דו״ח סייבר שבועי
עדכון שבועי 05.01.2023
עיקרי הדברים
-
חברת קונפידס חשפה מתקפה המבוססת על התחזות ל-Slack ומאופיינת בהפצת נוזקה באמצעות פרסומות ב-Google, כל זאת לצורך דלף מידע ורווח כספי. פרטים ראשונים בדוח.
-
קנס בגובה 400 מיליון דולר ל-Meta: הרשות האירית להגנת הפרטיות שוב מזהה שימוש לא חוקי במידע אישי של משתמשי פייסבוק ואינסטגרם.
-
נמשכות מתקפות הסייבר על בתי חולים: המרכז הרפואי CentraState בניו ג׳רזי אינו קולט מאושפזים חדשים עקב בעיות במערכות ה-IT; בברבדוס בית החולים Queen Elizabeth מתאושש ממתקפת סייבר שחווה החל מאמצע דצמבר; קבוצת הכופרה LockBit פרסמה התנצלות פומבית בפני בית חולים לילדים בקנדה שתקפה ומסרה לידיו את מפתחות ההצפנה ללא תשלום.
-
כללים חדשים של ה-SEC הצפויים בשנה הקרובה: הגברת חובות הניהול של סיכוני סייבר בחברות.
-
*אנו ממליצים לעדכן את המוצרים הבאים: FortiOS (קריטי); תוספים של WordPress (קריטי); מערכת ההפעלה Google Android (גבוה); FortiADC של Fortinet (גבוה).*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל-Google Android OS נותן מענה לחולשות רבות, חלקן ברמת חומרה גבוהה
עדכון אבטחה של Fortinet למוצר FortiADC נותן מענה לחולשה ברמה חומרה גבוהה
3 חולשות חדשות נמצאו בתוספים ל-WordPress, לחמורה שבהם טרם ניתן מענה
עדכוני אבטחה של FortiGuard למוצר FortiOS נותנים מענה לחולשה קריטי
התקפות ואיומים
התגלתה נוזקה טרויאנית המכוונת נגד תוספי WordPress
נוזקה חדשה מתקינה במערכות מבוססות Linux תוכנות לכריית מטבעות קריפטוגרפיי
השבוע בכופרה
קבוצת הכופרה BlackCat משכפלת אתרים של קורבנות שמסרבים לשלם וסוחטת אותם על ידי פרסום המידע שנגנב מהם באתר המזויף
סייבר בעולם
ה-CISA מוסיפה שתי חולשות ל״קטלוג החולשות המנוצלות הידועות״
חברת הקריפטו 3Commas מאשרת שהאקרים גנבו מפתחות API של לקוחותיה
קמפיין חדש מנצל את הביקוש הרב ל-Flipper Zero לשם גניבת מידע ומטבעות דיגיטליים
CircleCI מפצירה במשתמשיה לעדכן את אישוריהם למערכת
סייבר בגופי בריאות
ניו ג׳רזי: המרכז הרפואי CentraState אינו קולט מאושפזים חדשים; מסתמן כי מקור השיבושים במתקפת סייבר
ברבדוס: בית החולים Queen Elizabeth מתאושש ממתקפת סייבר שחווה החל מאמצע דצמבר
קבוצת הכופרה LockBit פרסמה התנצלות פומבית בפני בית החולים הקנדי לילדים שתקפה ומסרה לידיו את מפתחות ההצפנה ללא תשלום
סייבר בספנות ולוגיסטיקה
פורטוגל: נמל ליסבון נתקף על ידי קבוצת הכופרה LockBit, שדורשת 1.5 מיליון דולר לשם מניעת פרסום המידע שגנבה מהארגון
סייבר בישראל
קונפידס זיהתה קמפיין זדוני המבוסס על התחזות לשירות המסרים המיידיים Slack
סייבר ופרטיות - רגולציה, משפט ותקינה
כלליה החדשים של הוועדה האמריקאית לניירות ערך ובורסות, הצפויים בשנה הקרובה: הגברת חובות הניהול של סיכוני סייבר בחברות
דוח הצוות המייעץ לשר התקשורת: פלטפורמות דיגיטליות מחייבות רגולציה בדחיפות
קנס בגובה 400 מיליון דולר ל-Meta: הרשות האירית להגנת הפרטיות שוב מזהה שימוש לא חוקי במידע אישי של משתמשי פייסבוק ואינסטגרם
בית משפט בקנדה: פריצת סייבר אינה בהכרח בסיס לתביעה בגין היעדר הגנה על מידע אישי מצד הארגון המותק
כנסים
הציטוט השבועי
״נזקי פשיעת הסייבר עשויים להגיע ל-10.5 טריליון דולר עד 2025, דרושים חוקים חדשים״
- הפורום הכלכלי העולמי, 2.1.23.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה ל-Google Android OS נותן מענה לחולשות רבות, חלקן ברמת חומרה גבוהה
העדכון, שפורסם ב-3 בינואר, סוגר במוצר חולשות שרמת חומרתן נעה בין בינונית לגבוהה, החמורות שבהן (CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, CVE-2022-41674) עלולות לאפשר לתוקף להריץ פקודות זדוניות מרחוק על Kernel של מכשיר פגיע.
צוות קונפידס ממליץ למשתמשי Google Android OS לעדכנו לגרסתו האחרונה.
עדכון אבטחה של Fortinet למוצר FortiADC נותן מענה לחולשה ברמה חומרה גבוהה
FortiADC הינו שירות המבטיח זמינות אפליקציות ומספק שירותי אבטחה ואופטימיזציה לאפליקציות. מקור החולשה בבאג במערכת ההפעלה של המוצר, והיא עלולה לאפשר לתוקף בעל גישה לממשק להריץ פקודות או קוד לא מאושר באמצעות בקשת HTTP מנוסחת. החולשה רלוונטית לגרסאות FortiADC הבאות: 7.0.0 עד 7.0.1, 6.2.0 עד 6.2.3, 6.1.0 עד 6.1.6, 6.0.0 עד 6.0.4, 5.4.0 עד 5.4.5, והיא תוקנה בגרסאות 7.0.2 ומעלה, 6.2.4 ומעלה ו-5.4.6 ומעלה.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.
3 חולשות חדשות נמצאו בתוספים ל-WordPress, לחמורה שבהם טרם ניתן מענה
להן פרטי החולשות:
חולשה (CVE-2023-0039, CVSS 9.8) בתוסף ODude UPG, העלולה לאפשר הרצת קוד מרחוק (RCE) על עמדה פגיעה. ניצול החולשה מתאפשר באמצעות עקיפת אימות על ידי שליחת בקשת HTTP מוכנה מראש עם פרמטרים ייעודיים. נכון לכתיבת שורות אלה, טרם ניתן לחולשה מענה.
חולשה (CVE-2023-0038, CVSS 7.2) מסוג Stores XSS בתוסף AYS Pro Plugins Survey Maker, העלולה לאפשר הזרקת קוד JavaScript זדוני לתוך דף באתר פגיע, שירוץ בעת גלישה אליו. ניצול החולשה עלול לאפשר גניבת עוגיות של משתמשים ושימוש בהן לגניבת סשנים של משתמשים מאומתים, ומקורה באימות לא תקין של קלט המגיע מהמשתמש.
חולשה (CVE-2022-4663, CVSS 5.5) מסוג Stores XSS בתוסף Members Import, העלולה לאפשר הזרקת קוד JavaScript זדוני לתוך דף באתר פגיע, שירוץ בעת גלישה אליו. ניצול החולשה עלול לאפשר גניבת עוגיות של משתמשים ושימוש בהן לגניבת סשנים של משתמשים מאומתים, ומקורה באימות לא תקין של קלט המגיע מהמשתמש.
צוות קונפידס ממליץ למשתמשי התוספים לעדכנם לגרסאותיהם האחרונות, ובמידת האפשר להגביל את הגישה אליהם למשתמשים מאומתים בלבד.
עדכוני אבטחה של FortiGuard למוצר FortiOS נותנים מענה לחולשה קריטית
בהמשך לפרסום של מערך הסייבר הלאומי אודות חולשה קריטית (CVE-2022-42475, CVSS 9.3) שנמצאה ב-FortiOS (ראו ״הסייבר״, 15.12.22), כעת נמצאו גרסאות נוספות של המוצר החשופות לחולשה (הרשימה המלאה מצויה כאן) ופורסמו לו גרסאות חדשות, בהן החולשה נסגרת:
-
FortiOS גרסה 7.2.3 ומעלה
-
FortiOS גרסה 7.0.9 ומעלה
-
FortiOS גרסה 6.4.11 ומעלה
-
FortiOS גרסה 6.2.12 ומעלה
-
FortiOS-6K7K גרסה 7.0.8 ומעלה
-
FortiOS-6K7K גרסה 6.4.10 ומעלה
-
FortiOS-6K7K גרסה 6.2.12 ומעלה
-
FortiOS-6K7K גרסה 6.0.15 ומעלה
-
FortiProxy גרסה 7.2.2 ומעלה
-
FortiProxy גרסה 7.0.8 ומעלה
-
FortiProxy הגרסה המתוכננת 2.0.12 ומעלה
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.
התקפות ואיומים
התגלתה נוזקה טרויאנית המכוונת נגד תוספי WordPress
הנוזקה Linux.BackDoor.WordPressExploit, שפועלת מתחת לרדאר מזה כשלוש שנים, נחשפה במאמר שפרסם צוות המחקר של Doctor Web, כאשר נכון להיום ידועות שתי גרסאות שלה, המאוחרת שבהן אינה כוללת שיפורים מהותיים, מלבד כתובת שונה של שרת השליטה מרחוק ויכולת לפגוע במגוון גדול יותר של תוספים, אשר מספרם עומד על 30. Linux.BackDoor.WordPressExploit מכוונת נגד מערכות מבוססות Linux בעלות 32 סיביות, אך ניתן להשתמש בה גם נגד מערכות בעלות 64 סיביות, ופעולתה מאופיינת בהזרקת קוד JavaScript זדוני המורד משרת מרוחק, תוך ניצול חולשות ידועות בתוספים WordPress שאינם מעודכנים, המיועדים לאתרי אינטרנט. בעת מתקפה מוצלחת של הנוזקה, תוכנו האמיתי של האתר נטען רק לאחר קוד ה-JavaScript, ולכן מבקרים שילחצו במקום כלשהו באתר יופנו לאתרים אחרים, על פי רצון התוקפים. לנוזקה פונקציה של איסוף מידע סטטיסטי אודות פעילותה, לרבות מספר המתקפות שביצעה בהצלחה לצד מספר כישלונותיה, והיא מסוגלת לכבות את עצמה ולהיכנס למצב המתנה. עוד זוהתה במחקר פונקציית Brute force המיועדת לתקיפת ממשקי אדמין של אתרים, אך התגלה שהיא אינה פעילה.
צוות קונפידס ממליץ לבעלי אתרים מבוססי WordPress לעדכנם באופן שוטף ולהזין במערכות ההגנה שלהם את מזהי התקיפה
(IOCs) המופיעים כאן.
נוזקה חדשה מתקינה במערכות מבוססות Linux תוכנות לכריית מטבעות קריפטוגרפיים
הנוזקה, שתקפה חברות בקוריאה הדרומית וזוהתה על ידי חוקרים מחברת ASEC, נוצרה באמצעות Shc, המשמש לקומפילציה של של קבצי Bash אל קבצי ELF, שניתנים להרצה על מערכות מבוססות Linux. כאשר קובצי הרצה בפורמט ELF עוברים קידוד ב-RC4, הפקודות הזדוניות שהם מבצעים אינן מזוהות בקלות על ידי מנגנוני הגנה של מערכות, דבר שלעתים מאפשר לנוזקה להימנע מגילוי. עם הפעלתה של נוזקת ה-Shc, היא מתחילה בהורדת חלקים נוספים שלה, העיקרי שבהם הוא XMRig, תוכנת לכריית קריפטו שכורה מטבעות עבור התוקפים על חשבון כוח החישוב של מערכת הקורבן. חלק נוסף אותו מורידה הנוזקה הוא בוט שכתוב בשפת Perl, אשר ממתין להוראות משרת C2 שברשות התוקפים ומסוגל לבצע פעולות למניעת שירות (DDoS). דבר זה הופך את מערכת הקורבן לחלק מבוטנט.
צוות קונפידס ממליץ למשתמשים ולאדמינים להימנע משימוש בסיסמאות חלשות ומהשארת פורטים חשופים ולא מוגנים על מערכותיהם.
השבוע בכופרה
ב-26 בדצמבר פרסמה BlackCat (או ALPHV) באתרה שבדפדפן Tor מידע שגנבה מחברת שירותים פיננסיים, לאחר שזו לא נענתה לדרישת הכופר שלה. נוסף על כך, BlackCat יצרה העתק של אתר הקורבן ופרסמה גם בו את המידע שברשותה. האתר המזויף הוא בעל מבנה זהה לזה המקורי, מלבד שמות הכותרות בו, ששונו בהתאם למידע שהודלף. דוגמה לכך ניתן לראות בתמונה להלן, המציגה דף בית שבנו התוקפים, הכולל תיקיות ששמותיהן ״פרטי עובדים״, ״לקוחות״, ״בקשות עבודה״ ועוד.ב-26 בדצמבר פרסמה BlackCat (או ALPHV) באתרה שבדפדפן Tor מידע שגנבה מחברת שירותים פיננסיים, לאחר שזו לא נענתה לדרישת הכופר שלה. נוסף על כך, BlackCat יצרה העתק של אתר הקורבן ופרסמה גם בו את המידע שברשותה. האתר המזויף הוא בעל מבנה זהה לזה המקורי, מלבד שמות הכותרות בו, ששונו בהתאם למידע שהודלף. דוגמה לכך ניתן לראות בתמונה להלן, המציגה דף בית שבנו התוקפים, הכולל תיקיות ששמותיהן ״פרטי עובדים״, ״לקוחות״, ״בקשות עבודה״ ועוד.
צוות קונפידס ממליץ לארגונים בכל גודל ומכל מגזר לפצל את הרשאות משתמשי האדמין ולהקשיח את סביבות העבודה בענן ובארגונים על פי המדריכים הרלוונטיים למוצרים בהם נעשה שימוש.
(מקור: BleepingComputer, 1.1.23)
סייבר בעולם
ה-CISA מוסיפה שתי חולשות ל״קטלוג החולשות המנוצלות הידועות״
הסוכנות האמריקאית להגנת סייבר ותשתיות הוסיפה לקטלוג שהיא מתחזקת שתי חולשות שנמצאו ב-TIBCO JasperReports, פלטפורמת דיווח וניתוח נתונים מבוססת Java. החולשה הראשונה (CVE-2018-5430, CVSS 8.8) שנוספה לקטלוג חושפת מידע ברכיב השרת באופן העלול לאפשר למשתמש מאומת לקבל גישה לקריאה בלבד של קבצים, לרבות קובצי מפתח המכילים את האישורים המשמשים את השרת. החולשה השנייה (CVE-2018-18809, CVSS 9.9) שנוספה לקטלוג מאפשרת מעבר בין ספריות ה-JasperReports, ובכך גניבת אישורים ופריצה למערכות אחרות. החולשות נוספו לקטלוג על סמך מידע מבוסס ועדויות לניצולן על ידי קבוצות תקיפה. על אף שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות ברשימה, ה-CISA ממליצה לכל ארגון לפעול לטיפול בהן, על מנת לצמצם את חשיפת לתקיפות סייבר.
חברת הקריפטו 3Commas מאשרת שהאקרים גנבו מפתחות API של לקוחותיה
במהלך חודש אוקטובר החלו לקוחות 3Commas לדווח על עסקאות לא-מורשות שבוצעו באמצעות מפתחות API שדלפו, לטענתן, עקב פריצה לחברה. המפתחות האמורים שימשו בוטים של 3Commas לביצוע פעולות אוטומטיות בשם לקוחותיה, במטרה לייצר רווחים באמצעות חיבור לבורסות מסחר במטבעות קריפטוגרפיים ללא צורך ב-Credentials. למרות פניות הלקוחות, משך תקופה ארוכה הכחישה החברה את הטענות, והסבירה שמקור העסקאות הלא-מורשות הוא בכך שחלק מלקוחותיה נפלו קורבן למתקפת פישינג או השתמשו באפליקציות שאינן רשמיות. ואולם, ב-28 בדצמבר תוקף אנונימי פרסם באתר Pastebin פוסט בו הציג לדוגמה קבצים ובהם כ-100,000 מפתחות API של לקוחות החברה. זמן קצר לאחר מכן הפוסט הוסר, אך ב-1 בינואר 3Commas נאלצה להודות בדליפתם של נתוני API לידי צד שלישי, שאפשרו ביצוע עסקאות שאינן מורשות. אי לכך, החברה ביקשה מ-Binance ,KuCoin ובורסות נתמכות נוספות לבטל את כל מפתחות ה-API שהיו מחוברים אליה, והמליצה ללקוחותיה להנפיק מחדש מפתחות API לשירותיה. עוד נמסר מ-3Commas כי בשעה זו היקף הפריצה אינו ידוע לה, מעבר לנתונים שפרסם התוקף. לדבריה, היא חוקרת את האירוע ביחד עם רשויות האכיפה ותמשיך לשתף את לקוחותיה בשקיפות בפרטים שיתבהרו. עוד נמסר כי בסיום החקירה החברה תתייחס לנושא פיצויים הכספי של לקוחות שנפגעו.
קמפיין חדש מנצל את הביקוש הרב ל-Flipper Zero לשם גניבת מידע ומטבעות דיגיטליים
מכשיר ה-Pentesting הפופולרי משמש כפיתיון במסגרת תרמית פישינג שמטרתה גניבת פרטים אישיים של משתמשים ומטבעות דיגיטליים. Flipper Zero הוא מכשיר דמוי צעצוע המשמש לביצוע בדיקות אבטחה במגוון רחב של מכשירים אלחוטיים, משערי גישה לחניונים, דרך כרטיסי כניסה לחדרים ועד למזגנים. השבוע צייץ חוקר האבטחה דומיניק אלביירי כי זיהה עמודי טוויטר מזויפים המתחזים לעמוד המקורי של Flipper Zero ומנסים למשוך אליהם קורבנות. העמודים נקראים בשמות הנראים זהים לזה המקורי, תוך כתיבת שם המשתמש באמצעות האות I במקום L קטנה, והם מציגים את אותה תמונת פרופיל ומכילים הפניות לאתרי אינטרנט הזהים לאתר המקורי של המוצר, בהם הם מציעים אותו לרכישה, כביכול. בעת תהליך הרכישה המזויף, הקורבן מתבקש למלא את פרטיו האישיים ולבצע העברה של מטבעות קריפטוגרפיים, שמגיעים לידי התוקפים. התרמית מגיעה על רקע מחסור עולמי במוצר, דבר המביא לעלייה בביקוש ל-Flipper Zero ולניסיונות לרכוש אותו דרך מקורות שאינם רשמיים.
צוות קונפידס ממליץ לקנות מוצרים ברשת אך ורק דרך אתריהם הרשמיים או מקורות מוכרים, כדוגמת Amazon.
CircleCI מפצירה במשתמשיה לעדכן את אישוריהם למערכת
בקשתה של חברת שירותי פיתוח תוכנה מגיעה על רקע חשד לדלף מידע, לאחר שחוקר הסייבר דניאל הוקמן זיהה כניסה לפלטפורמת AWS על בסיס אישורי מערכת שהיו שמורים במאגר של CircleCI. מן החברה נמסר שתפרסם פרטים נוספים בנושא עם התבהרות התמונה, אך לעת עתה לא מצאה במערכותיה פעולות שאינן מאושרות. ליתר ביטחון, CircleCI מפצירה במשתמשיה לעדכן את כלל אישוריהם במערכת ולערוך חיפוש פנימי בכלל הפעולות שבוצעו בה בימים האחרונים, בכדי לאתר פעולות חריגות או כניסות בלתי מורשות.
סייבר בגופי בריאות
ניו ג׳רזי: המרכז הרפואי CentraState אינו קולט מאושפזים חדשים; מסתמן כי מקור השיבושים במתקפת סייבר
החל מבוקר ה-30 בדצמבר, המוסד הרפואי אינו מקבל מאושפזים חדשים. בהודעה רשמית מטעם הארגון נמסר כי הוא ״חווה כמה קשיים טכניים הנוגעים לבעיית אבטחת IT״, וכי הטיפול בחולים לא נפגע ולא הושפע לרעה. עוד נאמר כי בשעה זו נחקרות הסיבה לאירוע והשפעותיו. מדוברת בית החולים לורי פאלמר נמסר כי מתבצע פינוי של מטופלים למתקנים רפואיים אחרים באזור, כאמצעי זהירות. בתוך כך, CentraState הפסיק את עבודתו עם רשומות רפואיות אלקטרוניות ועבר לעבודה ידנית, כאשר לדברי מנכ״ל ונשיא המרכז הרפואי טום סקוט, המערכות החלו להראות סימני שיבוש במהלך חילופי משמרת הבוקר, ובתגובה בודד אותן בית החולים, תוך כיבוי הרשת למניעת התפשטות. ב-2020 נפגע במתקפת כופרה בית החולים האוניברסיטאי של ניו ג׳רזי, ששילם יותר מחצי מיליון דולר על מנת למנוע דלף מידע (ראו ״הסייבר״, 17.9.20 ו״הסייבר״, 8.10.20).
ברבדוס: בית החולים Queen Elizabeth מתאושש ממתקפת סייבר שחווה החל מאמצע דצמבר
ב-13 בדצמבר הודיע בית החולים שבמדינת האי, השוכנת ממזרח לים הקריבי, כי הוא חוקר אירוע סייבר שפקד את רשת המוסד. מספר ימים לאחר מכן עדכן הארגון כי הוא ממשיך לחוות הפרעות בשירותיו, ובמקביל לחקירה שהוא מנהל החלה הכלה של האירוע ומניעת התפשטותו, תוך המשך עבודת בית החולים במצב לא-מקוון. בתוך כך, המוסד ביטל תורים לצילומי CT, רנטגן ואולטרסאונד, אך הותיר את מחלקת הטראומה ומרפאות החוץ פתוחות לקבלת קהל. בהמשך הודיע הארגון כי הצליח לשחזר את פעילותן של ארבע מחלקות קריטיות ולשלם משכורות לעובדיו. עוד נמסר כי אין אינדיקציה לדלף של מידע רפואי, וכי הצפי הוא שבמהלך ינואר יתאושש בית החולים בהדרגה, עד לשובו לפעילות מלאה. בעדכון נוסף נאמר כי מחלקת הרדיולוגיה נפתחה מחדש. הנהלת בית החולים התנצלה בפני המטופלים על התורים הארוכים ועל השיבושים שנוצרו, והודתה לצוות המוסד, על שנותר מחויב לעבודתו ופועל באופן ידני להמשך מתן שירות על הצד הטוב ביותר.
הצעד החריג הגיע מספר שבועות לאחר שהקבוצה תקפה את בית החולים SickKids שבטורונטו (ראו ״הסייבר״, 22.12.22). בהודעה רשמית מטעם LockBit (ראו צילום להלן) נכתב כי ״השותף שתקף את בית החולים הפר את הכללים שלנו, נחסם ואינו נמנה עוד על שותפינו״. כזכור, ב-22 בדצמבר אישר בית החולים שהוא נתון במתקפת סייבר, וכי צפויים לחלוף מספר שבועות עד שכלל מערכותיו ישובו לפעול כסדרן. המתקפה שיבשה את יכולתם של הרופאים לגשת לתוצאות בדיקות מעבדה ודימות, והאריכה את זמני ההמתנה לטיפולים. מ-SickKids נמסר כי שוחזרו יותר מ-60% ממערכות הארגון שתקינות פעילותן מצויה בעדיפות עליונה, וכי מאמצי השיקום מתקדמים היטב. במקביל, בית החולים ממשיך לעבוד במצב ״קוד אפור״ שהופעל ב-18 בדצמבר עקב המתקפה ומציין קריסת מערכות. בעקבות התנצלות קבוצת התקיפה הודיע SickKids שהארגון ״מתייעץ עם מומחים, על מנת לאמת את השימוש במפתחות ההצפנה". זו אינה הפעם הראשונה בה קבוצת כופרה מציעה לבית חולים מפתחות הצפנה לאחר שתקפה אותו: במאי 2021 קבוצת הכופרה Conti שחררה את מפתחות ההצפנה בחינם לאחר שתקפה בית חולים באירלנד, ובספטמבר 2020 קבוצת DoppelPaymer מסרה מפתחות הצפנה לבית חולים בדיסלדורף שבגרמניה, לאחר שמתקפה שביצעה הביאה למות מטופל, ובית החולים יצר עמה קשר ושיקף בפניה את הסכנה שנשקפת לחייה של חולים אחרים.
(מקור: 31.12.22 ,vxunderground@
סייבר בספנות ולוגיסטיקה
נמל ליסבון, הנמל השלישי בגודלו במדינה, מהווה תשתית קריטית של בירת פורטוגל, והוא אחד הנמלים העמוסים באירופה. מן הארגון נמסר כי המתקפה, שהתרחשה ב-25 בדצמבר, יום חג המולד, לא השפיעה על עבודת הנמל. לדברי מנהלת הנמל, "כל פרוטוקולי הבטיחות ואמצעי התגובה שהוכנו מבעוד מועד להתרחשות מסוג זה הופעלו במהרה, והמרכז הלאומי לאבטחת סייבר עוקב אחר המצב". עוד נמסר כי "מנהלת נמל ליסבון (APL) עובדת בצמוד לכל הגורמים המוסמכים, על מנת להבטיח את אבטחת ההולמת של המערכות והנתונים". נכון לכתיבת שורות אלה, אתר האינטרנט הרשמי של הנמל, שכתובתו portodelisboa.pt, אינו זמין. בתוך כך, קבוצת התקיפה LockBit הוסיפה את שמו של הנמל לאתר ההדלפות שלה, לצד שעון ספירה לאחור, המונה את הזמן שנותר עד לפרסום המידע שנגנב מהארגון ב-18 בינואר, במידה ולא ישולם לה הסכום המבוקש. לדבריה, הכופרה שלה הפילה את אתר הנמל ואת מערכות המחשוב הפנימיות שלו. עוד מסרה LockBit כי גנבה ממערכות הארגון דוחות פיננסיים ותקציביים, חוזים, מידע על מכולות ועוד, ואף פרסמה חלק מהנתונים על מנת להוכיח כי הם אכן נמצאים ברשותה.
סייבר בישראל
קונפידס זיהתה קמפיין זדוני המבוסס על התחזות לשירות המסרים המיידיים Slack
בשבועות האחרונים אנו עדים לקמפיינים המשתמשים במודעות Google Ads להפצת אתרים המתחזים לכאלה של שירותים ועסקים לגיטימיים, אך בפועל מכילים נוזקות לצורכי גניבת מידע ורווח כספי. טכניקה זו מקלה על התוקפים להפיץ את הקמפיין, ומאפשרת להם להשקיע יותר בפיתוח הנוזקה עצמה.
בתוך כך, ה-FBI פרסם אזהרה לציבור בה מוצגת שרשרת ההדבקה, ששימשה את התוקפים גם לקמפיינים אחרים. אחד מהקמפיינים הללו הגיע לאחרונה ללקוח של קונפידס, אשר אחד מעובדיו חיפש אחר מקור להורדת התוכנה Slack ומצא עצמו באתר זדוני המתחזה לאתרו הרשמי של המוצר, דרך מודעת Google Ads.
עם לחיצה על כפתור ה-DOWNLOAD הורד למחשבו של העובד קובץ ZIP שכלל נוזקה בעלת יכולות חמיקה ממערכות אנטי-וירוס, ואשר מתקינה על העמדה את תוכנת ההשתלטות מרחוק NetSupport, המתחברת לשרת שבבעלות התוקף. התוכנה מקנה לתוקף ראות ושליטה מלאות על העמדה ויוצרת משימה מתוזמנת המופעלת בכל פעם שהמשתמש מתחבר אל העמדה (ONLOGON). תוכנת NetSupport הלגיטימית מסייעת במתן פתרונות לצוותי IT ומשמשת לצרכים טכניים, בעיקר בקרב המגזר העסקי והמגזר החינוכי, אך היא נמצאת בשימוש נרחב גם על ידי תוקפים, דבר אשר פגע במוניטין שלה. למרות שלא נמצאו פרטים המאפשרים ייחוס של הקמפיין לתוקף מסוים, הקובץ חתום בחתימה של חברה הנמצאת בבעלות רוסית. זאת ועוד, חוקרי אבטחת מידע מחברת Guardio Labs מעריכים שמאחורי הקמפיינים עומד שחקן איום המכונה Vermux.
צוות קונפידס ממליץ לארגונים להוסיף למערכות ההגנה שלהם את מזהי התקיפה (IOCs) המופיעים כאן, לעדכן את העובדים להקפיד על הורדת קבצים מאתרים מקוריים ולגיטימיים בלבד, להימנע מלחיצה על חלונות קופצים של מודעות ולבצע הדרכות לעובדים, לרבות עדכונם בנוגע לקמפיין רחב זה. במידה ולאחר הזנת המזהים קופצות התראות על עמדה בודדת, יש לטפל בה נקודתית באמצעות פירמוטה. במידה וקופצות התראות על מספר עמדות, ניתן ליצור קשר עם חמ״ל הסייבר של קונפידס בטלפון 8272*. הדוח המלא יהיה זמין לקריאה בשבוע הבא.
סייבר ופרטיות - רגולציה, משפט ותקינה
כלליה החדשים של הוועדה האמריקאית לניירות ערך ובורסות, הצפויים בשנה הקרובה: הגברת חובות הניהול של סיכוני סייבר בחברות לאור המשך מגמת העלייה העולמית במתקפות הסייבר, בין היתר על רקע המלחמה ההיברידית המתמשכת בין רוסיה לאוקראינה, נרשמת עלייה גם במעורבותם של רגולטורים במדינות שונות בנושא ניהול סיכוני הסייבר של חברות פרטיות. אי לכך, צפויה מגמה של העמקת עיסוקם של דירקטוריונים והנהלות בכירות בניהול סיכוני סייבר ובשיתוף הפעולה של אלה עם רגולטורים מדינתיים. דוגמה בולטת לחובה מוגברת בנושא זה שתוטל על חברות היא הנחיית הוועדה האמריקאית לניירות ערך ובורסות (SEC) שנשלחה להערות הציבור במרץ 2022 (המועד האחרון לקבלת ההערות נדחה באוקטובר 2022), אשר מחדדת את חובת הדיווח תוך 4 ימים על אירוע סייבר המשפיע באופן משמעותי על הארגון, דורשת דיווח תקופתי אודות מדיניות ונהלי הארגון בהקשר של הגנת סייבר ומחייבת ניהול מוקפד יותר של סיכוני סייבר על ידי הנהלת החברה. בשעה זו טרם נקבע מועד כניסתם לתוקף של כללי ה-SEC. על פי סקר שערך בארצות הברית האיגוד הלאומי של דירקטורים תאגידיים (NACD), כ-34% מהדירקטורים ב-312 החברות שנסקרו אינם סומכים על רמת מומחיות הסייבר של הדירקטוריונים בהם הם משתתפים.
דוח הצוות המייעץ לשר התקשורת: פלטפורמות דיגיטליות מחייבות רגולציה בדחיפות
בחודש דצמבר פורסם דוח הצוות המייעץ לשר התקשורת לבחינת האסדרה של פלטפורמות תוכן דיגיטליות, לאחר שעמל משך יותר משנה על בחינת הצורך בקידום רגולציה שתסדיר את הפעילות בפלטפורמות דיגיטליות בישראל. הצוות קבע כי בהקשר זה יש שתי סוגיות דחופות ומטרידות במיוחד, "ההתפשטות וההדהוד של תכנים בלתי חוקיים ופוגעניים" בפלטפורמות מסוימות, וכן "חוסר האיזון ביחסי הכוחות בין מפעילי הפלטפורמות החברתיות לציבור המשתמשים", דבר המוביל לפגיעה בזכויות המשתמשים. הוועדה ממליצה להחיל את חבילת הרגולציה החדשה על מי שמפעיל פלטפורמה חברתית מקוונת שבה משתמשים באופן פעיל יותר מ-5% מהציבור הישראלי (500,000 משתמשים פעילים ומעלה).
קנס בגובה 400 מיליון דולר ל-Meta: הרשות האירית להגנת הפרטיות שוב מזהה שימוש לא חוקי במידע אישי של משתמשי פייסבוק ואינסטגרם
הרשות האירית המיישמת את דיני הגנת המידע האישי תחת הרגולציה האירופית הכללית להגנה על מידע (GDPR) ואת דיני הגנת הפרטיות של אירלנד, הטילה את הקנס על חברת Meta בגין חיוב משתמשים שהם אנשים פרטיים לקבל פרסומות המותאמות להתנהלותם הצרכנית ולנתונים אישיים נוספים שלהם. החלטה רגולטורית עשוה לחייב שינויים משמעותיים במודל העסקי הקיים של Meta, שהינו מבוסס-פרסום, לפחות בנוגע לשוק של האיחוד האירופי - מהשווקים הגדולים של החברה, הכולל כמעט 450 מיליון תושבים. מקס שרמס, שתבע בעבר את פייסבוק על הפרות דומות של דיני הגנת הפרטיות של האיחוד האירופי (ראו ״הסייבר״, 20.5.21), אמר על החלטתו של הרגולטור האירי כי "במקום בו יש אפשרות של 'כן/לא' למודעות מותאמות אישית [למשתמשים בשירותי Meta], הם פשוט העבירו את סעיף ההסכמה [לשימוש במידע אישי של נושא המידע] למסמך התנאים וההגבלות [Terms and Conditions]. לא רק שזה לא הוגן, אלא שזה בלתי חוקי בעליל. איננו מודעים לאף חברה אחרת שניסתה להתעלם מה-GDPR בצורה כה יהירה". Meta מתכוונת לערער על ההחלטה.
בית משפט בקנדה: פריצת סייבר אינה בהכרח בסיס לתביעה בגין היעדר הגנה על מידע אישי מצד הארגון המותקף
פסק דין של בית המשפט לערעורים באונטריו מחודש נובמבר קובע באופן תקדימי כי חברה שאינה מצליחה למנוע פריצת סייבר למערכותיה אינה בהכרח אחראית להפרת דיני הגנת הפרטיות של מידע אישי. פסק דין זה מנתק את הקשר שהיה קיים - ועודנו מתקיים באזורי שיפוט אחרים - בין הצלחתה של חברה להתגונן מפני מתקפות סייבר לבין הגנתה על מידע אישי. במקום זאת, בית המשפט באונטריו נתן משקל למניע הפעולה הבלתי-חוקית, בקובעו כי פעולה שמפרה את דיני הפרטיות חייבת לענות על שלוש דרישות נפרדות: (1) דרישה התנהגותית, לפיה פעולת החדירה לפרטיות הינה חסרת הצדקה חוקית; (2) דרישה בתחום המצב הנפשי, לפיה ההתנהגות הפלילית נעשתה במתכוון או בפזיזות; (3) דרישת תוצאתית, לפיה אדם סביר יחשיב את הפגיעה בפרטיות לפוגענית ביותר ולכזו "הגורמת למצוקה, להשפלה או לייסורים". פסק דין זה, ושניים נוספים שנקבעו בנושאים דומים, מהווים התפתחות משמעותית בדיני הגנת הפרטיות הקנדיים, ובעיני מומחים "יהיו להם השלכות מיידיות על תביעות ייצוגיות בנושאי פרטיות ברחבי קנדה״.
כנסים
דיסקליימר: המידע שמופיע בדוח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדוח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי, תמר מרדיקס, שירי מס ברזילי וגיא פינקלשטיין.