבוי ענן מנותק ומעודכן, אתם בסדר. ב-R-Net, הגיבויים שלנו מנותקים מהרשת הפנימית של הלקוח ומוצפנים – כך שהם חסינים לכופרה.
4. דווחו – למערך הסייבר הלאומי (CERT-IL): 119. לביטוח סייבר. למשטרה. ללקוחות אם דלף מידע.
5. שחזרו מגיבוי – פירמוט מלא של כל המחשבים והשרתים הנגועים. התקנה נקייה של מערכת הפעלה. שחזור נתונים מגיבוי נקי. הקשחה לפני חיבור מחדש לרשת.
6. חקרו את וקטור הכניסה – איך התוקף נכנס? מייל? RDP? חולשה? סגרו את הפרצה לפני שמחברים מערכות חזרה.
עלויות מתקפת כופר לעסק
| רכיב נזק | עלות משוערת |
|---|---|
| כופר (אם שילמו) | 40,000-2,000,000 ש"ח |
| השבתת פעילות (3-14 ימים) | 100,000-500,000 ש"ח |
| שחזור מערכות | 20,000-100,000 ש"ח |
| חקירה פורנזית | 30,000-80,000 ש"ח |
| נזק תדמיתי ואובדן לקוחות | לא ניתן לכימות |
| קנסות רגולטוריים | עד 3.2 מיליון ש"ח |
| סה"כ ממוצע | מעל 2 מיליון ש"ח |
לעומת זאת, עלות הגנה שנתית מקיפה – Firewall, EDR, גיבוי, סינון דואר, וניהול IT מנוהל – עומדת על 3,000-10,000 ש"ח בחודש. ההשקעה מחזירה את עצמה מיליון פעמים במקרה של מתקפה.
איך להגן מפני מתקפת כופר – 8 שכבות הגנה
1. גיבוי מנותק ומוצפן – ההגנה האחרונה והחשובה ביותר. גיבוי שמנותק מהרשת (Air-Gapped או Immutable) לא יכול להיות מוצפן על ידי הכופרה. ב-R-Net, הגיבויים שלנו מנותקים, מוצפנים, ונבדקים תקופתית.
2. EDR מתקדם (SentinelOne) – מערכת שמזהה ועוצרת כופרה בזמן אמת, עוד לפני שהיא מצפינה קובץ ראשון. כוללת יכולת Rollback – החזרת קבצים למצב המקורי.
3. חומת אש מנוהלת – חוסמת תעבורה חשודה, מונעת תקשורת עם שרתי שליטה של התוקף (C2), ומגנה על RDP.
4. סינון דואר מתקדם – חוסם 99%+ ממיילי הפישינג לפני שהם מגיעים לעובדים.
5. עדכוני תוכנה – 80% מהפריצות מנצלות חולשות ידועות עם עדכונים זמינים. עדכון שוטף חוסם את רוב וקטורי הכניסה.
6. אימות דו-שלבי (2FA) – על כל גישה מרחוק: VPN, דואר, מערכות ענן. גם אם הסיסמה נגנבת, ה-2FA עוצר את התוקף.
7. הכשרת עובדים – הדרכת פישינג רבעונית. 91% מהמתקפות מתחילות בטעות אנושית.
8. CISO חיצוני – מנהל אבטחת מידע שמגדיר מדיניות, מנהל סיכונים, ומוודא שכל השכבות עובדות ביחד.
שאלות נפוצות על מתקפת כופר
כמה זמן לוקח להתאושש ממתקפת כופר?
עסק עם גיבוי תקין: יום עבודה אחד עד שלושה. עסק ללא גיבוי: שבוע עד חודש, אם בכלל. ב-R-Net, ממוצע השחזור ממתקפת כופר ללקוחות עם גיבוי מנוהל הוא 6-12 שעות.
האם אנטי-וירוס רגיל מגן מפני כופרה?
אנטי-וירוס ביתי (Defender, Avast) לא מספיק. כופרה מודרנית עוקפת אנטי-וירוס מסורתי. צריך פתרון EDR מתקדם כמו SentinelOne שמבוסס על AI וזיהוי התנהגותי.
האם גיבוי בענן חסין לכופרה?
גיבוי ענן מנוהל ומנותק – כן. גיבוי ענן שמסונכרן ישירות (כמו OneDrive Sync) – לא, כי ההצפנה תסונכרן לענן. לכן חשוב גיבוי ענן עם שמירת גרסאות ומנגנון Immutability.
כמה עולה הגנה מפני כופרה?
מערך הגנה מלא (Firewall + EDR + גיבוי + סינון דואר + ניהול IT) לעסק עם 20-50 עובדים עולה 5,000-12,000 ש"ח בחודש. זה שבריר מעלות מתקפה בודדת. למחירים מפורטים: עלויות שירותי מחשוב.
תגובה מיידית למתקפת כופר – צ'קליסט מנהל IT
כשמתגלה מתקפת כופר, כל דקה קובעת. הנה צ'קליסט מסודר לתגובה מיידית:
דקות 0-15 (בידוד): נתקו את כל המחשבים מהרשת (כבלים + WiFi). אל תכבו מחשבים (שימור ראיות). חסמו תעבורה חשודה ב-Firewall. התקשרו לספק IT / צוות אבטחה. תעדו שעה מדויקת של גילוי.
דקות 15-60 (הערכה ראשונית): זהו את סוג הכופרה (שם, סיומת קבצים, הודעת כופר). מפו אילו מחשבים ושרתים נפגעו. בדקו מצב הגיבויים (האם נגועים?). שנו סיסמאות Admin ממכשיר נקי. התחילו לתעד הכל עם צילומי מסך.
שעות 1-4 (תגובה מובנית): דווחו לחברת ביטוח סייבר. דווחו ל-CERT-IL (119). קבעו האם דלף מידע (חובת דיווח). התחילו תכנון שחזור מגיבוי. עדכנו הנהלה ובעלי עניין קריטיים.
שעות 4-24 (שחזור): פרמטו מחשבים ושרתים נגועים. התקינו מערכות הפעלה נקיות + עדכונים. שחזרו נתונים מגיבוי נקי. הקשיחו מערכות לפני חיבור מחדש. בדקו שהפרצה המקורית סגורה.
מגמות בכופרה 2026 – מה חדש ומה משתנה?
Double Extortion (סחיטה כפולה) – התוקפים לא רק מצפינים את הקבצים, אלא גם גונבים מידע רגיש ומאיימים לפרסם אותו ברשת. גם אם יש לכם גיבוי ואתם יכולים לשחזר – המידע כבר בידי התוקפים. לכן חשוב למנוע את החדירה מלכתחילה, לא רק להסתמך על גיבוי.
Ransomware-as-a-Service (RaaS) – כופרה כשירות. קבוצות פשיעה מפתחות כלי כופרה ומוכרות אותם ל"שותפים" (Affiliates) תמורת אחוז מהכופר. זה מוריד את רף הכניסה לפשיעת סייבר ומגדיל משמעותית את מספר המתקפות.
מיקוד בעסקים בינוניים (SMB) – התוקפים הבינו שעסקים בינוניים הם "Sweet Spot": מספיק גדולים כדי לשלם כופר משמעותי, אבל לא מספיק גדולים כדי שיהיה להם צוות אבטחה ייעודי. אם אתם עסק עם 20-200 עובדים – אתם בדיוק בטווח המטרה.
מתקפות על שרשרת אספקה (Supply Chain) – תוקפים פורצים לספק תוכנה או שירות, ודרכו מגיעים לכל הלקוחות שלו. אירוע SolarWinds ו-Kaseya הם דוגמאות מוכרות. לכן חשוב לדרוש גם מהספקים שלכם לעמוד בתקני אבטחה.
עלויות הגנה מפני כופרה – טבלת השוואה
| רכיב הגנה | עלות חודשית (20-50 עובדים) | מה מגן מפניו |
|---|---|---|
| Firewall מנוהל (NGFW) | 500-1,500 ש"ח | חדירה מבחוץ, C2, RDP חשוף |
| SentinelOne EDR | 800-2,500 ש"ח | כופרה, Zero-Day, תנועה רוחבית |
| גיבוי ענן מנותק | 500-2,000 ש"ח | אובדן נתונים, הצפנה |
| סינון דואר מתקדם | 300-1,000 ש"ח | פישינג (91% מהמתקפות) |
| ניהול IT שוטף | 2,000-5,000 ש"ח | עדכונים, ניטור, הקשחה |
| סה"כ הגנה מקיפה | 4,000-12,000 ש"ח / חודש | מניעת 95%+ מהמתקפות |
ההשוואה ברורה: 4,000-12,000 ש"ח בחודש להגנה מלאה, לעומת מעל 2 מיליון ש"ח נזק ממתקפה בודדת. זו לא שאלה של "אם" אלא של "מתי".
קראו עוד: אבטחת מידע | SentinelOne | Firewall | גיבוי בענן | CISO | שירותי מחשוב לעסקים | צרו קשר
