top of page
WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 04.05.2023

עיקרי הדברים

  1. ישראל: נמשכות מתקפות הסייבר נגד ארגונים ישראלים: קבוצת ״אנונימוס סודן״ הודיעה כי תקפה מספר אתרים ישראליים ביניהם אתרים של מפלגות בכנסת ואתר השירותים הממשלתי הרשמי. נבלמה מתקפת סייבר על גל״צ.

  2. סייבר בבריאות - גל מתקפות נגד ארגוני בריאות בעולם:דלף מידע בחברת ביטוחי הבריאות UnitedHealthcare; מתקפת כופרה על Atlantic Eye Center בניו ג׳רסי; מתקפת כופרה על Transformative Healthcare; דלף מידע בחברת United HealthCare; בית חולים מאינדיאנה ממשיך לספוג נזקים כספיים כתוצאה ממתקפת כופר שקרתה בשנת 21';  מטופלת משכה את תביעתה בבקשה לכפות על רשת שירותי הבריאות לשלם כופר.

  3. חודש מרץ 2023 שבר את שיא מתקפות הכופר לחודש אחד.

  4. עדכון לרשימת וואסנאר שינויים בהגדרה של "Intrusion Software".

  5. *אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Zyxel (קריטי); מוצרי Illumina (קריטי);  מוצר Apache Spark (קריטי); Google Chrome (בינוני); מוצר GitLab (בינוני);*

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכון אבטחה למוצרי Zyxel הנותן מענה לחולשה קריטית מסוג Command Injection
עדכון תוכנה קריטי למוצרי חברת Illumina
עדכוני אבטחה לגוגל כרום עבור 15 חולשות מרמת בינונית על נמוכה בפלטפורמות הדסקטופ והמובייל
עדכון אבטחה ל GitLab נותן מענה ל 9 חולשות ברמה חומרה בינונית
עדכון אבטחה העונה על 13 חולשות ל Apache Spark נותן מענה לחולשות ברמת חומרה קריטית
קבוצת התקיפה FIN7 מצאה חולשה בשרתי הגיבוי של Veea

התקפות ואיומים

זוהתה ערכת כלים זדונית חדשה בשם "DecoyDog" המאפשרת התחמקות ממערכות הגנה על ידי שימוש בבקשות DNS

השבוע בכופרה

חודש מרץ 2023 שבר את שיא מתקפות הכופר לחודש אחד

קבוצת הכופרה Royal ransomware ביצעו תקיפה מוצלחת על מערכות העיר של דאלאס, טקסס

סייבר בעולם

דיווח חדש מעדכן כי הפריצה ל- Solarwinds התגלתה כחצי שנה לפני הפרסום הראשוני
CISA מוסיפה 3 חולשות לקטלוג החולשות המנוצלות שלה
קבוצת התקיפה ALPHV פרסמה מידע פנימי של Western Digital ומאיימת לפרסם מידע נוסף
חברת T-Mobile מדווחת על דלף מידע
האקרים רוסים משתמשים ב-WinRar למחיקת מידע במערכות ממשלתיות של אוקראינה

סייבר בגופי בריאות

ארה״ב: חשד לדלף מידע בחברת ביטוחי הבריאות UnitedHealthcare
ארה״ב: מתקפת כופרה על Atlantic Eye Center בניו ג׳רסי
קבוצת הכופר ALPHV הוסיפה לרשימת הקורבנות שלה את המתקפה על חברת Transformative Healthcare
ארה״ב: בית חולים מאינדיאנה ממשיך לספוג נזקים כספיים כתוצאה ממתקפת כופר שקרתה בשנת 21'
חברה רוסית בשם Gleg מוכרת דרכים לניצול חולשות Zero Day לסקטור הרפואי
ארה״ב: חשד לדלף מידע של 783 אלף חולים בסטארטאפ בריאות הנפש לילדי

סייבר בישראל

קבוצת ״אנונימוס סודן״ הודיעה כי תקפה מספר אתרים ישראליים ביניהם אתרים של מפלגות בכנסת ואתר השירותים הממשלתי הרשמי.

סייבר ופרטיות - רגולציה ותקינה

מדינת פנסילבניה שבארה"ב: אישה שתמונות עירום שלה שצולמו כחלק מבדיקה רפואית דלפו בשעת מתקפת סייבר - משכה את תביעתה לחייב תשלום כופר
ישראל ודובאי: הסכם תקדימי לשיתוף פעולה בתחום הגנת פרטיות המידע
הצעת החוק של האיחוד האירופאי לשת"פ בין הסקטור הפרטי והציבורי: ה-Cyber Solidarity Ac

כנסים

 
 

הציטוט השבועי

״גורמי סייבר איראניים היו בחזית מבצעי ההשפעה בסייבר, תוך שילוב פעולות סייבר התקפיות עם פעולות השפעה רב-כיוונית כדי לתדלק שינוי גיאופוליטי בהתאם ליעדי המשטר. המטרות של מבצעי ההשפעה בסייבר כללו ניסיון לחזק את ההתנגדות הפלסטינית, לעורר תסיסה בבחריין, ולהתמודד עם הנורמליזציה המתמשכת של הקשרים הערבים-ישראלים, תוך התמקדות מיוחדת בזריעת פאניקה ופחד בקרב אזרחי ישראל״ 

- קלינט ווטס - מנהל כללי, מרכז ניתוח איומים דיגיטליים, מיקרוסופט

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכון אבטחה למוצרי Zyxel הנותן מענה לחולשה קריטית מסוג Command Injection

חברת Zyxel מפרסמת עדכונים למוצריה הנותנים מענה לחולשה (CVE-2023-28771, CVSS: 9.8) מסוג Command Injection שמקורה במערכת ההפעלה ומשפיעה על מספר מוצרים: ATP, USG FLEX, VPN גרסאות V4.60 עד V5.35 ו-ZyWALL/USG גרסאות V4.60 עד V4.73. החולשה נוצרת בעקבות ניהול לא נכון של הודעות מערכת בחלק מגרסאות ה-Firewall עלולים לאפשר למשתמש לא מאומת להריץ קוד שרירותי על העמדה בתצורה מרוחקת על ידי שליחת תעבורת רשת ייחודית לניצול החולשה. צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאות העדכניות ביותר על פי הוראות היצרן. ATP, USG FLEX, VPN לגרסאות ZLD V5.36 ו-ZyWALL/USG לגרסה V4.73 עדכון 1.


עדכון תוכנה קריטי למוצרי חברת Illumina
החברה שעוסקת בביוטכנולוגיה הוציאה עדכון אבטחה לכמה ממוצריהם  וביניהם עדכון ל Universal Copy Service, חולשה יכולה לאפשר לתוקף לא מאומת לבצע כל פעולה ברמת מערכת ההפעלה, וזה עלול להשפיע על הגדרות, תצורות, תוכנה או נתונים על המוצר המושפע. חולשה זו דורגה כקריטית CVE-2023-1968 CVSS 10.0.

צוות קונפידס ממליץ לכל משתמשי Illumina לעדכן לגרסאות העדכניות בהקדם האפשרי .


עדכוני אבטחה לגוגל כרום עבור 15 חולשות מרמת בינונית על נמוכה בפלטפורמות הדסקטופ והמובייל 

בשבוע האחרון גוגל הפיצה עדכוני לדפדפן גוגל כרום לגרסה 113 עבור אנדרואיד, iOS, ווינדוס, לינוקס ומאק ועדכונים אלה כוללים שיפורים בביצועים, יציבות ועדכוני אבטחה עבור 15 חולשות ובהם CVEs מרמת חולשה נמוכה עד בינונית. תיקונים אלו כוללים תיקון של יישום לא ראוי של מספר פונקציות בדפדפן כרום.
צוות קונפידס ממליץ לעדכן את גרסת דפדפן כרום לעדכנית ביותר.


עדכון אבטחה ל GitLab נותן מענה ל 9 חולשות ברמה חומרה בינונית 

GitLab שחררה את גרסה 15.9.6 ל GitLab Community Edition ואת גרסאות 15.11.1, 15.10.5 לGitLab  Enterprise Edition המתקנות 9 חולשות אשר רובם ברמות בינוניות. חלק מהחושות  הן חולשה המאפשרת הסלמת הרשאות וחולשה מסוג  (Cross-Site Scripting ( XSS.

צוות קונפידס ממליץ לכלל משתמשי מוצרי GitLab לעדכן בהקדם האפשרי לגרסאות האחרונות.


עדכון אבטחה העונה על 13 חולשות ל Apache Spark נותן מענה לחולשות ברמת חומרה קריטית

חברת Apache Spark פרסמה עדכון לחולשות ידועות בכמה  מהשירותים והכלים של שרת ה-Apache. החולשות הבאות (CVE-2022-33891 CVSS 8.8) (CVE-2019-10099 CVSS 9.8) (CVE-2018-17190 CVSS 9.8).

(CVE-2023-22946 CVSS 9.9)  הן חולשות המוגדרות כקריטיות המאפשרות לתוקף להתחזות למשתמש אחר ולקבל את הרשאות המשתמש ומפתח המאסטר של המשתמש בהתחברות ל-console , בנוסף התוקף יקבל אפשרות להריץ פקודות שרירותיות בשלל מערכות. שאר החולשות הן חולשות ברמת חומרה נמוכה ובינונית.
הגרסאות המושפעות מחולשות אלה הן 3.2.0 , 3.2.1 , 3.1.3 וכל הגרסאות שיצאו לפניה.
צוות קונפידס ממליץ לכלל משתמשי מוצרי Apache Spark לעדכן בהקדם לגרסאות האחרונות.


קבוצת התקיפה FIN7 מצאה חולשה בשרתי הגיבוי של Veeam

לקראת סוף מרץ קבוצת התקיפה המכונה FIN7, החלה להתמקד בתוכנת הגיבוי והשכפול של (Veeam (VBR. ההתקפות התרחשו לאחר שבוע מפרסום הפגיעות (CVE-2023-27532) ב-VBR שחושפת אישורים מוצפנים המאוחסנים בתצורת VBR למשתמשים שאינם מאומתים. חולשה זו עלולה לאפשר לתוקפים גישה לשרתי הגיבוי. התוקפים השתמשו בכלים וטקטיקות שונות כדי לחדור ללשרתי הגיבוי של Veeam, כולל הפעלת סקריפטים של PowerShell וביצוע תנועה רוחבית ברשתם באמצעות האישורים הגנובים. טקטיקות אלו נצפו בהתקפות קודמות שיוחסו ל-FIN7, ושמות הסקריפטים של PowerShell ששימשו בהתקפה זו היו עקביים עם התקפות FIN7 קודמות. לפי דבריה של חברת WithSecure, שדיווחה על המתקפה נמסר כי ההאקרים השתמשו בפקודות שונות ובסקריפטים מותאמים אישית כדי לאסוף מידע, עוד הוסיפה שמטרתם הסופית של מתקפות אלו עדיין לא ברורה והחשד הוא שקבוצת התקיפה התכוונה לפרוס גם תוכנות כופר בשרתים אליהם הצליחה לחדור.

צוות קונדפידס ממליץ למשתמשי המוצר לבצע עידכון גירסה לתוכנה לגירסת האחרונה כפי שפורסם על ידי חברת Veeam על מנת להימנע מפגיעות לחולשה זו.

התקפות ואיומים

זוהתה ערכת כלים זדונית חדשה בשם "DecoyDog" המאפשרת התחמקות ממערכות הגנה על ידי שימוש בבקשות DNS

מאמר חדש של חברת Infoblox מדווח על ערכת כלים זדונית חדשה בשם "DecoyDog" שנמצאת בשימוש על ידי תוקפים כדי להתחמק מגילוי ממערכות הגנה המנטרות תעבורת רשת. חברת Infoblox מנתחת מעל 70 מיליון בקשות DNS מידי יום. ערכת הכלים "DecoyDog" שזיהתה החברה משתמשת בשאילתות DNS כדי להסתיר את התקשורת עם שרתי C2 בבעלות התוקפים על ידי יצירת תעבורת רשת המחקה תעבורת רשת לגיטימית הנמצאת בכל עמדה. עם זאת, חברת Infoblox עדיין הצליחה לזהות פעילות זו על ידי ניתוח שאילתות DNS עבור דפוסי התנהגות שאינם תואמים לתעבורת רשת רגילה. המאמר מספק כמה דוגמאות לתעבורת DNS חריגה הקשורה לערכת הכלים ״DecoyDog״. צוות קונפידס ממליץ לארגונים להטמיע כלי הגנה המנטרים תעבורת רשת, ישנם כלים המשתמשים במנועי בינה מלאכותית על מנת לזהות דפוסי פעולה מסוימים וככה מצליחים לזהות תקשורת חריגה מסוג זה.

השבוע בכופרה

חודש מרץ 2023 שבר את שיא מתקפות הכופר לחודש אחד
על פי אנליסטים מקבוצת NCC, בחודש מרץ 2023 נרשמו 459 מתקפות כופר ידועות, מה שמסמן על מגמת עלייה של 91 אחוזים לעומת חודש פברואר ועלייה של 62 אחוזים לעומת חודש מרץ 2022. על פי הדוח שהוציאה קבוצת NCC, הסיבה העיקרית לעלייה זו היא חולשת Zero-Day ב-Forta GoAnywhere MFT(כלי להעברת קבצים בצורה בטוחה). חולשה זו רשומה כ-CVE-2023-0669 עם ציון CVSS של 7.2 המוגדר גבוה. ניצול חולשה זו הוביל לגניבת מידע. ניצול החולשה הוביל לגניבת מידע מ-130 ארגונים תוך 10 ימים. קבוצת התקיפה שביצעה את מירב המתקפות בחודש מרץ 2023 הייתה Clop Group, לאחר מכן קבוצת LockBit 3.0 ושאר הקבוצות האחרות שביצעו התקפות: Royal Ransomware, BlackCat, Bianlian, Stormous, Medusa, Ransomhouse.

הסקטור שנפגע הכי הרבה ממתקפות כופר בחודש מרץ 2023 הוא סקטור התעשייה הכולל תחתיו חברות בנייה, הנדסה לוגיסטיקה ועוד… סקטור זה הוא 32 אחוזים מכלל מתקפות הכופר הבוצעו בחודש זה. אמנם חלק מהסקטורים יכולים להיות יותר פגיעים מאחרים. צוות קונפידס ממליץ לכלל הארגונים לנקוט בצעדים ההכרחיים לצמצום הסיכון להיות קורבן למתקפת כופר. צעדים אלו כוללים יישום הגדרות ועדכוני אבטחה, מידור וניטור של הרשת ועוד.


קבוצת הכופרה Royal ransomware ביצעו תקיפה מוצלחת על מערכות העיר של דאלאס, טקסס

עיריית דאלאס טקסס שהיא העיר התשיעית בגודלה בארצות הברית עם אוכלוסיה של כ 2.6 מיליון איש עברה אירוע של מתקפת כופרה שבוצעה על ידי קבוצת הכופרה Royal ransomware. על פי דיווחים במדיה המקומית עיריית דאלאס נאלצה להשבית ביום שני חלק מתשתיות ה IT שלה בעקבות מתקפת כופרה שעוברת ובמטרה למנוע את התפשטות המתקפה, כחלק מהשירותים שנפגעו שירותי התקשורת וה IT של משטרת העיר דאלאס הושבתו כתוצאה מהתקיפה דבר זה הוביל לכך שטלפניות של מוקד החירום של המשטרה (911) כתבו והעבירו ידנית דיווחים שהתקבלו במוקד במקום להעביר דיווחים אלו באמצעות המערכות הממוחשבות, בנוסף אתר האינטרנט של משטרת דאלאס גם הורד בעקבות המתקפה אך כבר חזר לפעילות. היקף הפגיעה עדיין לא ברור בשלב זה ונבדק על ידי העירייה. בנוסף על פי מקורות של אתר החדשות BleepingComputer נמסר כי מדפסות המחוברות לרשת של העירייה התחילו להדפיס את מכתב הכופרה של קבוצת התקיפה. אופן הגישה הראשונית של קבוצת התקיפה לא פורסם בשלב זה, עם זאת קבוצת הכופרה Royal ransomware ידועים בשימוש במכשירים שפתוחים לאינטרנט אך גם מבצעים שימוש במתקפות דיוג (פישינג) ומתקפות callback phishing כחלק מטקטיקות התקיפה הראשונית של הקבוצה וסביר להניח שגם במקרה זה בוצע שימוש באחד מטקטיקות אלו על מנת להשיג גישה ראשונית לרשת העירייה.  

  (מכתב הכופרה שהודפס במדפסות הרשת של העירייה - מקור BleepingComputer)

סייבר בעולם

דיווח חדש מעדכן כי הפריצה ל- Solarwinds התגלתה כחצי שנה לפני הפרסום הראשוני 

פרסום חדש מגלה כי משרד המשפטים של ארה״ב היה הראשון לזהות התנהגות חשודה של מערכת Solarwinds עוד במאי 2020, כחצי שנה לפני הפרסום העולמי. בהמשך לדיווחים הרבים בהקשר הפריצה המפורסמת, השבוע התפרסם כי במאי 2020, משרה מהשפטים האמריקאי זיהה תעבורת רשת חריגה שמקורה באחד השרתים שהפעילו גרסת ניסיון של חבילת התוכנה Orion מתוצרת SolarWinds. לאחר שהחלו החשדות בתעבורת רשת זו, החלו לבדוק את הנושא. השרת עליו הייתה מותקנת התוכנה, יצר תקשורת חיצונית עם מערכת לא מוכרת באינטרנט. משרד המשפטים שזיהה את התעבורה החשודה, ביקש מחברת אבטחת המידע Mandiant לעזור בחקירה ולקבוע האם השרת נפרץ. חברת Solarwinds שפיתחה את המוצר  Orion המשמש אנשי IT לניהול וניטור הרשת של הארגון מוטמעת בהרבה חברות והחשד היה שהאקרים רוסיים החדירו קוד לתוכנה של Solarwinds וביצעו שימוש ב-​​ supernova וב- sunburstֿ, עד היום לא ידוע איך זה נעשה ומה הייתה המטרה מאחורי פעולות אלו.
בזמנו חברת Solarwinds המליצו לעדכן את התוכנה, כאשר הגרסאות הפגיעות הן:
Orion Platform versions 2019.4 HF 5, 2020.2 with no hotfix installed, or with 2020.2 HF 1


CISA מוסיפה 3 חולשות לקטלוג החולשות המנוצלות שלה

הסוכנות האמריקאית להגנת סייבר ותשתיות הוסיפה השבוע ל ״קטלוג החולשות המנוצלות״ שהיא מתחזקת שלושה חולשות חדשות.

CVE-2023-1389 CVSS 8.8 - היא חולשה שנמצאה בנתבים מסוג TP-Link Archer AX21 ו AX1800 שהחברה מייצרת, בניצול מוצלח שלך החולשה תוקף יוכל לבצע ״הזרקת״ פקודות למערכת ללא צורך של התוקף בפרטי אימות (שם משתמש וסיסמא), פקודות אלו ירוצו ברמת הרשאות Root במערכת.

CVE-2021-45046 CVSS 9.0 - חולשה קריטית שנמצאה ב Apache Log4j בגירסה 2.15.0 בניצול מוצלח של חולשה זו תוקף יכול הרצת קוד מרחוק והרצת קוד מקומית (תלוי בסביבה בה עובד).

CVE-2023-21839 CVSS 7.5 - חולשה שנמצאה ב Oracle WebLogic Server מבית חברת Oracle ומשפיעה על גירסאות 12.2.1.3.0, 12.2.1.4.0 ו 14.1.1.0.0. חולשה זו יכולה לאפשר לתוקף לא מאומת עם גישה לרשת באמצעות T3 או IIOP לגשת למידע קריטי במערכת וגם לקבל גישה מלאה למערכת.

צוות קונפידס ממליץ למשתמשי מוצרים אלו לבצע עידכון גירסה למוצרים אלו לגירסתם האחרונה על מנת לצמצם את החשיפה לתקיפה באמצעות חולשות אלו. 


קבוצת התקיפה ALPHV פרסמה מידע פנימי של Western Digital ומאיימת לפרסם מידע נוסף

קבוצת התקיפה ALPHV הידועה גם בשם BlackCat פרסמה חלק ממידע פנימי של חברת Western Digital אליהם פרצו בחודש מרץ ובפריצה זו נגנב מידע מהרשת הפנימית שלהם ומאז לא שילמו את דמי הכופר הנדרשו מהתוקפים. ההדלפה הנוכחית יכולה להעיד על כך שלתוקפים ייתכן ועדיין יש גישה למערכות החברה ומטרת ההדלפה הנוכחית היא סביר להניח על מנת לזרז ולשכנע לשלם את דמי הכופר. למרות שהחברה סגרה את כל שירותי הענן שלה למשך שבועיים בצורה יזומה, התוקפים פרסמו דוגמאות למידע שנגנב מההתקפה הכולל בין היתר קבצים חתומים על ידי החברה, מספרי טלפון וצילומי מסך של התכתבויות מייל פנימיות והקלטות של ועידות פנימיות הקשורות לתגובת החברה על המתקפה בחודש מרץ. ALPHV טוענים שבידיהם מידע אישי של לקוחות וגיבוי מלא של יישום ה-SAP Backoffice של החברה ומאיימים להפיץ עוד מידע גנוב אם התשלום לא ייעשה.


חברת T-Mobile מדווחת על דלף מידע
T-Mobile מסרה ביום שני האחרון למשרד המשפטים במדינת מיין שבארה"ב, כי חוותה פריצה שחשפה מספרי PIN של חשבונות T-Mobile ונתונים אישיים נוספים בפריצה השנייה לרשת של החברה השנה והתשיעית מאז 2018. החדירה, שהחלה ב-24 בפברואר ונמשכה עד 30 במרץ, פגעה ב-836 לקוחות, לפי הודעה באתר של התובע הכללי של מיין. החברה גם מסרה במכתב שנשלח ללקוחות שנפגעו כי "המידע שהושג עבור כל לקוח היה שונה אך עשוי לכלול שם מלא, פרטי קשר, מספר חשבון ומספרי טלפון, PIN של חשבון T-Mobile, מספר תעודת זהות, תעודת זהות ממשלתית ותאריך לידה". T-Mobile הודיעה שבהמשך לגילוי הפריצה, היא איפסה את מספרי ה-PIN של חשבונות שהלקוחות משתמשים בהם כדי להחליף כרטיסי SIM וגםלאשר שינויים חשובים אחרים בחשבונות שלהם.


האקרים רוסים משתמשים ב-WinRar למחיקת מידע במערכות ממשלתיות של אוקראינה

קבוצת התקיפה הרוסית המקושרת לקרמלין ״Sandworm" קושרה למתקפות על מוסדות ממשלתיים של אוקראינה בהן נעשה שימוש בתוכנת הכיווץ WinRar על מנת למחוק את המידע הרגיש מהמערכות. ה-CERT האוקראיני בפרסום חדש מודיע כי קבוצת התקיפה הצליחה לפרוץ למשתמשי VPN של עובדים ממשלתיים אשר לא הפעילו אימות דו-שלבי בחשבונם, לאחר מכן השתמשו התוקפים בסקריפטים למציאת קבצים רגישים מהסוגים הבאים בתיקיות המערכת: doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin ו-dat. יש לציין שהתוקפים השתמשו בסקריפטים מסוג BAT למערכות Windows ומסוג Bash למערכות Linux. לאחר מציאת אותם ורישום נתיבם במאגר מקומי החלו התוקפים לכווץ את הקבצים כולם בתוך ארכיוני של WinRar. אך בעת הרצת תוכנת ה-WinRar השתמשו התוקפים בפרמטר df- אשר גורם למחיקת הקבצים מהתיקייה המקומית על העמדה לאחר כיווצם אל תוך ארכיון ה-WinRar ולאחר מכן מחקו את קבצי ה-WinRar המכווצים, מה שהוביל בסופו של דבר למחיקת הקבצים לגמרי מהעמדות. לסקריפט הזדוני נתנו אנשי המחקר של ה-CERT האקוראיני את השם RoarBAT, והרצתו על העמדה התבצעה באמצעות משימה מתוזמנת אשר הריצה את הסקריפט לאחר השגת הגישה הראשונית של התוקפים אל העמדות. בעמדות מסוג Linux השתמשו התוקפים בכלי dd על מנת למחוק את כלל הקבצים שנמצאו על העמדה בשלה הזיהוי לאחר השגת האחיזה הראשונית. ב-CERT האקוראיני מדווחים כי מתקפה זו זהה במאפייניה למתקפה שאירעה מוקדם יותר השנה בחודש ינואר על ״Unkrinform" רשת חדשות ממשלתית, אשר קושרה גם היא לקבוצת התקיפה הרוסית "Sandworm".

סייבר בגופי בריאות

 

ארה״ב: חשד לדלף מידע בחברת ביטוחי הבריאות UnitedHealthcare 

מבוטחים של חברת ביטוחי הבריאות מצפון קרוליינה, United Healthcare, קיבלו ביום שבת ה-28 באפריל הודעה מהחברה על פעילות חשודה שזוהתה ביישומון שלה, שגרמה, ככל הנראה, לדלף מידע אישי. מדובר בנתונים  שכוללים שמות, מספרי חבר קופת חולים, תאריכי לידה, כתובת, תאריכי השירות, ושמות הספקים שהמבוטח מקבל מהם שירות דרך המבטח. UnitedHealthcare מסרה כי נצפתה פעילות חשודה באפליקציה שמפעילה החברה, שככל הנראה הובילה לחשיפת המידע. פירצת הנתונים התרחשה בין ה-19 בפברואר ל-25 בפברואר, וב-10 באפריל התגלה כי מידע של לקוחות הושפע מהאירוע. בתגובה היא נעלה את חשבון הפורטל למבוטחים שלגביהם קיים חשד לדלף, ושכעת עליהם לאפס סיסמה. החברה עדכנה שהיישומון שלה נפל קורבן למתקפת סייבר מסוג ׳מילוי אישורים׳ (credential-stuffing attack). במתקפה מהסוג הזה, האקרים מבצעים את פעולת התקיפה ודלף המידע יעדי השגת רשימות של אישורי משתמש שהודלפו ממקורות שונים - כלומר, שמות משתמשים וסיסמאות שנחשפו. במתקפה קודמת, מתוך השערה מצד ההאקרים כי שמשתמשים רבים עושים שימוש חוזר באותו שם המשתמש והסיסמא שלהם במספר שירותים שונים. 

ארה״ב: מתקפת כופרה על Atlantic Eye Center בניו ג׳רסי

ב- 26 באפריל פורסמה בטוויטר הודעת כופר המיועדת לארגון Atlantic Eye Center. לארגון ארבעה סניפים במדינת ניו ג׳רסי שבארה״ב, בהם מתבצעים טיפולי עיניים מקיפים וניתוחים. בהודעה התוקפים טוענים כי בחזקתם בסיס הנתונים עם מידע אישי ורפואי של מטופלים, ומידע נוסף שהודלף משרת הקבצים של הארגון. התוקפים מאיימים כי אי-היענות של הארגון לנהל איתם משא ומתן עד ה- 5 למאי 2023 תביא לפרסום כלל המידע למי שישלם את המחיר הגבוה ביותר. התוקפים לא נקטו בסכום כופר ספציפי עד כה.

ֿ

קבוצת הכופר ALPHV הוסיפה לרשימת הקורבנות שלה את המתקפה על חברת Transformative Healthcare

Transformative Healthcare היא חברה העוסקת במתן פתרונות מתקדמים לרפואה דיגיטליים. בתאריך 26 באפריל פורסם כי החברה הותקפה על ידי קבוצת הכופר ALPHV. הקבוצה טוענת שיש לה גישה ל-1TB של נתונים בהם החזיקה החברה, כולל מידע על שותפים, דוחות רפואיים, ודוחות פרמדיקים. 

 

ארה״ב: בית חולים מאינדיאנה ממשיך לספוג נזקים כספיים כתוצאה ממתקפת כופר שקרתה בשנת 21'  

צוותי בית החולים Johnson Memorial Health עובדים כבר חצי שנה בניסיון להחזיר את פעילות בית החולים לשגרה, לאחר שקבוצת התוקפים Hive תקפה את הרשת של הארגון בחודש אוקטובר 2021. למרות שעברו שנתיים מאז המתקפה, בית החולים עדיין פועל תחת ההשפעותיה,  כפי שדיווחה רשת התקשורת Side Effects Public Media. בשעת המתקפה, קבוצת הכופר Hive תקפה את בית החולים ודרשה כופר בסך 3 מיליון דולר בביטקוין, מה שגרם למחלקת הרפואה הדחופה של בית החולים להסיט אמבולנסים למקומות אחרים, ואילצה חלק מהמערכות הקריטיות שלה לעבור למצב לא מקוון, כולל מערכת הרשומות הרפואיות שלה. השפעות התקיפה נמשכו חודשים עבור בית החולים. "החיים שלנו היו כאוס מוחלט והייתה מהומה במשך חודשים ארוכים", אמרה דונה תומס, אחות במיון בית החולים. במהלך התקיפה, שערי יחידת המיילדות עברה למצב לא מקוון ולא יכלו להיפתח עקב המתקפה, מה שגרם לצוות בית החולים להיאלץ לשמור פיזית על הדלתות. בית החולים התחבר מחדש בהדרגה את מערכותיו לאחר פעולות הכלה וזיכוי. כעת נשארו לטיול הצוות השפעות ארוכות טווח. 

 

חברה רוסית בשם Gleg מוכרת דרכים לניצול חולשות Zero Day לסקטור הרפואי

מתקפת Zero Day  היא ניצול של פגם אבטחה במערכת. פגיעויות אלו מוכרות רק למי שגילה אותן, והמתקפה מתרחשת באופן מיידי ללא יכולת לזהות את התוקף או לתקן את הנזק. פגמי אבטחה הם מצרך מבוקש עבור חוקרים, פושעים או ממשלות. חברה רוסית מציעה חשיפת החולשות לספקי  תוכנות רפואיות, שחלקן נמצאות בשימוש בבתי חולים, עבור תשלום. 

חברת Gleg מציעה מספר חבילות שונות ללקוחות, ביניהן MedPack הכוללת נקודות תורפה של  תוכנה רפואית. מנוי לשנה עומד על  4,000 דולר, ובתמורה תספק החברה ללקוח 25 חולשות בשנה, רובן מאופיינות כ Zero Day.  בסרטון, החברה מראה ניצול חולשה נגד מערכות המידע של בית חולים, ורשימה של עדכוני Medpack הכוללת צורך להחלפת קבצים בתוכנת חברה בשם Meditex, שמהווה פלטפורמה לתיעוד טיפול רפואי.

MedPack נועדה לשימש בעזרת Canvas, כלי המשמש למבדקי חדירה של חברת אבטחת הסייבר Immunity Inc. על ידי כך, מתבצע תשלום על מנת לבדוק את אבטחת הסייבר של מרכז רפואי או בית חולים ולחשוף את הפגיעויות. כשפרטי הפגיעויות אינם ידועים לספק, הם פתוחים לניצול פוטנציאלי של תוקפים שעלולים להדאיג את סקטור הרפואה ובתי חולים המשתמשים בתוכנות המדוברות. 

מנהל המזון והתרופות האמריקאי ( FDA) הצהיר כי הוא מעודד חשיפה פגיעויות אבטחת סייבר במגזר הרפואי, אשר עשויות לפגוע בבריאות חולים ומטופלים. מוקדם יותר החודש הארגון פרסם תוכנית בנושא בטיחות ואבטחת סייבר של מכשור רפואי . 

ֿג׳ון דימאג׳יו, אנליסט בכיר ב Symantec Security Response,  טוען כי למרות שחולשות Zero Day  עשויות לאפשר לתוקף גישה למידע של הקרבן, בדרך כלל מוסדות רפואיים לא נתקפים באופן זה. בדרך כלל מתקפות מוסדות רפואיים נשענות על חולשות ישנות יותר שניתן למנף בקלות נגד מערכות רפואיות שמבוססות על מערכות הפעלה ישנות. לדבריו התעשייה הרפואית משתמשת בטכנולוגיות ותיקות עבור מכשירי רנטגן ו MRI ולכן אין צורך בניצול חולשות Zero Day על מנת לבצע מתקפה. 

ארה״ב: חשד לדלף מידע של 783 אלף חולים בסטארטאפ בריאות הנפש לילדים
חברת Brightline מזהירה מטופלים כי היא סבלה מפרצת מידע שהשפיעה על 783,606 לקוחות שלה לפי פורטל הפרצות של משרד הבריאות ושירותי האנוש האמריקאי. המתקפה על החברה, המספקת שירותים וירטואליים בתחום בריאות הנפש לילדים, בני נוער ובני משפחותיהם, בוצעה על ידי קבוצת הכופר Clop. קבוצת התקיפה השתמשה בחולשת 'zero day' (חולשה CVE-2023-0669) בפלטפורמת שיתוף הקבצים המאובטחת Fortra GoAnywhere MFT כדי לגנוב נתונים מ-130 חברות.

ב'הודעת הדיווח׳  שפורסמה באתר החברה, Brightline אישרה שנגנבו נתונים משירות GoAnywhere MFT אשר בשימוש החברה שהכיל מידע בריאותי מוגן. 

לפי העדכון האחרון של Fortra על חקירתה, התוקפים השתמשו בחולשה הזו מאז ה-18 בינואר 2023. החקירה הפנימית של Brightline העלתה כי הנתונים שנגנבו במתקפת הכופרה כללו את המידע האישי הבא: שמות מלאים, כתובות פיזיות, תאריכי לידה, מספרי זיהוי של חברים, תאריך כיסוי קופת החולים ושמות מעסיקים.

"Fortra השביתה את האישורים של המשתמש הבלתי מורשה, ובנתה מחדש את הגרסה שלנו כך שהיא לא הייתה פגיעה יותר", נכתב בדיווח: "הטמענו אמצעי אבטחה נוספים, כולל הגבלת גישה מתמשכת למשתמשים מאומתים, הסרת כל הנתונים שלנו מהשירות וצמצום חשיפת הנתונים עד לזיהוי ויישום פתרון חלופי להעברת קבצים". שותפויות נרחבות של ברייטליין עם מכוני בריאות וחברות בארה"ב הביאו לכך שאירוע האבטחה השפיע על מוסדות כמו אוניברסיטת הרווארד, אוניברסיטת סטנפורד, בית החולים לילדים של בוסטון ומוסדות רבים אחרים

סייבר בישראל

 

קבוצת ״אנונימוס סודן״ הודיעה כי תקפה מספר אתרים ישראליים ביניהם אתרים של מפלגות בכנסת ואתר השירותים הממשלתי הרשמי

קבוצת ההאקטיביסטים ״אנונימוס סודן״ הודיעה בחשבון הטלגרם שלה כי הצליחה להפיל מספר אתרי אינטרנט ישראליים השייכים למפלגות המכהנות בכנסת. בין האתרים אליהם לא התאפשרה גישה ניתן היה למצוא את האתרים של מפלגות הציונות הדתית, יש עתיד, נעם, עוצמה יהודית, המחנה הציוני וישראל ביתנו. מאוחר יותר פרסמה הקבוצה כי הצליחה להפיל גם את האתרים של שירות בתי הסוהר ואת אתר השירותים הממשלתי הרשמי https://www.gov.co.il. יש לציין שבאמצעות אתר Gov.il אזרחים עושים המון פעולות מול משרדי ממשלה שונים. 

השבתה של האתר משפיעה באופן ישיר על היכולת של אזרחים לבצע פעולות רבות. על פי דיווחים התבצעה מתקפת סייבר על תחנת הרדיו גלי צה״ל. כאשר מערכות ההגנה זיהו חשד, בתחנה הפעילו את כלל האמצעים על מנת להתמגן, ובהמשך התברר שמדובר בתקיפה שבוצעה ולא בתקלה. 

בתאריך ה-2 למאי פרסמה קבוצת התקיפה סרטון מאיים בקבוצת הטלגרם שלה כי מדובר רק בשלב הראשון של המתקפה ומוסיפים כי השלב השני רק מתחיל ושנצפה ל״הכל״. ב-2 במאי בשעות הצהריים בסמוך למטח הרקטות ששוגר מרצועת עזה אל עבר שטחי ישראל ״אנונימוס סודן״ הפילו לטענתם אתרים הפועלים ביוזמה פרטית לשליחת התראות צבע אדום. בין האתרים שהותקפו ניתן למצוא את האתרים כומתה, RedAlert ועוד. התראות של פיקוד העורף המשיכו לעבוד כרגיל. הקבוצה התפארה בכך שהצליחה להפיל את שירותי האזעקות צבע אדום ולכן מספר טילים הצליחו לחדור לישראל ללא אזעקה, אך כל הטילים הללו נפלו בשטח פתוח, ככל הנראה מדובר בטילים שנתיב פגיעתם סימן שטח פתוח לכן התראות צבע אדום לא נשמעו מצד מערכת ההתראות של פיקוד העורף. 

מאוחר יותר צוות מערכת ההתראות ״כומתה״ פרסמה הודעה לפיה האתר נפל אך מערכת ההתראות המשיכה לעבוד כרגיל, מספר משתמשים דיווחו כי לא קיבלו התראות בין אם זה היה קשור למתקפת ה-DDoS עליהם או שלא. לאורך השנים מתקפות מניעת שירות על אתרים ישראליים היוותה דרך פעולה נפוצה מאוד בקרב קבוצות תקיפה פרו-פלסטיניות מה שגורם לתהייה ע אופן אבטחת אתרי האינטרנט של מוסדות ממשלתיים בעיקר. 

לאחרונה חברת אבטחת המידע Trustwave פרסמה דו״ח אודות המתקפות של קבוצת ההאקטיביסטים ״אנונימוס סודן״ והעלתה השערות בעקבות מפגני התמיכה של הקבוצה ברוסיה, ובמקביל תמיכת קבוצת ההאקטיביסטים הרוסית "Killnet". אחת המתקפות שהתרחשו בסוף ינואר 2023 הייתה הראשונה מבין כמה שחיברה רשמית את ״אנונימוס סודן״ עם "Killnet". כאשר בקבוצת הטלגרם של קבוצת ״אנונימוס סודן״ הודיעה הקבוצה כי סייעה לקבוצת ״Killnet" במתקפה שלה נגד שירות הביון הפדרלי של גרמניה, שכזכור, סייעה לאוקראינה במלחמה נגד רוסיה. יש לציין שבשבוע הראשון של חודש מאי בעקבות מתקפות הסייבר הרבות שנצפו על גופים ישראליים יצא ראש מערך הסייבר גבי פורטנוי ביוזמה משותפת עם שר התקשורת דאז יועז הנדל בהצרה על פיה חברות התקשורת יחויבו לעמוד בסטנדרטים קבועים להגנת סייבר על תשתיותיהן, זאת על מנת לחזק את רמת ההגנה על הנכסים של מדינת ישראל. נשאר רק לתהות האם הלקחים משנה שעברה יושמו ואילו לקחים נלמדו גם השנה בעקבות המתקפות האחרונות.

יש לציין שאירעו מספר מתקפות נוספות על ידי קבוצת ״אנונימוס סודן״ כלפי מדינות לטענתן בעקבות פעולות ״אנטי איסלאמיות״. אך לכל המדינות הללו היה קשר כלשהו בסיוע לאוקראינה במלחמה ביניהן לבין רוסיה. חברת Trustwave בדו״ח שלה מציינת כי יתכן שקבוצת ״אנונימוס סודן״ היא שליחה של קבוצת ״Killnet", צוות קונפידס לא הצליח להוכיח זאת אך עד כה לא הצליחה גם לשלול זאת. בין מאמצינו ניסינו לאמת כי המקור של קבוצת ״אנונימוס סודן״ בסודן עצמה אך ללא הצלחה. האם מדובר בקבוצת בת של קבוצת ההאקטיביסטים הפרו רוסית ״Killnet"? אין לדעת. אך ההשערות של חברת Trustwave בהחלט מעלים מספר סימני שאלה אודות קבוצת ״אנונימוס סודן״ ומקורה האמיתי. 

סייבר ופרטיות - רגולציה ותקינה

 

מדינת פנסילבניה שבארה"ב: אישה שתמונות עירום שלה שצולמו כחלק מבדיקה רפואית דלפו בשעת מתקפת סייבר - משכה את תביעתה לחייב תשלום כופר  
לפני חודשיים דיווחה רשת שירותי הבריאות Lehigh Valley Health Network (להלן: LVHN) על חדירה לרשת הארגונית שלה ועל סירוב לשלם כופר של יותר מ-5 מיליון דולר לקבוצת התקיפה BlackCat (ראו ״הסייבר״, 09.03.23). המתקפה אמנם לא שיבשה את הפעילות השוטפת של בתי החולים ולא גרמה להפרעה כלשהי ברמה התפעולית של מערכות ארגון הבריאות, אך התוקפים השיגו גישה למאגר שמאחסן תצלומים של מטופלות סרטן שד חשופות חזה. התוקפים החלו להדליף את התצלומים בפורום מקוון. כתוצאה מכך, מטופלות פלונית (׳Jane Doe׳) הגישה בקשה לבית המשפט על מנת לחייב את LVHN לשלם להאקרים את הכופר בסך יותר מ-5 מיליון דולר כדי להסיר את התמונות שהודלפו לאינטרנט (ראו ״הסייבר״, 20.04.23). כעת, דווח שהמטופלת משכה את התביעה שלה, לאחר שהשופט הפדרלי המפקח על המקרה ביקש ממנה לספק נימוק מדוע בית המשפט צריך להכריח את את LVHN "לציית למעשה לא חוקי או לשלם כופר בלתי חוקי". החברה זיהתה כ-2,760 חולים ש"התצלומים המתאימים מבחינה קלינית" שלהם נחשפו למתקפת סייבר, אמר קצין הציות הראשי של LVHN בדיון בבית המשפט. רשת שירותי הבריאות מנהלת 13 קמפוסים של בתי חולים ומספר רב של מרכזי בריאות, מעבדות ושירותים אחרים בפנסילבניה. התביעה של Jane Doe היא תמונת מראה למציאות המורכבת של קורבנות כופר שהמידע פרטי שלהם הודלף והנסיונות שלהם לבקש עזרה מהרשויות בנושא. ״לאנשים שהמידע הרגיש שלהם נפרץ, יש מעט אפשרויות למנוע את פרסומם באינטרנט״, אמר עורך הדין Doron S. Goldstein. ״גם אם חברות משלמות כופר למרות אזהרות רשויות אכיפת החוק, התשלום אינו מבטיח שהאקרים ימלאו את ההבטחה למחוק נתונים או להימנע מלפרסם אותם, אמר. הבקשה החריגה לחייב חברה לשלם כופר להאקרים עוררה שאלות משפטיות כבדות, אומרים עורכי דין לאבטחת סייבר. ״יש נטל משפטי גבוה לבית משפט להורות לחברה לעשות משהו, כמו תשלום כופר, לעומת הוראה להימנע מלעשות משהו מזיק״, אמר Jason Kravitz, שותף וראש תחום אבטחת הסייבר והפרטיות במשרד עורכי הדין ניקסון Peabody LLP. "יש להם הזכות לשלם או לא לשלם. זו החלטה עסקית שבית החולים צריך לקבל", אמר.דוברת מטעם LVHN אמרה, "כעניין של מדיניות, רשת הבריאות Lehigh Valley אינה מגיבה לענייני ליטיגציה פעילים".

 

ישראל ודובאי: הסכם תקדימי לשיתוף פעולה בתחום הגנת פרטיות המידע

לאחרונה חתמה רשות הגנת הפרטיות על מזכר הבנה עם המשרד להגנת המידע באזור הסחר הפיננסי הבינלאומי בדובאי (Dubai International Financial Center).  מדובר בהסכם ראשוני שמעגן את התחייבותיהן של שני הצדדים בנושא החלפת מידע מקצועי בתחום זה. שיתוף הפעולה יכלול, בין היתר, הכשרות מקצועיות, עניייני חקיקה, כנסים מקצועיים משותפים, ופיתוח תקנים.


הצעת החוק של האיחוד האירופאי לשת"פ בין הסקטור הפרטי והציבורי: ה-Cyber Solidarity Act
ביום 18.4.23 פרסמה הנציבות של האיחוד האירופאי הצעה לרגולציה סייברית שמייועדת, לפי הפרסום, "לחזק את הזיהוי המשותף של [מדינות] האיחוד האירופי של איומים ואירועים בתחום הגנת סייבר, מודעות למצב, כמו גם פיתוח יכולות מוכנות ותגובה." מדובר ב-Cyber Solidarity Act, ההצעה כוללת מספר מרכיבים: "מגן סייבר אירופאי" (European Cyber Shield), רשת שמחברת בין מרכזי תפעול הגנת סייבר (SOCs) ברחבי האיחוד האירופי; ומנגנון להגנת סייבר בחירום שאמור לשפר את הגנת הסייבר המשותפת של מדינות האיחוד. 

 

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, שלומית רודין, רוני עזורי, יובל אוחנה, בת-אל גטנך, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ואורי יוסף.

 
bottom of page