מתקפות כופרה (Ransomware) הפכו לאיום מספר אחד על עסקים בישראל ובעולם. בשנת 2025 תועדו 7,419 מתקפות כופרה ברחבי העולם — עלייה של 32% לעומת 2024. מתוכן, 6,292 מתקפות כוונו לעסקים, עלייה של 35% בהשוואה לשנה הקודמת. ישראל נמצאת על הכוונת: למעלה מ-170 קורבנות כופרה ישראליים תועדו, כשקבוצות האקרים מרוסיה, איראן וצפון קוריאה מזהות בעסקים ישראליים יעד אסטרטגי. העלות הממוצעת של מתקפת כופרה בודדת — כולל השבתה, שחזור ונזק תדמיתי — נאמדת בין 1.8 ל-5 מיליון דולר לאירוע. במאמר זה נסביר מה עושים ברגע שנפגעתם, ואיך בונים הגנה מראש כדי למזער את הנזק.
מה זה כופרה ואיך המתקפה עובדת
כופרה היא סוג של תוכנה זדונית (Malware) שמצפינה את הקבצים במערכות הקורבן ודורשת תשלום כופר — בדרך כלל במטבע קריפטוגרפי — תמורת מפתח הפענוח. וקטור החדירה הנפוץ ביותר הוא דואר אלקטרוני עם קובץ או קישור זדוני (פישינג בעסקים קטנים), אך תוקפים מנצלים גם חולשות בשירותי RDP חשופים, תוכנות VPN לא מעודכנות וחולשות Zero-Day ברכיבי צד שלישי. לאחר החדירה הראשונית, התוקפים נעים לרוחב הרשת (Lateral Movement), מעלים הרשאות, ומזהים את הנכסים הקריטיים — שרתי קבצים, מסדי נתונים וגיבויים. רק לאחר שהשיגו שליטה מלאה הם מפעילים את ההצפנה, ולעיתים גם גונבים מידע רגיש כמנוף לחץ נוסף (Double Extortion).
מה לעשות ברגע שנפגעתם
הרגעים הראשונים אחרי גילוי מתקפת כופרה הם קריטיים. תגובה מהירה ומסודרת יכולה לצמצם את הנזק בצורה משמעותית. הצעד הראשון הוא בידוד מיידי — נתקו את המחשבים הנגועים מהרשת (כבל רשת ו-WiFi) כדי למנוע התפשטות. אל תכבו את המכונות — הן מכילות ראיות פורנזיות חיוניות בזיכרון הנדיף (RAM). דווחו למערך הסייבר הלאומי ולמשטרת ישראל, ושלבו צוות תגובה לאירוע (Incident Response) — פנימי או חיצוני. בדקו האם הגיבויים שלמים ולא הוצפנו גם הם, ותעדו כל ממצא: סוג ההודעה שהופיעה, סיומות הקבצים המוצפנים וכל Indicator of Compromise (IoC) שזיהיתם. המלצת הגורמים הרשמיים היא לא לשלם כופר, מכיוון שאין ערובה לקבלת מפתח הפענוח, ותשלום מממן את הפעילות העבריינית.
ציר זמן תגובה למתקפת כופרה — 0 עד 72 שעות
ניתוק מכונות נגועות מהרשת. אל תכבו מחשבים. הפעלת נוהל חירום.
זיהוי המערכות שנפגעו. בדיקת שלמות גיבויים. תיעוד IoC ראשוני.
דיווח למערך הסייבר הלאומי ולמשטרה. צוות IR מבצע חקירה פורנזית. זיהוי וקטור החדירה.
שחזור מערכות קריטיות מגיבויים נקיים. סגירת פרצות שזוהו. איפוס סיסמאות.
העלאת מערכות נוספות בהדרגה. ניטור מוגבר לאיתור שרידי תקיפה. הפקת לקחים ראשונית.
כיצד מתכוננים מראש למתקפת כופרה
הגנה אפקטיבית מפני כופרה דורשת גישה רב-שכבתית שמשלבת טכנולוגיה, תהליכים ומודעות אנושית. הבסיס הוא מדיניות גיבויים חזקה לפי כלל 3-2-1: שלושה עותקים, על שני סוגי מדיה שונים, כשעותק אחד לפחות מנותק מהרשת (Air-Gapped). וודאו שהגיבויים נבדקים בפועל ושניתן לשחזר מהם. שכבת ההגנה הבאה היא ניהול עדכוני אבטחה (Patch Management) קפדני — רוב מתקפות הכופרה מנצלות חולשות ידועות שכבר קיים להן עדכון. הטמיעו אימות רב-גורמי (MFA) בכל נקודת כניסה, הגבילו הרשאות לפי עיקרון ה-Least Privilege, ופלחו את הרשת כדי שפריצה בנקודה אחת לא תשתק את כל הארגון. בצעו בדיקת חדירות תקופתית כדי לחשוף חולשות לפני שתוקף אמיתי ימצא אותן. לפי מסגרת NIST Cybersecurity Framework, ארגון בשל חייב לכסות חמישה תחומים: זיהוי, הגנה, איתור, תגובה והתאוששות.
כמה עולה מתקפת כופרה לעסק ישראלי
העלות האמיתית של מתקפת כופרה חורגת הרבה מעבר לסכום הכופר עצמו. נתוני 2025 מצביעים על עלות כוללת של 1.8 עד 5 מיליון דולר למתקפה בודדת — סכום שכולל השבתת פעילות, שחזור מערכות, ייעוץ משפטי ופורנזי, ונזק תדמיתי ארוך טווח. דוגמה ישראלית בולטת היא המתקפה על המרכז הרפואי שמיר (אסף הרופא), שבה קבוצת Qilin גנבה 8 טרה-בייט של מידע ודרשה כופר של 700,000 דולר. עסקים קטנים ובינוניים בישראל נמצאים בסיכון גובר, במיוחד דרך מתקפות שרשרת אספקה (Supply Chain Attacks) וחולשות בספקי שירותים דיגיטליים. לארגון קטן, עצירת פעילות של שבוע יחד עם עלויות שחזור עלולות להוביל לסגירה. ההשקעה בהגנה מראש — גיבויים, הדרכות עובדים, בדיקות חדירות ותוכנית תגובה — היא שבר קטן מהעלות הצפויה של מתקפה מוצלחת.
המידע המופיע במאמר זה הינו למטרות מידע כללי בלבד. בדיקות חדירות וסקרי סיכונים חייבות להתבצע על ידי מומחה אבטחת מידע מוסמך ובהתאם להסכם מסודר. ביצוע בדיקות חדירות ללא אישור מפורש מהארגון הנבדק עלול להיות עבירה פלילית.
שאלות נפוצות
האם כדאי לשלם כופר במתקפת Ransomware?
ההמלצה החד-משמעית של מערך הסייבר הלאומי, ה-FBI וגופי אכיפה בינלאומיים היא לא לשלם. תשלום כופר אינו מבטיח שחזור המידע, מעודד את התוקפים להמשיך, ועלול לחשוף את הארגון לסנקציות בינלאומיות אם הכסף מגיע לישויות מוכתבות. במקום זאת, השקיעו בגיבויים מנותקים ובתוכנית תגובה לאירועים.
כמה זמן לוקח להתאושש ממתקפת כופרה?
זמן ההתאוששות תלוי בהיקף הפגיעה ובמוכנות הארגון. ארגון עם גיבויים תקינים ותוכנית תגובה מסודרת יכול לחזור לפעילות חלקית תוך 48–72 שעות. ארגון ללא גיבויים עלול לסבול מהשבתה של שבועות ואף חודשים. שחזור מלא, כולל חקירה פורנזית והפקת לקחים, נמשך בממוצע בין חודש לשלושה חודשים.
מהם הצעדים הראשונים לחיזוק ההגנה מפני כופרה?
התחילו בשלושה צעדים מיידיים: ראשית, הטמיעו מדיניות גיבויים 3-2-1 עם גיבוי מנותק מהרשת ובדקו שהשחזור עובד בפועל. שנית, הפעילו אימות רב-גורמי (MFA) בכל נקודת כניסה — דוא"ל, VPN, ממשקי ניהול. שלישית, בצעו בדיקת חדירות כדי לזהות חולשות בסביבה שלכם לפני שתוקף ינצל אותן.
האם ביטוח סייבר מכסה מתקפות כופרה?
פוליסות ביטוח סייבר יכולות לכסות חלק מהעלויות — שחזור מערכות, ייעוץ משפטי, הודעה ללקוחות ולעיתים גם הפסדי הכנסה בתקופת ההשבתה. עם זאת, חברות ביטוח רבות דורשות כיום עמידה בתנאי סף: גיבויים מנותקים, MFA פעיל, ועדכוני אבטחה שוטפים. ארגון שלא עומד בדרישות עלול לגלות שהפוליסה לא מכסה את האירוע. בדקו את תנאי הפוליסה מול מומחה ביטוח סייבר.