כופרה כשירות

כופרה כשירות (באנגלית: Ransomware as a Service; בראשי תיבות: RaaS) היא מודל עסקי של פשיעת סייבר, שבו מפתחי כופרות (תוכנות "כופר" לצורך סחיטה) מציעים את הכלים, התשתיות ומערכת הניהול שברשותם "כשירות" לגורמים אחרים (Affiliates). גורמים אלה מבצעים את המתקפות בפועל וגובים את דמי ה"כופר" מהקורבנות, והרווחים מתחלקים בינם לבין מפתחי המערכת. המודל נחשב לגרסה פלילית של מודל תוכנה כשירות (SaaS), ומוזכר בדוחות רבים כתופעה מרכזית בכלכלת פשיעת הסייבר המודרנית.^[1]^[2]

המודל העסקי

במודל כופרה כשירות קיימת הבחנה בין מפעילי הפלטפורמה (Operators) לבין שותפים (Affiliates):

מפעילי הפלטפורמה מפתחים ומתחזקים את קוד תוכנת הכופר, את תשתיות הפיקוד והשליטה (C2), את אתרי דליפת המידע ואת מנגנוני ההצפנה והתשלום בקריפטו.
השותפים רוכשים או שוכרים גישה לפלטפורמה, מבצעים את החדירה לארגונים הקורבנות באמצעים שונים (פישינג, ניצול חולשות, גישה שנרכשה בשווקים שחורים ועוד), ומפעילים את נוזקת הכופר.

התקשרות בין המפעילים לשותפים נעשית לרוב במודל של חלוקת רווחים (Revenue sharing), מנויים חודשיים או רישיון שימוש חד־פעמי. בדומה לשירותי SaaS לגיטימיים, חלק מהפלטפורמות מציעות לוחות בקרה, חומרי הדרכה, "תמיכת לקוחות" והטמעה, שמכוונים במפורש לשותפים בפשיעה הדיגיטלית.^[3]^[4]

המודל מוריד את חסמי הכניסה לפשיעת סייבר: שותפים יכולים להפעיל מתקפות כופרה גם ללא מומחיות עמוקה בתכנות או בקריפטוגרפיה, כל עוד יש להם משאבים בסיסיים וגישה ל"שוק" בפלטפורמות הדארקנט. בכך הופכת כופרה כשירות לתעשייה מבוזרת, שבה כל גורם מתמחה בחלק אחר בשרשרת הערך הפלילית.

התפתחות היסטורית

שורשי המודל מתוארים בדרך כלל בראשית שנות ה־2010, עם הופעת ערכות תקיפה ו"ערכות כופרה" שנמכרו בפורומים תת־קרקעיים. דוגמאות מוקדמות כוללות קמפיינים דמויי שירות סביב משפחות כופרה כמו Reveton ואחרות, שבהם הופצו גרסאות מוכנות לנוזקות תמורת תשלום או חלוקת רווחים.

במהלך שנות ה־2020 התמסד המודל, ובדוחות של ארגוני אכיפה וחברות אבטחת מידע הוגדר "כלכלת RaaS" נפרדת, עם קבוצות מובילות, אתרי דליפה, מערכי גיוס שותפים ומערכות דירוג פנימיות. דוח של יורופול, למשל, מתאר את כופרה כשירות כצורת "זיכיון" פלילי, שבה מפעילי פלטפורמות מרכזיים מספקים תשתיות ותמיכה לשותפים רבים ברחבי העולם.^[5]

דוחות מחקריים ודו"חות של חברות בלוקצ'יין, כגון Chainalysis, מצביעים על תשלומי כופר גלובליים בהיקף של מאות מיליוני דולרים בשנה, ועל תנודתיות בין השנים בשל פעילות אכיפה, מודעות ארגונית ושינויים במודלים של הפושעים.^[6]

שיטות סחיטה ודגמי תקיפה

בקמפיינים של כופרה כשירות נעשה שימוש במגוון דגמי סחיטה:

סחיטה "קלאסית" – הצפנת נתוני הקורבן ודרישת כופר תמורת מפתח פענוח.
סחיטה כפולה – שילוב בין הצפנה להדלפה: הארגון מאוים גם באובדן נתונים וגם בפרסום פומבי של מידע רגיש, אם לא ישלם.^[7]
דליפה ללא הצפנה – רנסומוור "ללא הצפנה", שבו התוקפים מתמקדים בגניבת מידע ובאיומי פרסום, בלי לשבש בהכרח את מערכות הקורבן.
אתרי דליפה – הפעלת "לוחות שחורה" ברשת האפלה, שבהם מפורסמים בהדרגה שמות הארגונים שנפרצו ודוגמאות למידע שנגנב, כדי להגביר את הלחץ הציבורי והרגולטורי.

דוחות של חברות מחקר מצביעים על גידול במספר משפחות הכופרה המאמצות שיטות סחיטה כפולה או מרובה, כחלק ממגמת מקצועיות והקשחת המודל הכלכלי של כופרה כשירות.^[8]

קבוצות ותשתיות בולטות

בין קבוצות הכופרה שפעלו או פועלות במודל כופרה כשירות ניתן למנות קבוצות כגון LockBit, REvil, DarkSide, Hive, Medusa, Rhysida ו־Qilin. חלק מן הקבוצות הללו מפעילות אתרי דליפה מרכזיים, מערכי גיוס שותפים, פורטלי תמיכה והנחיות תפעול, בדומה לפעילות של חברות תוכנה מסחריות.^[9]

קבוצות מסוימות, כגון Qilin ו־Rhysida, תוארו בדוחות חקירה ובתקשורת הבין־לאומית כקבוצות הפועלות במודל כופרה כשירות ותוקפות ארגונים במגזרי תשתית, בריאות, תעשייה וממשל במדינות שונות.^[10]^[11]

היבטים כלכליים

המודל של כופרה כשירות מתואר לעיתים ככלכלת צל יעילה: חלוקת תפקידים ברורה, אוטומציה גבוהה, "שירות לקוח" ויכולת לשכפל את המודל לקבוצות רבות. ניתוחים כלכליים מדגישים כי עקרונות של שוק חופשי – הורדת חסמי כניסה, אופטימיזציה של "חוויית המשתמש" ודגמי שותפים – מופעלים כאן לצורך הפקת רווח מפגיעה בערך קיים, במקום ליצירת ערך חדש.

במאמר שפורסם ב"ביניקס ישראל" מתוארת תעשיית ה־RaaS כ"שוק שחור יעיל", ומובאות הערכות להיקף תשלומי הכופר הישירים והנזקים הכלכליים הנלווים, כולל עלות השבת מערכות, פגיעה תדמיתית והוצאות ייעוץ משפטי.^[12]

כופרה כשירות בישראל

בישראל מתוארת כופרה כשירות בתור גורם משמעותי במרחב האיומים על גופים ציבוריים, ארגוני בריאות, רשויות מקומיות וחברות פרטיות. מערך הסייבר הלאומי ציין במסמכי התרעה רשמיים את העלייה בשימוש במודלי כופרה כשירות, וציין כי הם מאפשרים גם לשחקנים פחות מנוסים לבצע מתקפות בעלות השפעה ניכרת.^[13]

חברות אבטחת מידע הפועלות בישראל מתארות במאמרים מקצועיים מתקפות כופרה על ארגונים ישראליים, חלקן המיוחסות במפורש לקבוצות הפועלות במודל RaaS, כגון קבוצת Medusa וקבוצות נוספות.^[14]^[15]

במאמר של "ביניקס ישראל" מובאות הערכות המבוססות, לדבריו, על נתוני דוחות ביטוחי סייבר ומקורות נוספים, ולפיהן היקף תשלומי הכופר הישירים בישראל בשנים 2024–2025 נע בטווח של עשרות מיליוני דולרים בשנה, בעוד העלות הכוללת למשק – לרבות השבתה, שחזור וייעוץ – מוערכת במאות מיליוני דולרים בשנה.^[12]

התמודדות ומניעה

התמודדות עם כופרה כשירות משלבת צעדים טכנולוגיים, ארגוניים ומשפטיים, ובהם:

הקשחת מערכות, עדכוני אבטחה שוטפים, יישום עקרון "מינימום הרשאות" והפרדת רשתות.
גיבויים רציפים, בדוקים ומופרדים לוגית (offline / immutable backups), כדי לצמצם את התלות ביכולת לשחזר מפתחות כופר.^[16]
הדרכת עובדים לזיהוי ניסיונות פישינג והנדסה חברתית, שהם נקודת כניסה נפוצה לקמפיינים של כופרה כשירות.
ניטור תעבורת רשת, שימוש במערכות EDR/XDR ותיעוד גישה למערכות קריטיות.
שיתוף מידע בין ארגונים ועם גופי CERT, במטרה לזהות קמפיינים רחבים ולסייע בפעילות אכיפה.

בדוחות בין־לאומיים מודגשת השפעתן של פעולות אכיפה מתואמות כנגד קבוצות כופרה מרכזיות, הכוללות תפיסת תשתיות, הקפאת נכסים במטבעות קריפטוגרפיים ושיבוש מערכי התשלום של פלטפורמות RaaS.

קישורים חיצוניים

תוכנת כופר כשירות – Microsoft Security Insider
פעילות כופרה במרחב הסייבר הישראלי – מערך הסייבר הלאומי
בעולם הסייבר של 2025, גם הפשע הפך לשירות ענן – מאמר של "ביניקס ישראל" על RaaS
שחקנים חדשים וטקטיקות חדשות מופיעים בעולם הכופרות – ESET ישראל
Europol: Ransomware-as-a-Service and the rise of cybercrime franchising
The Record – Explainer: What is Ransomware-as-a-Service?
ESET – Inside the Ransomware-as-a-Service economy

ראו גם

נוזקה (תוכנה זדונית)
כופרה (נוזקה שנוצרה לדרישת כופר)
פשע מקוון
אבטחת מידע

הערות שוליים

↑ What Is Ransomware-as-a-Service (RaaS)?, IBM (באנגלית)
↑ תוכנת כופר כשירות: הפנים החדשות של פשע סייבר מתועש, באתר Microsoft Security.
↑ What is Ransomware as a Service (RaaS)?, CrowdStrike (באנגלית)
↑ Ransomware as a Service (RaaS), Fortinet (באנגלית)
↑ Ransomware-as-a-Service and the rise of cybercrime franchising, Europol (באנגלית)
↑ Ransomware payments fall by 35% in 2024, Chainalysis (באנגלית)
↑ 2022 ThreatLabz State of Ransomware Report, Zscaler (באנגלית)
↑ Zscaler ThreatLabz report analyzes ransomware trends and impacts of encryption-less extortion, RaaS growth, Industrial Cyber (באנגלית)
↑ 2024 ransomware attacks and the rise of RaaS, Palo Alto Networks (באנגלית)
↑ Qilin cybercrime gang claims hack on Japan's Asahi Group, Reuters (באנגלית)
↑ Rhysida ransomware group and the use of RaaS, 010
^ ^12.0 ^12.1 בעולם הסייבר של 2025, גם הפשע הפך לשירות ענן. מודל חדש מאפשר לכל האקר מתחיל לשכור מערכת מוכנה לסחיטה דיגיטלית – כמו מנוי לנטפליקס, רק לפשע, באתר ביניקס ישראל
↑ פעילות כופרה במרחב הסייבר הישראלי, באתר מערך הסייבר הלאומי, ‏19 בנובמבר 2023
↑ שחקנים חדשים וטקטיקות חדשות מופיעים בעולם הכופרות – ועסקים נדרשים לשפר את מערך ההגנה שלהם, באתר ESET ישראל, ‏1 ביולי 2025
↑ מתקפת כופרה חכמה – עידן חדש של תקיפות בינה מלאכותית, באתר בינת תקשורת מחשבים
↑ דרכי התמודדות ומניעה של מתקפת כופרה, באתר מערך הסייבר הלאומי, ‏19 באוקטובר 2021

הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

כופרה כשירות42504127Q106538545

[1] What Is Ransomware-as-a-Service (RaaS)?, IBM (באנגלית)

[2] תוכנת כופר כשירות: הפנים החדשות של פשע סייבר מתועש, באתר Microsoft Security.

[3] What is Ransomware as a Service (RaaS)?, CrowdStrike (באנגלית)

[4] Ransomware as a Service (RaaS), Fortinet (באנגלית)

[5] Ransomware-as-a-Service and the rise of cybercrime franchising, Europol (באנגלית)

[6] Ransomware payments fall by 35% in 2024, Chainalysis (באנגלית)

[7] 2022 ThreatLabz State of Ransomware Report, Zscaler (באנגלית)

[8] Zscaler ThreatLabz report analyzes ransomware trends and impacts of encryption-less extortion, RaaS growth, Industrial Cyber (באנגלית)

[9] 2024 ransomware attacks and the rise of RaaS, Palo Alto Networks (באנגלית)

[10] Qilin cybercrime gang claims hack on Japan's Asahi Group, Reuters (באנגלית)

[11] Rhysida ransomware group and the use of RaaS, 010

[סחידגה-12] 12.0 ^12.1 בעולם הסייבר של 2025, גם הפשע הפך לשירות ענן. מודל חדש מאפשר לכל האקר מתחיל לשכור מערכת מוכנה לסחיטה דיגיטלית – כמו מנוי לנטפליקס, רק לפשע, באתר ביניקס ישראל

[13] פעילות כופרה במרחב הסייבר הישראלי, באתר מערך הסייבר הלאומי, ‏19 בנובמבר 2023

[14] שחקנים חדשים וטקטיקות חדשות מופיעים בעולם הכופרות – ועסקים נדרשים לשפר את מערך ההגנה שלהם, באתר ESET ישראל, ‏1 ביולי 2025

[15] מתקפת כופרה חכמה – עידן חדש של תקיפות בינה מלאכותית, באתר בינת תקשורת מחשבים

[16] דרכי התמודדות ומניעה של מתקפת כופרה, באתר מערך הסייבר הלאומי, ‏19 באוקטובר 2021

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]