המטה של פורשה דרום אפריקה ביוהנסבורג ספג השבוע מתקפת כופרה אשר השביתה מספר מערכות מחשוב וגיבויים של החברה. ההאקרים השתמשו בזן כופרה חדש יחסית בשם Faust כדי להצפין את קבצי החברה ולנעול את אנשיה מחוץ למערכות המחשוב הארגוניות. חוקרי אבטחת סייבר דיווחו כי כופרת Faust הינה נגזרת ממשפחת הכופרות של Phobos אשר נפרסת בדרך כלל באמצעות חיבורי פרוטוקול שולחן עבודה מרוחק שנפרצו. PCRisk.com היה הראשון לזהות את Faust בנובמבר 2022 וטוען כי הגרסה מתפשטת באמצעות הורדות מאתרים זדוניים או טורנטים, הונאות מקוונות, קבצים מצורפים בהודעות דואר זבל, כלי הפעלה לתוכנות פיראטיות ועדכונים מזויפים.
Faust, כמו תוכנות כופר אחרות, מצפינה נתונים קריטיים כך שהם בלתי שמישים עד לפענוחם בכלים שעבורם על הקורבן לשלם להאקרים את סכום הכופר במטבע קריפטו. מלבד הצפנת הנתונים משנה Faust את שמות הקבצים על ידי הוספת מזהה ייחודי לקורבן וסיומת faust. לאחר מכן מקפיצה הכופרה חלון המציג את דרישת הכופר בקובץ טקסט. בדרישת הכופר נכתב כי הקבצים של הקורבן הוצפנו וכי עליהם לשלם סכום מסוים בביטקוין כדי לקבל את הכלים הדרושים לפענוח הקבצים. הקורבן מוזהר גם ששינוי שמם של הקבצים המוצפנים או שימוש בכלים של צד שלישי כדי לפענח אותם עלול להוביל לאובדן נתונים קבוע. באתר PCRisk.com נאמר כי סכום הכופר תלוי במהירות בה יצר הקורבן קשר עם ההאקרים. לקורבנות ניתנת אפשרות לפענח חמישה קבצים עם מפרטים מסוימים ללא תשלום, כהמחשה לכאורה שכלי הפענוח עובדים כפי שהובטח. יש לציין כי כרגע לא קיימת אפשרות לפענח את הקבצים ללא התערבות של ההאקרים. כלי פענוח חינמיים זמינים לעתים קרובות עבור זני כופרה ישנים יותר. למרות שלצורות רבות של כופרה אין מפענחים, שיתוף פעולה עם תוקפים לא יבטיח שהם מספקים לקורבנות את כלי הפענוח הדרושים. בדרך כלל, חברות בעלות תוכניות התאוששות מאסון יכולות לטהר את המכונות הנגועות, לתקן את חור האבטחה בו השתמשו התוקפים כדי להיכנס למערכת המחשוב ולשחזר מערכות מגיבויים.
אנשי אתר MyBroadband יצרו קשר עם פורשה דרום אפריקה לקבלת פרטים נוספים על התקרית, אך החברה סירבה להגיב – לא אישרה ולא הכחישה את המתקפה. כאשר הופעל לחץ על החברה לקחת אחריות ולדווח על כל תקרית שבה נתוני לקוחות עשויים להיות חשופים, ענה דובר פורשה דרום אפריקה כי "כל הפרוטוקולים יישמרו". עדיין לא ברור מה דרשו התוקפים מהחברה או אם היא שילמה כופר כדי להחזיר את הגישה למערכות המחשוב שלה. כמו כן, לא ידוע אם גנבו ההאקרים נתונים תפעוליים או נתונים רגישים של לקוחות לשם הוצאה לפועל של פשעי סייבר נוספים. סוכנויות רכב מחזיקות לעתים קרובות מידע אישי מזהה של אנשים, מכיוון שהוא נדרש לרוב עבור מימון רכב ותוכניות שירות או תחזוקה. עם זאת, מצא הצוות הדיגיטלי לזיהוי פלילי של Paraflare כי מפעילי כופרת Phobos אינם ידועים כמי שמחלצים נתונים לשימוש במתקפות סחיטה כפולה. במקרים של סחיטה כפולה, מאיימים ההאקרים לפרסם את הנתונים שהם גנבו, בדרך כלל ברשת האפלה אך גם בפלטפורמות לגיטימיות ופופולריות כמו טלגרם. חשוב לציין כי פושעי סייבר אחרים יכולים להשתמש בנתונים הללו ברגע שפורסמו. Paraflare מצאו גם שהאקרים הקשורים ל- Phobos פועלים בדרך כלל באופן אוטונומי, הם בעלי דרישות נמוכות יחסית של סכום כופר והם פחות מקצועיים ממפעילים המשתמשים במשפחות אחרות של כופרה.
נזכיר כי פורשה יפן ספגה מתקפת סייבר בפברואר 2018 שהובילה לדליפה של נתונים של לקוחות. באותו אירוע, נגנבו על ידי ההאקרים פרטים כמו שמות לקוחות, כתובות מגורים, מספרי טלפון, משכורות שנתיות ונתוני בעלות על רכבים.
