לאורך כל שעות הבוקר (שישי) המשיכו ההאקרים שפרצו למחשבי חברת הביטוח "שירביט" להדליף מידע ופרטים של לקוחות החברה ועובדיה, ואף פרסמו את המשא ומתן עם נציגי החברה שהתנהל בהתכתבות באפליקציית "טלגרם". זאת לאחר שב-9:00 הגיע המועד האחרון שהציבו לתשלום דמי כופר. ההאקרים גם החריפו את פעולתם ועברו לפרסם מידע יותר ויותר אישי.
לאחר הדלפת הפרטים, פרסמה קבוצת ההאקרים את ההתכתבות בינה לבין נציג שירביט. בשיחה אמרו הפצחנים כי "זאת ההזדמנות האחרונה שלכם. הרבה אנשים רוצים את המידע, כולל גורמי מודיעין". נציג חברת הביטוח אמר בשיחה: "אני צריך שתהיה מענטש, אדם של כבוד, תן לי משהו פרקטי שאוכל לבוא איתו למנכ"ל". הפצחן השיב: "אין לנו מילה, כשתהיה מוכן לשלם צור איתנו קשר".
מעט מאוחר יותר, כתב נציג החברה להאקרים כי "המנכ"ל רוצה עסקה אתכם – בתנאי שתתנו לנו עירבון לכך שתקיימו אותה". ההאקרים הגיבו כי "אין שום התחייבות בעולם ההאקרים. אתם חייבים לתת בנו אמון. כל מה שאנחנו יכולים לומר זה שאנחנו לא רוצים להרוס את השם של הקבוצה שלנו".
נציג הגחברה כתב כי " אנחנו צריכים להכיר יותר אחד את השני". בתגובה כתבו הפורצים: "זו ההזדמנות האחרונה שלכם, הרבה אנשים רוצים את המידע שלנו כולל שירותי מודיעין – ובתעריף גבוה יותר". נציג החברה השיב: "אני מבין שזה הצ'אנס האחרון שלי. אם אתם רוצים לראות כסף, אם אנחנו רוצים לעשות עסקה, אנחנו נהיה חייבים לעבוד ביחד. זו גם הפעם הראשונה מבחינתי בסוג כזה של אירוע, אני לא רוצה טעויות". הפורצים השיבו: "הזמן שלך התחיל, יש לך 14 שעות לדד ליין".
"תן לי זמן להשיג את כל האישורים הממשלתיים עד מחר בערב. האולטימטום צריך לעבור לשעה 19:00. אני אפרסם הצהרה לתקשורת בשבילכם", ביקש נציג החברה. הפורצים השיבו: "זאת בעיה שלך. עד לזמן הזה אתה תצטרך לשלם 100 ביטקוין וחלק מהנתונים יודלפו כמובן". נציג שירביט: "אם אתה רוצה כסף – זאת בעיה שלנו. אם אתה לא רוצה כסף – ההדלפה תהיה בעיה שלי, אבל מה יהיה בשבילך?" פורצים: "אז נעשה את מה שאמרנו". נציג שירביט: "אני רוצה לשלם ומוכן למו"מ, אולי נוכל לבצע שני תשלומים – אחד מחר והשני אחרי שבת". פורצים: "רק תשלום אחד עד 9 בבוקר. כשאתם מוכנים לשלם, תיצרו קשר".
שירביט ממשיכה לרמוז שמדובר בגוף גדול שעומד מאחורי התקיפה ומניעיו "אסטרטגיים", אף שאין אינדיקציה לכך. המידע שהתפרסם עד כה מהווה בעיקר נזק לשירביט ופגיעה בפרטיות של לקוחותיה, אך לא פגיעה לאומית – וזאת למרות החשש שמידע של בכירים במערכת הביטחון ידלוף. יתרה מכך, ההערכה היא שהתוקף – או לפחות אחד מהם – נמצא בישראל.
חברת הביטוח אישרה כי משא ומתן שכזה אכן התקיים. "המשא ומתן התנהל מתוך הנחת עבודה כי המוטיבציה של התוקפים אינה כלכלית, אלא נובעת מרצון לגרום נזק לחברה ולמדינה. כחלק מזה, הדלפת התכתובת נלקחה בחשבון", נמסר משירביט. "שיח מכבד עם התוקפים הוא כלל ברזל בניהול אירועים ומו"מ מהסוג הזה".
גורם בתעשיית הסייבר אמר ל'מעריב' כי היקף המידע שדלף משירביט הוא עצום. "אנחנו מדברים על פיסות אדירות של מסמכים שבחוץ. זה לא תעודה וחצי". הגורם הדגיש כי הטרגדיה הגדולה בכל הפרשייה "היא עשרות אלפי האנשים או יותר שלא יודעים מה קורה ולא מדברים איתם מיום שלישי. בעיניי זה המחדל הגדול. התקפות קורות אבל מה קורה מאז המתקפה?".
הגורם העריך כי מדובר בהתקפת כופר בלבד, וכי הפרסומים והרמיזות על מניע ביטחוני לא מתבססים על ממצא משמעותי. "אני לא יודע על מה ההתבססות בנוגע לכיוון ביטחוני. ככה נראות התקפות כופר, ובמתקפות פוליטיות המניע ברור ונאמר בפירוש. נקמה, עונש וכו'", אמר הגורם.
