בית החולים מעייני הישועה בבני ברק נפל קורבן למתקפת סייבר מסוג כופרה, אשר על פי ההערכות עומדת מאחוריה קבוצת האקרים מרוסיה. עמרי וקסלר, חוקר בכיר במרכז למחקר סייבר באוניברסיטת תל אביב, התייחס לאירוע החריג בשיחה עם מעריב והסביר: "ממה שפורסם עד כה, ובהסתמך על דיווחי התקשורת בלבד, נראה כי הרקע למתקפה הוא כספי-פלילי". לדבריו, בגלל שמדובר בישראל - יש נטייה המבוססת על מקרי עבר רבים להאמין שמתקפות כאלו מוצאות לפועל על ידי גורמים איראניים מתוך מניע לאומי או פוליטי ומתוך רצון לשבש את החיים בישראל ולייצר הד תקשורתי המאפיין לרוב מתקפות טרור.

"עם זאת, חשוב לזכור שמתקפות כופרה בעלות מניע כספי-פלילי על ענף הבריאות העולמי הפכו לעניין של שגרה עוד בתקופת הקורונה ועד היום", הדגיש, "ברוב המקרים זה נובע משום שהדחיפות והקריטיות של שירותי בריאות עלולים להוביל ללחץ לשלם את הכופר וכן מתוך סיבות נוספות כגון המחיר של מידע רפואי שלעיתים נגנב גם הוא במסגרת מתקפות אלו ועשוי להימכר לאחר מכן בדארקנט".

וקסלר הוסיף: "הגם שווקטור התקיפה או האופן שבו התוקפים חדרו לרשת בית החולים טרם התגלה, סביר שמדובר ברכיב או מוצר פגיע או מיושן שלא עודכן ושניתן ככל הנראה היה לתקן ולעדכן מבעוד מועד תוך כדי חיסכון אדיר בעלויות בהשוואה לעלויות של שחזור המידע, הקמה מחדש של המערכות ועוד". הוא ציין כי המתקפה שפגעה בבית החולים הלל יפה היא דוגמה למתקפה שיכלה להימנע מראש. "שם מדובר היה בפתרון VPN לגישה מרחוק שלא עודכן מספר שנים", אמר, "אם להסתמך על ההודעות שיוצאות מבית החולים, ניכר שהמתקפה נבלמה וזה עלול לנבוע או מאיתור מוקדם של ההדבקה או מסיבות טכניות אחרות בצד התוקפים שקשה לקבוע ללא גישה לממצאי החקירה שמתנהלת כעת".

"בסופו של יום, במקרים רבים, מדובר בישראל בפערי רגולציה ופיקוח, שכן בתי חולים אינם מוגדרים כתשתית קריטית המפוקחת על ידי מערך הסייבר, וכן בפערי מודעות שמובילים פעם אחר פעם לתיעדוף לא נכון של הקצאת משאבים או לניהול לא נכון של נכסי המידע של מוסדות אלו", סיכם.

ניב יונה, מנהל מחלקת המחקר בחברת סייבריזן (Cybereason): ״RagnarLocker היא קבוצת תקיפה המספקת שירותי רנסומוור (כופרה) כשירות -  RaaS (Ransomware as a Service) שהחלה לפעול בסוף 2020. תוכנת כופרה כשירות (RaaS) היא מודל עסקי שבו מפתחים משכירים את תוכנת הכופרה שלהם. מה שמאפשר לקבוצות תקיפה אחרות את הצורך לרכוש את השירות בלי לפתח את הכופרהה בעצמם, מה שתרם לעליה במתקפות כופרה בשנים האחרונות. הקבוצה ידועה בשיטות מתוחכמות כולל Doble Extortion כדי לסחוט את הקורבנות שלה. Doble Extortion היא טקטיקה של תוכנת כופרה שבה התוקפים מצפינים את הקבצים של הקורבנות ומעתיקים את הקבצים גם אליהם".

"לאחר מכן התוקפים דורשים כסף כתמורה לשחזור של הקבצים המוצפנים כחלק הראשון של הסחיטה, ומניעה של הדלפת מידע סודי בחלק השני של הסחיטה. הקבוצה ידועה בכוונתה לפגוע בתשתיות קריטיות כמו בית חולים במקרה הזה. וקטור ההדבקה הוא לרוב באמצעות הודעות פישינג המכילות קבצים או קישורים זדוניים שבאמצעותם יורד הכופרה למחשב של הקורבן בצורה אוטומטית. לאחר מכן מצפין את מחשבי הקורבן ומשאיר את הודעת הכופרה המכילה מידע כיצד לשלם את הכופרה וליצור קשר עם התוקפים. ההודעה כוללת איום שאם הכופרה לא ישולם עד תאריך מסוים המידע הסודי של הקורבן יפורסם".

התקיפה על מעייני הישועה היא תזכורת לחשיבות ארגוני שירותי בריאות. מתקפות כופרה הופכות נפוצות יותר ויותר, יכולה להיות להן השפעה הרסנית על בתי החולים. במקרה זה, המתקפה גרמה להפרעה משמעותית לטיפול בחולים, ולא ברור מתי מערכות בית החולים ישוחזרו במלואן״.