חברת הסייבר הישראלית סיגניה (Sygnia) הצליחה לחשוף קבוצת האקרים מסין המכונה בשם Emperor Dragonfly, אשר מבצעת מתקפות כופר נגד ארגונים בכל העולם, כולל בישראל. שיטת הפעולה העיקרית של הקבוצה היא תקיפת שרתים של ארגונים שאינם מאובטחים כראוי, הצפנת המידע הרגיש ודרישה של מיליוני דולרים מהארגון המותקף בעבור השבתו של המידע. היא תוקפת חברות בעיקר בארצות הברית ובאסיה הפעילות בתחומים שונים: ייצור, שירותים פיננסיים, שירותים משפטיים וחברות הנדסיות.
הקבוצה נוהגת לתקוף חברות גדולות אשר ביכולתן לשלם סכומים גבוהים, לעתים יותר מ-10 מיליון דולר. התקיפה מתבססת על ניצול חולשות בשרתי ארגונים החשופים לאינטרנט, דרכם מתבצעת חדירה לרשת הארגונית כדי לגנוב ממנה מידע רגיש. בשלב הבא היא דורשת כופר שאם לא ישולם, היא תפרסם את המידע שנגנב. לדברי אורן בידרמן, מומחה בכיר לזיהוי ותגובה לאירועי סייבר בסיגניה, בדרך-כלל לא נהוג לראות בנוף האיומים העולמי קבוצות תקיפה שמקורן בסין. בידרמן: "קבוצה סינית מהסוג הזה היא דבר נדיר יחסית, מאחר והממשל הסיני מפקח על תעבורת האינטרנט בסין ומודע מאוד למה שקורה. סביר להניח שהיא לא יכולה לפעול כך בלא שהממשל בבייג'ינג מעלים עין".
הדרקון בעל השמות הרבים
חברי הקבוצה ניסו לשמור על חשאיות ולא להתגלות, ולכן החליפו מספר פעמים את שמם על-מנת שלא ניתן יהיה להתחקות אחר פעילותם, ובעבר היא כינתה את עצמה בשמות Night Sky ,DEV-0401 ו-Bronze Starlight. החקירה החלה לאחר שסיגניה זיהתה שימוש בתוכנת התקיפה Cheerscrypt אצל אחד מלקוחותיה וגילתה שהתוכנה חדרה לרשת הארגונית במשך מספר חודשים. בהמשך התברר שהיא הפעילה כלים אשר זוהו עם Night Sky הסינית ופותחו על-ידה.
סיגניה גם זיהתה שימוש בכלים "סיניים" הזמינים באתר GitHub, אשר נכתבו ופותחו על-ידי מפתחים סיניים עבור משתמשים סיניים. בהם למשל תוכנה העוקפת את מגבלות הצנזורה של הממשל בסין. מדובר בכלים שקבוצות כופרה אחרות אינן משתמשות בהם. בידרמן אמר שניתן להתמודד עם מתקפות כופר מהסוג הזה. "ניתן להתגונן בפני המתקפות באמצעות מספר צעדים בסיסיים – ובראשם לבצע מיידית את עדכוני אבטחה, מכיוון שקבוצת ההאקרים הזו מנצלת בעיקר את האלמנט הזה.
מתחזים לתומכי אוקראינה
"אנחנו רואים כי מרבית הארגונים שהותקפו לא עידכנו את שרתי הארגון". לקריאת הדו"ח של סיגניה, הקליקו: Emperor Dragonfly. הקבוצה החלה לפעול בשנת 2021 ואפילו מפעילה אתר המתחזה כאתר תמיכה באוקריאנה. בניגד לקבוצות תקיפה אחרות, היא אינה נעזרת בקבלני משנה, וכל מחזור התקיפה מתבצע על-ידה. כדי להסוות את פעילותה, הקבוצה משנה מדי פעם גם את שמות תוכנות התקיפה ואת המטען המזיק שלהן. יחד עם זאת, הן כוללות מרכיבים רבים של קוד משותף המאפשר לקשר ביניהן.
סיגניה היא חברת הסייבר של Team8 ו-Temasek, ומתמקדת בתגובה לאירועי סייבר. החברה הוקמה בשנת 2018 על-ידי יוצאי יחידה 8200, מערכת הביטחון והתעשיות הביטחוניות בישראל. היא מסייעת למאות ארגונים בעולם לבנות אסטרטגיות הגנה מפני מתקפות סייבר, לבלום מתקפות בזמן אמת ולהתאושש לאחר מתקפות. החברה דיווחה שהיא עידכנה בממצאים גורמי אכיפת חוק גלובליים, ושהיא ממשיכה לעקוב אחר קבוצת התקיפה בניסיון לסכל את המתקפות הבאות.