דו״ח סייבר שבועי
עדכון שבועי 01.04.2021
עיקרי הדברים
-
קבוצת תקיפה איראנית תוקפת מוסדות מחקר רפואיים בישראל ובארה״ב.
-
מתגברות התקיפות כנגד שרתי Exchnage פגיעים, במקביל לעלייה במתקפות הכופר.
-
מרכז הגנת הסייבר הלאומי האנגלי (NCSC) מזהיר מוסדות חינוך מפני מתקפות כופרה.
-
חוזר בתשובה: מנהל הכופרה Ziggy מתחייב להחזיר את דמי הכופר ששילמו קורבנות תקיפה.
-
אנו ממליצים לעדכן את המערכות הבאות: מוצרי VMWare vRealize Operations ,Cloud Foundation ו-vRealize Suite (קריטי); מוצרי Google Chrome (גבוה); מוצרי Mozila Firefox, Firefox ESR ו-Thunderbird (גבוה); מוצר WordPress Plugin Wordpress Super Cache (גבוה); מוצרי TBox של חברת Ovarro (גבוה); Citrix Hypervisor (בינוני); מערכות Apple iOS, iPadOS ו-watchOS;
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
Apple מפרסמת עדכוני אבטחה חדשים ל-iOS, iPadOS ו-watchOS
עדכוני אבטחה למוצרי Firefox, Firefox ESR ו-Thunderbird
פורסם עדכון הפותר חולשה ב-WordPress Plugin WP Super Cache
פגיעויות במוצרי TBox של חברת Ovarro
עדכון אבטחה ל-Citrix Hypervisor
חברת VMware מפרסמת עדכוני אבטחה לכמה ממוצריה
Google מפרסמת עדכוני אבטחה ל-Chrome
OpenSSL מפרסמת עדכוני אבטחה למוצריה
התקפות ואיומים
מתגברות התקיפות כנגד שרתי Exchnage פגיעים, במקביל לעלייה במתקפות הכופר
Zimperium מזהירה מפני נוזקת אנדרואיד מתוחכמת המתחזה לעדכון מערכת
בית ספר במדינת ג׳ורג׳יה מודיע על דליפת מידע של תלמידים בעקבות מתקפה על ספק צד שלישי
השבוע בכופרה
מנהל הכופרה Ziggy מתחייב להחזיר את דמי הכופר ששילמו קורבנות תקיפה
ארגון הצדקה Harris Federation חווה מתקפת כופרה
נוזקת Matrix מתפשטת בעולם תוך שינוי וקטור התקיפה שלה
הכנופייה העומדת מאחורי כופרת ה-Clop העלתה הילוך ומפעילה לחצים על לקוחות הקורבנות
מרכז הגנת הסייבר הלאומי (NCSC) האנגלי מזהיר מוסדות חינוך מפני מתקפות כופרה
סייבר בישראל
קבוצת תקיפה איראנית מטרגטת מוסדות מחקר רפואיים בישראל ובארה״ב
כנסים
הציטוט השבועי
״הוצאנו את הכסף לקורבנות אז זה טיפשי להחזיר כסף על בסיס מחיר הביטקוין היום. (למשל: אם קורבן שילם $500, הוא / הוא יקבל 500$) מכרתי את הבית שלי כדי להחזיר כסף לקורבנות [...] הגענו למסקנה שעלינו להשתמש ביכולות שלנו בדרכים חיוביות כדי לעזור לאחרים.״
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
Apple מפרסמת עדכוני אבטחה חדשים ל-iOS, iPadOS ו-watchOS
העדכונים סוגרים חולשה ברמת חומרה בינונית (CVE-2021-1879, CVSS 6.1), המאפשרת לגורם זדוני לבצע תקיפת XSS נגד מערכות עם פגיעות ברכיב ה-WebKit. העדכונים רלוונטיים למוצרים הבאים:
- iOS 14 ו-iPadOS 14 מגרסה 14.4.1 ומטה
- iOS 12 מגרסה 12.5.1 ומטה
- watchOS מגרסה 7.3.2 ומטה
אנו ממליצים לבעלי המוצרים לעדכן לגרסה האחרונה.
עדכוני אבטחה למוצרי Firefox, Firefox ESR ו-Thunderbird
העדכונים למוצרים מבית Mozilla נותנים מענה למקבץ חולשות, חלקן ברמת חומרה גבוהה, אשר עלולות לאפשר לגורם עוין ומרוחק לגשת למידע רגיש המצוי במחשב הקורבן ואף להריץ עליו קוד. המוצרים הפגיעים לחולשות שנסגרו בעדכונים הם:
Firefox גרסה 86 ומטה
Firefox ESR גרסה 78.8 וממטה
Thunderbird גרסה 78.8 ומטה
אנו ממליצים לבעלי המוצרים לעדכן בהקדם לגרסאותיהם האחרונות.
פורסם עדכון הפותר חולשה ב-WordPress Plugin WP Super Cache
החולשה רלוונטית לגרסה 1.7.1, והיא מאפשרת לתוקף להריץ על המערכת קוד זדוני מרחוק ולהתקין דלת אחורית לשם ביצוע שינויים ב-Database והשגת הרשאות מנהל לאתר. עד למועד הפרסום, טרם ניתן לחולשה CVE רשמי.
אנו ממליצים לכלל משתמשי המוצר לעדכנו לגרסתו האחרונה, 1.7.2, דרך האתר הרשמי של WordPress, זאת למרות שהחולשה קיבלה ציון CVSS נמוך.
פגיעויות במוצרי TBox של חברת Ovarro
על פי פרסום של מערך הסייבר הלאומי, החולשות שהתגלו במוצרים עלולות לאפשר לתוקפים להריץ קוד מרחוק או לבצע מתקפת מניעת שירות על הציוד. המוצרים הפגיעים לחולשות שנתגלו הם:
TBox LT2 - כל הדגמים
TBox - הדגמים MS-CPU32 ו-MS-CPU32-S2
TBox RM2 - כל הדגמים
TBox TG2 - כל הדגמים
כל הגרסאות הקודמות ל-Twinsoft 12.4 ול-Firmware 1.46
אנו ממליצים למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות, להגביל את גישת הציוד לרשתות תפעוליות ייעודיות ולא לאפשר כל גישה אליהם מרשתות שמחוץ לארגון, ומרשת האינטרנט בפרט. אם מסיבה עסקית כלשהי נדרשת גישה מרחוק לציוד, מומלץ ליישמה באמצעות שירות VPN עם הצפנה והזדהות חזקה מתאימה.
עדכון אבטחה ל-Citrix Hypervisor
העדכון, שפורסם ב-30 במרץ, מתקן שתי חולשות במוצר (CVE-2021-28038, CVE-2021-28688, CVSS 6.5), אשר מאפשרות ביצוע מתקפת מניעת שירות, זאת במידה ויש בידי התוקף הרשאות גבוהות במכונה.
אנו ממליצים לחברות המשתמשות ב-Citrix Hypervisor לעדכנו לגרסתו האחרונה.
חברת VMware מפרסמת עדכוני אבטחה לכמה ממוצריה
עדכוני האבטחה שפורסמו השבוע למוצרים vRealize Operations ,Cloud Foundation ו-vRealize Suite Lifecycle Manager סוגרים שתי חולשות (CVE-2021-21975, CVE-2021-21983) אשר לדברי החברה רמת חומרתן היא קריטית. למרות שטרם פורסם ציון ה-CVSS של החולשות, הוא צפוי להיות בין 7.2 ל-8.6.
אנו ממליצים לבעלי המוצרים להתקין את העדכונים בהקדם.
Google מפרסמת עדכוני אבטחה ל-Chrome
העדכון האחרון, 89.0.4389.114, רלוונטי לכלל מערכות ההפעלה ונותן מענה ל-8 חולשות אבטחה, בהן 6 חולשות ברמת חומרה גבוהה.
אנו ממליצים לבעלי המוצר לעדכנו בהקדם לגרסתו האחרונה.
OpenSSL מפרסמת עדכוני אבטחה למוצריה
העדכונים סוגרים שתי חולשות ברמת חומרה גבוהה (CVE-2021-3449, CVSS 5.9; CVE-2021-3450, CVSS 7.4) שנתגלו בגרסאות 1.1.1-1.1.1j של OpenSSL. ניצול מוצלח של החולשות עלול להוביל למתקפת DDoS (מניעת שירות מבוזרת).
אנו ממליצים לבעלי המוצר לעדכנו לגרסתו האחרונה - 1.1.1k.
התקפות ואיומים
מתגברות התקיפות כנגד שרתי Exchnage פגיעים, במקביל לעלייה במתקפות הכופר
במחקר שפורסם על ידי חברת Check Point מוצגת קורלציה בין פרסום החולשה הקריטית בשרתי ה-Excahnge של Microsoft לבין העלייה במספר מתקפות הכופר, זאת במקביל להתרעות הכופר שפורסמו על ידי הסוכנות לאבטחת סייבר ותשתיות של ארה״ב (CISA). עוד נמצא במחקר כי בחצי השנה האחרונה תועדה עלייה של 57% במספר הארגונים אשר חוו אירועי כופר, כאשר מבין מדינות העולם ישראל מדורגת במקום השלישי בכמות הניסיונות לתקיפות כופר שספגה. בתוך כך, CISA פרסמה הוראות חירום משלימות בנוגע לפגיעות בשרתי ה-Exchange, המכילות מידע אודות הפעולות הפורנזיות, ההקשחות וערוצי הדיווח בהם יכולים ארגונים להיעזר בעת הצורך.
Zimperium מזהירה מפני נוזקת אנדרואיד מתוחכמת המתחזה לעדכון מערכת
על פי פרסום החברה מה-26 במרץ, הנוזקה, אשר זוהתה על ידי חוקרי Zimperium zLabs, היא אפליקציה המהווה למעשה סוס טרויאני, שמאפשר לתוקף גישה ושליטה על המכשיר הנתקף מרחוק (RAT). לאחר שהקורבן הוריד והתקין את היישומון במכשירו, התוקף נהנה מיד חופשית בביצוע מגוון פעולות, בהן עיון בהודעות טקסט, בסימניות ובהיסטוריית חיפושים בדפדפנים, חיפוש קבצים, הקלטת קול ושיחות טלפון, צילום תמונות, גניבת תמונות, סרטונים ומידע אודות מיקום, צפיה באנשי הקשר ועוד, כל זאת ללא ידיעתו של הקורבן. להלן זוג IoCs שפרסמה החברה:
96de80ed5ff6ac9faa1b3a2b0d67cee8259fda9f6ad79841c341b1c3087e4c92
6301e2673e7495ebdfd34fe51792e97c0ac01221a53219424973d851e7a2ac93
בית ספר במדינת ג׳ורג׳יה מודיע על דליפת מידע של תלמידים בעקבות מתקפה על ספק צד שלישי
בהצהרה להורי התלמידים מטעם בית הספר DeKalb נמסר כי הדליפה, שהתרחשה בדצמבר 2019, כללה שמות מלאים, תאריכי לידה, מספרי זהות ומספרי ביטוח לאומי. דליפת המידע אירעה עקב גישה של גורם זר לקבצים בשרת של (PCS (Revenue Control Systems, ספקית שירות תשלומי הארוחות האינטרנטי של בית הספר. בעוד שהספקית סירבה לומר כמה תלמידים נפלו קורבן לדליפה ומסרה שחקירת המקרה עדיין נמשכת, בית הספר מצדו דורש מהחברה מידע נוסף אודות התקרית, וטוען כי המקרה הגיע לידיעתו רק בשבוע שעבר, וכי מערכותיו לא חוו כל פגיעה.
השבוע בכופרה
ארגון הצדקה Harris Federation חווה מתקפת כופרה
על פי הדיווח באתר BleepingComputer, ב-27 במרץ הותקפו מערכות הארגון הלונדוני, המנהל 50 מוסדות לימוד, תוך הצפנת מערכות ה-IT שלו. בתגובה השבית מוסד הצדקה את שרתי המייל ואת קווי הטלפון הנייחים שלו, וניתב את כל השיחות הנכנסות לטלפונים סלולריים. עוד הושבתו מחשבים ניידים שניתנו לתלמידים, זאת על מנת למנוע את המשך התפשטות התקיפה ברשת. בהצהרה המופיעה באתר הארגון נמסר כי מדובר במתקפה מתוחכמת מאוד שהשפיעה רבות על הלימודים האקדמיים במוסדות, וכי ייקח זמן רב עד שייחשף היקף הנזק שנגרם. המוסד עובד בצמוד לרשות הלאומית לפשיעה, למרכז הסיייבר הלאומי של בריטניה ולחברת סייבר מקומית על מנת לחקור את האירוע. התקיפה מגיעה בהמשך לאזהרות שפרסמה הרשות הלאומית לסייבר באנגליה, לפיהן צפויות תקיפות סייבר של מוסדות לימוד.
נוזקת Matrix מתפשטת בעולם תוך שינוי וקטור התקיפה שלה
ממאמר שפרסם צוות Unit 42 של Palo Alto אודות הנוזקה, שנצפתה לראשונה ב-2016 כשהיא מטרגטת בעיקר ארגונים קטנים ובינוניים ומופצת לרוב באמצעות פישינג וערכות שונות ב-Windows, עולה כעת שינוי בדרך פעולתה: מ-2019 החלה Matrix להתגלות ברחבי העולם בווקטור תקיפה המאופיין ב-Brute-force על פרוטוקול RDP, תוך ניצול חולשות בהגנה של מערכות. ברגע שהנוזקה רצה במערכת, היא מצפינה קבצים משותפים, מוחקת Shadow copies של המערכת ולא מאפשרת לבצע Recovery. זאת ועוד, בשונה מהמקובל בתקיפות מסוג זה, התוקפים מבקשים מהקורבן שייצור איתם קשר ישירות וישלח להם 3-5 קבצי מערכת מוצפנים שאינם מכילים מידע בעל ערך. בתמורה, הם מסירים מהקבצים את ההצפנה ושולחים לו אותם בחזרה כהוכחה, כביכול, לכך שאם יקבלו את דמי הכופר שהם דורשים בביטקוין, תוסר ההצפנה גם משאר הקבצים.
אנו ממליצים לבצע בדיקה על מנת לוודא שמערכות ההגנה של ארגונכם עומדות בכל הסטנדרטים הדרושים על מנת להימנע מתקיפה זו.
הכנופייה העומדת מאחורי כופרת ה-Clop העלתה הילוך ומפעילה לחצים על לקוחות הקורבנות
על פי פרסום ב-BleepingComputer, אופן פעולתה הנוכחי של חבורת עברייני הסייבר הוא כדקלמן: טרם הליך הצפנת המערכות הנתקפת, התוקפים גונבים מידע רגיש אודות לקוחות הקורבן, ובכלל זה כתובות מגורים, תעודות מזהות, מספרי טלפון או כל פריט מידע חסוי אחר, כנהוג במתקפות מסוג זה. לאחר מכן כנופיית Clop הולכת צעד נוסף ומנצלת את המידע שנגנב על מנת לפנות אל נושאיו באמצעות מייל או הודעות SMS, בהם מסבירים התוקפים לנמענים כי הארגון מסרב לשלם את דמי הכופר ועל כן המידע האישי שלהם יופץ. לשם שמירה על פרטיות המידע, התוקפים מפצירים בלקוחות לפנות אל הארגון באופן מיידי ולדרוש ממנו שישלם את דמי הכופר. המעשה נועד להפעלת לחץ על הארגון באמצעות פניות פומביות, ואולם למרבה הצער גם אם הקורבן נכנע ומשלם את דמי הכופר, אין ערובה לכך שהמידע אשר נגנב לא ימצא את דרכו לידי עבריינים אחרים ולעיניי הציבור הרחב.
מרכז הגנת הסייבר הלאומי (NCSC) האנגלי מזהיר מוסדות חינוך מפני מתקפות כופרה
הארגון מפרסם כי מפברואר 2021 מספר מתקפות הכופרה על מוסדות חינוך באנגליה, בהם אוניברסיטאות, בתי ספר ומכללות, גדל בצורה משמעותית. המתקפות הובילו לפגיעה במערך הלמידה של הסטודנטים וברשומות פיננסיות של המוסדות, ואף לאיבוד מידע הנוגע לבדיקות קורונה. המערך מפציר במוסדות להגביר את הערנות ולפעול על פי כללים שפרסם למניעת או להקטנת האפשרות ליפול קורבן למתקפות מסוג זה, בהם:
ניהול נכון של תוכנות ועדכון שוטף של המוצרים בהם נעשה שימוש.
הקשחת הגישה לשירותים מרוחקים ושימוש ב-MFA.
פיתוח נהלים להתמודדות במקרה של מתקפה, לשם התאוששות מהירה של הארגון, כולל ניהול יעיל של גיבויים.
עוד פרסם הארגון רשימה של נקודות תורפה המאפשרות חדירת תוקפים לרשתות המוסדות, בהן:
הגנה חלשה על גישה מרוחקת לשרתים, לרבות שימוש בסיסמאות חלשות, אי-שימוש ב-MFA והימצאותן של תוכנות לא מעודכנות ברשת הארגון.
שימוש בפרוטוקול RDP עם סיסמאות דיפולטיביות.
פתיחת מיילים המכילים פישינג על ידי עובדים.
שימוש במוצרים המכילים חולשות ידועות.
אנו ממליצים לכלל הארגונים, גם אלה שאינם מוסדות חינוך, לעקוב אחרי הכללים והטיפים המצויים בקישור זה, על מנת להגן על רשתותיהם מפני תקיפות.
מנהל הכופרה Ziggy מתחייב להחזיר את דמי הכופר ששילמו קורבנות תקיפה
הצהרה זו מה-19 במרץ מגיעה לאחר שב-7 בפברואר הודיע על סיום קמפיין התקיפה ופרסם קובץ SQL ובו 922 מפתחות פענוח, באמצעותם יכולים הקורבנות לפתוח את הקבצים שהוצפנו בתקיפת תשתיותיהם.
סייבר בישראל
קבוצת תקיפה איראנית מטרגטת מוסדות מחקר רפואיים בישראל ובארה״ב
קבוצת התקיפה TA453 פתחה בסוף 2020 בקמפיין המכונה BadBlood, שמטרתו להשיג פרטי גישה לחשבונות של אנשי מקצוע בכירים בתחום הרפואה בישראל ובארה״ב, בדגש על מכוני מחקר העוסקים בנוירולוגיה גנטית ובמחקר אונקולוגי. הקמפיין פועל באמצעות חשבון ה-Gmail הבדוי zajfman.daniel[@]gmail.com, דרכו נשלחים לבכירים המטורגטים מיילים זדוניים המכילים קישור לעמוד נחיתה מזויף. העמוד, שמתחזה ל-OneDrive, מפנה להורדת מסמך PDF, אשר מי שמוריד אותו או מנסה לצפות בו מופנה לעמוד כניסה מזויף ל-Microsoft, באמצעותו משיגים התוקפים את פרטי הגישה של המשתמש. אופן פעולה זה תועד בעבר על ידי ״עלמא״, חברת מחקר ישראלית לאתגרי הביטחון של ישראל בצפון.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פרומצ'נקו, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, קונסטנטין חולביצקי, רז גלילי, רחל נועה ביניאשוילי וגיא פינקלשטיין.