מתקפת הסייבר של קבוצת DragonForce – הידועה כ־DragonForce ransomware attack – פגעה בשבועות האחרונים ברשתות הקמעונאות הבריטיות, ובראשן Marks & Spencer. לפי דו"ח חדש של חברת הסייבר הישראלית CYFOX, מדובר במתקפה רחבת היקף שהובילה לשיתוק חלקי של פעילות קמעונאית, דליפת מידע רגיש והפסדים בשווי של מאות מיליוני ליש"ט. האירוע גרר תגובות נרחבות מצד גורמים ממשלתיים, חברות ביטוח סייבר ומומחי אבטחת מידע ברחבי העולם, והעלה את השאלה עד כמה מוגנות כיום מערכות מסחר גלובליות מפני קבוצות תקיפה מתקדמות שפועלות בצורה מאורגנת ומבוססת מודיעין בזמן אמת.
החשיפה של CYFOX מספקת הצצה נדירה למנגנון הפעולה הפנימי של אחת מקבוצות הסייבר המאיימות ביותר כיום. באמצעות ניתוח טכני מתקדם ושיטות מודיעיניות מבוססות בינה מלאכותית, החוקרים הצליחו למפות את שרתי השליטה, לזהות את שיטות ההצפנה ולנטר פעילות בזמן אמת – ובכך לא רק לאשש את המעורבות של DragonForce באירועים האחרונים, אלא גם להציג תמונה מדאיגה של רשת גלובלית מתקדמת שמפעילה טרור דיגיטלי כלכלי בקנה מידה בין־לאומי. לפי CYFOX, פעולות ניטור בוצעו במשך מספר שבועות באופן שקט, תוך שימוש בכלי איסוף ייעודיים, והובילו לפיצוח תשתיות שבאמצעותן בוצעו התקיפות, כולל תיעוד של שיחות פנימיות מתוך שרתי Command & Control.
רקע על קבוצת DragonForce: ממחאות פוליטיות למודל עסקי של כופרה כשירות
קבוצת DragonForce התפרסמה בתחילה כגוף אקטיביסטי שפעל ממניעים אידיאולוגיים, בין היתר סביב סוגיות פוליטיות במזרח התיכון ותמיכה במאבקים פרו-פלסטיניים. פעילות זו התבצעה בתחילה במרחב של פריצות לאתרים ממשלתיים, השחתת דפי נחיתה והפצת מסרים תעמולתיים. אך לפי CYFOX, הקבוצה עברה שינוי דרמטי והפכה בשנים האחרונות לגוף פשיעה מאורגן הפועל במודל RaaS – Ransomware as a Service. מדובר בקבוצת סייבר המבצעת מתקפות כופר מתקדמות, ומשכירה את הכלים והתשתיות שלה לקבוצות נוספות תמורת תשלום, תוך שהיא שומרת לעצמה את מערך ההפצה, ההצפנה וניהול מו”מ מול הקורבנות.
הדו"ח של CYFOX חושף כי DragonForce עושה שימוש בגרסה מותאמת אישית של כופרה מסוג LockBit 3.0 – עם מנגנוני דחיסה שמקשים על זיהוי, מחיקת לוגים והתחמקות מכלי ניטור. בנוסף, החוקרים הצליחו לזהות שינוי במנגנון ניהול הקוד, אשר כלל מפתחות הצפנה דינמיים שמתחלפים כל 24 שעות כדי להקשות על יצירת פענוח מקדים. התקשורת בין מערכות הקבוצה לקורבנות נעשית דרך תשתית מוצפנת מבוססת TOR ו־TOX, כולל פורטלים ב-Dark Web עם שעונים לאחור להצגת מועדי תשלום כופר, אזורים ייעודיים להצגת נתונים גנובים ופלטפורמה שלמה שנועדה להשפיל את הקורבן בפומבי. נוסף לכך, הקבוצה אוספת תמלילים מלאים של שיחות עם נציגי החברות שהותקפו – כלי שמגביר את הלחץ הפסיכולוגי ומגדיל את הסיכוי לתשלום מהיר תוך 72 שעות.
תקיפת רשתות הקמעונאות בבריטניה: שיבושים, דליפות והאקרים בפעולה
במוקד מתקפת הסייבר עמדו שלוש רשתות מרכזיות: Marks & Spencer, Co-op ו-Harrods. על פי ממצאי CYFOX, התקיפה כללה הצפנת מערכות קריטיות, גניבת מסדי נתונים, ופרסום הדרגתי של מידע פרטי של לקוחות ועובדים. ב-M&S דווח על שיבוש נרחב במערכות ההזמנות וההפצה, דבר שהוביל לביטול המוני של הזמנות, תורים ארוכים בסניפים, והשבתה של שירותים דיגיטליים.
ברשת Co-op טענו התוקפים כי הצליחו להשיג מידע אישי של כ-20 מיליון חברי מועדון. בהארודס, המתקפה גרמה לפגיעה בתפעול השוטף – כולל סגירת מערכות שירותים מקוונים והגבלות בתשתית המכירה. על פי דיווחים שונים, קבוצת DragonForce הייתה מעורבת ישירות או סיפקה את התשתיות להתקפות, כחלק ממודל רווחי של השכרת שירותי כופרה לקבוצות אחרות.
ה־NCSC, הרשות הבריטית הלאומית לאבטחת סייבר, פרסמה התרעת חירום והנחתה ארגונים לבדוק את מערכות האבטחה, להחיל בקרות זהות מחמירות ולבצע סימולציות תגובה למתקפות כופר. הדוח של CYFOX אומת על ידי מקורות בינלאומיים, והתפרסם בתזמון רגיש עבור תעשיית הקמעונאות הבריטית ערב עונת הקיץ.
ההשלכות הכלכליות: 300 מיליון ליש"ט הפסד למרקס אנד ספנסר
הפגיעה הכלכלית במתקפה הייתה חסרת תקדים. לפי דיווח רשמי של Marks & Spencer ל־Reuters מ-21 במאי 2025, החברה צפויה לרשום הפסד של 300 מיליון ליש"ט ברווח התפעולי בשל המתקפה. מדובר באחד המקרים הבודדים שבהם תאגיד ציבורי בריטי מפרסם הערכה פומבית על נזקי כופרה. שיבושים ממושכים בשירות האונליין, פגיעה בפעילות הלוגיסטית, ועזיבה של לקוחות לטובת מתחרים – כל אלו יצרו פגיעה משמעותית בשורת ההכנסות.
לפי M&S, מערכות האונליין קרסו לחלוטין למשך שבועיים, והחזרה לפעילות הייתה איטית ומלווה בשחזור נתונים ידני. השירותים הדיגיטליים חזרו לפעולה חלקית רק בתחילת יוני, והצפי הוא לתיקון מלא רק לקראת סוף הרבעון השלישי. החברה מעריכה שהנזק התדמיתי, לצד אובדן מידע רגיש ולקוחות, גרם גם לירידה של מעל למיליארד ליש"ט בשווי השוק של החברה בתוך שבועיים בלבד. בינתיים, החברה פועלת מול חברות ביטוח סייבר כדי למזער את ההשפעה, אך גם אם יוחזרו סכומים – הפגיעה במוניטין נחשבת לקשה במיוחד. לדברי בכירים ב-M&S, המתקפה נחשבת ל"אירוע אבטחת המידע הקשה בתולדות הקבוצה", והובילה להשקה מיידית של פרויקט שדרוג סייבר חוצה חטיבות.
