top of page
WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 09.03.2023

עיקרי הדברים

  1. ישראל: מערך הסייבר הלאומי מייחס את מתקפת הסייבר על הטכניון ל-MuddyWater שמזוהה עם משרד המודיעין והביטחון  של איראן. התרעה  מפני עלייה במתקפות סייבר בישראל בזמן הרמדאן.

  2. סייבר בבריאות: ספרד - מתקפת כופרה על בית חולים El Clínic de Barcelona - מטופלים רבים פונו לבתי חולים אחרים. ארה״ב - מתקפת כופרה על רשת שירותי בריאות שבסיסה בפנסילבניה.

  3. ה-FBI ו-CISA מזהירים מפני עלייה במתקפות כופרה מקבוצת התקיפה Royal ransomware 

  4. שיתוף פעולה בינלאומי הוביל לתפיסתם של חברים בקבוצת הכופרה DoppelPaymer. הקבוצה אחראית לעשרות תקיפות ביניהן המתקפה שהובילה למוות של מטופל בעקבות מתקפת הכופרה על בית החולים בדיסלדורף. 

  5. *אני ממליצים לעדכן את המוצרים הבאים: מוצרי SonicWall (קריטי); מוצרי Enterprise ו- GitLab Community (גבוה); דפדפן Google Chrome (גבוה); Jenkins (גבוה);

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

שתי חולשות חדשות התגלו במוצרי SonicWall
11 חולשות התגלו ב -Enterprise ו- GitLab Community, החומרה שבהן ברמת חומרה גבוהה
11 עדכוני אבטחה ל-Google Chrome נותנים מענה למספר חולשות, בהם חולשות ברמת חומרה גבוה
5 חולשות חדשות התגלו ב- FortiOS ו- FortiProxy מבית Fortinet
Jenkins משחררת עדכוני אבטחה בעקבות חולשות העלולות לגרום ל הרצת קוד מרחוק
חולשה חמורה ברכיב הגיבויים של  Veeam עלול לאפשר גישה לא מורשית לגיבויים

התקפות ואיומים

קבוצת האקרים סינית שמה למטרה ישויות אירופיות דרך "דלת אחורית"
ה-FBI ו-CISA מזהירים מפני עלייה במתקפות כופרה מקבוצת התקיפה Royal ransomware
SYS01stealer נוזקה חדשה לגניבת מידע מבצעת שימוש במודעות גוגל ופייסבוק
פורסמה הוכחה לניצול חולשה קריטית ב Microsoft Word
מחקר חדש מצא חוסר בנתונים בסביבת GCP לחקירת אירועי סייבר
תוכנה זדונית חדשה של HiatusRAT מכוונת לנתבים עסקיים למטרות ריגול

השבוע בכופרה

הודלף מידע שנגנב במתקפת הסייבר נגד עיריית Oakland

סייבר בעולם

Hatch Bank מדווחת על דלף מידע של כ-140 אלף לקוחות
מידע של מיליוני כרטיסי אשראי הודלף מהאתר BidenCash
שיתוף פעולה בינלאומי הוביל לתפיסתם של חברים בקבוצת האקרים המשתמשים בתוכנת הכופרה DoppelPaymer
משחק הבלוקציין הפופולרי Sandbox נפרץ ומשתמשים קיבלו מיילים מזויפים להורדת נוזקה

סייבר בגופי בריאות

ספרד: מתקפת כופרה על בית חולים El Clínic de Barcelona - מטופלים רבים פונו לבתי חולים אחרים
ארה״ב: מתקפת כופרה על רשת שירותי בריאות שבסיסה בפנסילבניה

סייבר בישראל

איראן עומדת מאחורי המתקפה על הטכניון

 
 

הציטוט השבועי

״אנחנו לא עוסקים בתקיפה של ארגונים. המטרה שלנו היא למצוא חולשות ולאחר מכן לדון עם מנהלי המשא ומתן על גובה התגמול המגיע לנו עבור מציאת החולשות״ 

- ראיון של ארז דסה עם אחד מהמפעילים בקבוצת הכופרה RansomHouse 

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

שתי חולשות חדשות התגלו במוצרי SonicWall

החולשות (CVE-2023-1101, CVSS:4.3 ו-CVE-2023-0656, CVSS: 7.5) שהתגלו במוצרי SonicWall מקורן במערכת ההפעלה, האחת (CVE-2023-1101, CVSS:4.3) עלולה לאפשר לתוקף מאומת לעקוף מנגנוני אבטחה במנגנון ה-MFA של ה-SSL VPN בעקבות ליקוי הגבלת ניסיונות האימות של מנגנון ה-MFA ובכך לעקוף את מנגנון האימות על ידי ביצוע מתקפת Brute-Force על קוד ה-MFA הנדרש מן המשתמש. השנייה (CVE-2023-0656, CVSS: 7.5) מסוג Stack-Based Buffer Overflow בממשק הניהול האינטרנטי, ועל ידי שליחה של בקשה הכתובה בצורה מסוימת יכול תוקף לכתוב אל אותו אזור מוקצה בזיכרון לממשק הניהול ואף לגרום לקריסה של התהליך הרץ על מערכת ההפעלה ובכך לבצע מתקפת מניעת שירות. צוות קונפידס ממליץ למשתמשי המוצר לעקוב אחר הוראות היצרן לטיפול בחולשה על ידי עדכון או ביצוע מעקף. יש לראות את המברק שפורסם על ידי צוות האבטחה של SonicWall כאן.

11 חולשות התגלו ב -Enterprise ו- GitLab Community, החומרה שבהן ברמת חומרה גבוהה

החולשה החמורה שהתגלתה ב- Enterprise ו-  CVE-2023-0050, CVSS 8.7) GitLab Community) מאפשרת תקיפה מסוג Cross Site Scripting. ניצול מוצלח של חולשה זו עלולה לאפשר לתוקף לבצע פעולות שרירותיות בשם הקורבן. החולשה נגרמת על ידי אימות לא תקין שסופק על ידי המשתמש דרך תרשים Kroki. תרשים Kroki היא פלטפורמה המופעלת בצד השרת אשר מאפשרת ליצור תמונות שונות של תרשימים וטבלאות באמצעות קוד מסוגנן. הגרסאות המושפעות הן מ-13.7 עד 15.7.8, מ-15.8 עד 15.8.4 ומ-15.9 עד 15.9.2. בנוסף לכך התגלו 10 חולשות נוספות ברמות חומרה בינוני ונמוך. צוות קונפידס ממליץ לכל משתמשי המוצר לעדכנו בהקדם האפשרי לגרסה האחרונה.

11 עדכוני אבטחה ל-Google Chrome נותנים מענה למספר חולשות, בהם חולשות ברמת חומרה גבוה

גרסאות המוצר 111.0.5563.64 עבור Mac ו-Linux, הגרסא 111.0.5563.64/65 עבור Windows ו-111.0.5563.57/58 עבור Android, שיהיו זמינות בימים או בשבועות הקרובים, סוגרות כ 40 חולשות בהן 8 בדרגת חומרה גבוהה העלולות לאפשר לתוקף לבצע הרצה של קוד זדוני לקריסת המערכת.

צוות קונפידס ממליץ למשתמשי Google Chrome לעדכנו לגרסתו האחרונה, עם שחרורה. 

5 חולשות חדשות התגלו ב- FortiOS ו- FortiProxy מבית Fortinet

חברת Fortinet הפיצה עדכון אבטחה המטפל ב 5 חולשות שהתגלו ב FortiOS ו FortiProxy, חמשת החולשות דורגו ברמת חומרה בינונית, חולשות אלו יכולות לאפשר לתוקף בניצול מוצלח שלהם לבצע את הפעולות הבאות: 

לגרום לקריסה של SSLVPN על ידי בקשת HTTP זדונית (CVE-2022-45861), לבצע קריאה וכתיבה של קבצים (CVE-2022-41328), לבצע הרצה של קוד מרחוק (CVE-2023-25610), להוריד לוגים רגישים מהמערכת (CVE-2022-41329) ובנוסף לבצע העלאת הרשאות ממשתמש admin ב VDOM למשתמש super admin (CVE-2022-42476).

צוות קונפידס ממליץ למשתמשי המוצר לבצע עידכון גירסה ל- FortiOS ו- FortiProxy לגירסה האחרונה כפי שפורסמה על ידי Fortinet על מנת להימנע מפגיעות לחולשות אלו.


Jenkins משחררת עדכוני אבטחה בעקבות חולשות העלולות לגרום ל הרצת קוד מרחוק

התגלו כ 8 חולשות, מהן 2 ברמת חומרה גבוהה במוצרים (Jenkins (core ו update-center2.

החולשות (CVE-2023-27898 ו CVE-2023-27905, טרם פורסמו ציונים), משפיעות על השרת ומרכז העדכונים של החברה והן עלולות לאפשר לתוקף לא מאומת לבצע הרצה של קוד זדוני בשרת של הקורבן.
כתוצאה מהאופן בו Jenkins מעבדת את התוספים הזמינים במרכז העדכונים, תוקף עשוי לבצע מתקפת XSS ע״י העלאה של תוסף המכיל קוד זדוני אשר פועל כאשר הקורבן פותח את ה plugin manager, מבלי להתקין את התוסף.

אנו בקונפידס ממליצים למשתמשי המוצרים לעדכונם בהקדם לגרסאותיהן האחרונות המפורסמות באתר היצרן.

חולשה חמורה ברכיב הגיבויים של  Veeam עלול לאפשר גישה לא מורשית לגיבויים

השבוע פרסמה חברת Veeam, המספקת תוכנה לביצוע גיבוייים אוטומטיים, כי חוקר אבטחת מידע בשם Shanigen, פנה אל החברה בדיווח על חולשה בקבצי הההרצה של התוכנה אשר יאפשר לתוקף בעל גישה לתחנה, לדלות את פרטי ההזדהות מתוך תקשורת הרכיבים. החולשה, שקיבלה את המזהה CVE-2023-27532 טרם תוקנה אך היצרנית ממליצה לבצע חסימה רשתית לתקשורת בפרוטוקול TCP:9401  בשרת המארח. עוד מוסיפה היצרנית בעדכון כי בשבוע הקרוב יופץ תיקון מהיר לחולשה.

התקפות ואיומים

קבוצת האקרים סינית שמה למטרה ישויות אירופיות דרך "דלת אחורית"

קבוצת ההאקרים ׳Mustang Panda׳, המיוחסת לסין, נצפתה משתמשת בדלת אחורית מותאמת אישית שלא נראתה עד כה בשם MQsTTang כחלק מקמפיין הנדסה חברתית מתמשך שהחל בינואר 2023. רשתות התקיפה המיוחסות לקבוצה מכוונות לגופים אירופיים בעקבות הפלישה המקיפה של רוסיה לאוקראינה בשנה שעברה. הקורבנות של הפעילות הנוכחית טרם ברורים, אך חברת אבטחת הסייבר ESET, שדיווחה לראשונה על פעילות הקבוצה, הצביעה ש״שמות קבצי ההטעיה עולים בקנה אחד עם הקמפיינים הקודמים של הקבוצה המכוונים לארגונים פוליטיים באירופה״. כמו כן, ESET ראתה גם מתקפות נגד ישויות לא ידועות בבולגריה ובאוסטרליה, ונגד מוסד ממשלתי בטייוואן, מה שמצביע על התמקדות של הקבוצה ביעדים הממוקמים באירופה ובאסיה. לקבוצת ההאקרים יש היסטוריה של שימוש בסוס טרויאני המכונה PlugX ומשתמש בגישה מרחוק להשגת מטרותיו. עם זאת, תיעודים של התקיפות האחרונות הצביעו על כך שהקבוצה הרחיבה את מבחר התוכנות הזדוניות שלה הכוללת כלים מותאמים אישית כמו TONEINS TONESHELL ו- PUBLOAD. קבוצת ההאקרים משתמשת בהנדסה חברתית וב׳דיוג׳, תוך שימוש מקצועי בשפות האם של היעדים שהיא תוקפת, במטרה להתחזות לארגוני שירותים ממשלתיים. בנובמבר 2022 דווח על שימוש של הקבוצה בלינקים מזויפים של Google Drive ובקישורי Dropbox כדי לפרוס את התוכנה הזדונית שלה בארגונים שונים. לכן מומלץ לפתח את מודעות העובדים לאיומי סייבר, בנוסף ליישום מנגנוני הגנה כמו אימות דו-שלבי ועדכון שוטף של תוכנות.

ה-FBI ו-CISA מזהירים מפני עלייה במתקפות כופרה מקבוצת התקיפה Royal ransomware 

ה-FBI ו-CISA הוציאו מסמך משותף המזהיר מפני עלייה במתקפות כופרה של קבוצת התקיפה Royal ransomware המתמקדות בתשתיות קריטיות בארצות הברית הכוללת ארגונים ממגזר הבריאות. תקשורת וחינוך. לדוגמא תקיפה שיוחסה לקבוצת הכופרה כנגד בתי ספר בטוסון שבאריזונה שהתרחשה בתחילת השנה. שיטות התקיפה של הקבוצה מגווננות וכוללות כאמצעי לגישה ראשונית למערכת בעיקר שימוש במיילי פישינג (כ 66.7 אחוז מהתקיפות), שימוש בטכניקות של הנדסה חברתית על מנת להשיג שליטה מרחוק על מחשב הקורבן (כ 13 אחוז מהתקיפות) ועוד, בנוסף דרישת הכופר של הקבוצה נעה בין 250 אלף דולר ועד למעל מ-2 מיליון דולר. מסמך זה הופץ לאחר שצוות האבטחה של משרד הבריאות ושירותי האנוש (Department of Health and Human Services) חשף במסמך שפורסם בדצמבר 2022 שקבוצת הכופרה קושרה למספר מתקפות כנגד ארגוני בריאות בארצות הברית. במסמך שפורסם מטעם ה-FBI ו-CISA פורסמו מזהים (IOC's) ודרכי פעולה של קבוצת התקיפה על מנת לסייע בגילוי וחסימה ניסיונות להפעלה של הכופרה בנוסף במסך ה-FBI מבקש מכל החברות העלולות להיות בסכנה לתקיפה מצד קבוצת הכופרה לנקוט בצעדים על מנת להגן על עצמם מקבוצת הכופרה הכוללים תיקון חולשות אשר נעשה בהן שימוש בעבר על ידי קבוצת התקיפה, החלת אימות דו שלבי על מערכות רגישות, הגברת המודעות לעובדים לניסיונות פישינג ועוד. 

SYS01stealer נוזקה חדשה לגניבת מידע מבצעת שימוש במודעות גוגל ופייסבוק

חוקרי אבטחת מידע מ-Morphisec גילו נוזקה חדשה לגניבת מידע שקיבלה את השם SYS01stealer שמופצת בקמפיין המתמקד בעובדים של גופי ממשל קריטיים, חברות ייצור ועוד. התוקפים מאחורי הקמפיין מתמקדים בחשבונות פייסבוק עסקיים על ידי שימוש במודעות גוגל ופרופילי פייסבוק מזויפים על מנת לגרום לקורבן לבצע הורדה של קובץ זדוני (נוזקה), הנוזקה תוכננה לגנוב מידע רגיש הכולל פרטי חיבור, עוגיות (cookies) של הדפדפן ומידע על חשבונות מודעות וחשבונות עסקיים של פייסבוק. שרשרת ההדבקה בקמפיין זה מתחילה כאשר הקורבן לוחץ על URL מפרופיל פייסבוק מזויף או מודעה ומבצע הורדה של קובץ zip המתחזה לתוכנה פרוצה או תוכן למבוגרים בפתיחה של הקובץ מפעילה אפליקציה לגיטימית שפגיעה ל-DLL side-loading דבר שמאפשר לתוקף להעלות קבצי DLL זדוניים ביחד עם התוכנה הלגיטימית, שתי תוכנות עיקריות שנעשה בהן שימוש  בתקיפה זו הם WDSyncService.exe של חברת Western Digital ו-ElevatedInstaller.exe של חברת Garmin. יכולות נוספות של הנוזקה SYS01stealer מעבר לגניבת מידע ממערכת הקורבן הם הורדה והרצה של קבצים והעלאה של קבצים לשרת C2 בשליטת הקורבן, הרצה של פקודות שנשלחות מהשרת ועדכון של הנוזקה מהשרת במידה וקיימת גירסה חדשה יותר מזו המתקנות.

פורסמה הוכחה לניצול חולשה קריטית ב Microsoft Word

פורסמה הוכחה לניצול של חולשה (CVE-2023-21716 CVSS 9.8) קריטית ב Microsoft Word היכולה בניצול מוצלח שלה לאפשר לתוקף לבצע הרצת קוד מרחוק. חולשה זו תוקנה על ידי מיקרוסופט כחלק מ Patch Tuesday של חודש פברואר. החולשה וההוכחה לניצול שלה התגלו ופורסמו על ידי חוקר אבטחה בשם Joshua Drake שהראה בדוח שהועבר למיקרוסופט כי החולשה קיימת ב RTF parser של Microsoft Word ופתיחה של קובץ RTF ואפילו צפייה בו ב preview יכולים להוביל לניצול של החולשה. יש להדגיש כי נכון לרגע זה אין אינדיקציה של ניצול פעיל של החולשה אך עם זאת בשל קלות הניצול והעובדה שאין צורך בהרשאות קודמות במערכת על מנת לנצל את החולשה יחד עם פרסום ההוכחה עובדה זו עלולה להשתנות.
צוות קונפידס ממליץ למשתמשי המוצר לבצע עדכון גרסה לגרסה האחרונה כפי שפורסמה על ידי מיקרוסופט.

מחקר חדש מצא חוסר בנתונים בסביבת GCP לחקירת אירועי סייבר

מחקר חדש של חברת הסייבר Mitiga מצא כי הענן של Google (GCP) לא מספק מספיק נתונים משרתי האחסון שלה לצורך חקירת אירוע סייבר. GCP מסווגים סוגים שונים של Event names לקטגוריות אחידות וכך במקרה של אירוע סייבר כאשר חוקרי פורנזיקה יצטרכו לחקור הם לא יידעו האם הקובץ נקרא, נערך או הועבר אלא רק שהייתה אליו גישה. GCP מציעה ללקוחות את היכולת להפעיל יומני גישה לאחסון אך בדרך כלל יומנים אלו לא מופעלים כברירת מחדל מענייני עלות אבל הפעלתם עשויה להקל על ארגונים לזהות ולהגיב למתקפות שונות הקשורות לאחסון ולנתונים. להלן המלצות לשיפור: 

  1. VPC Service Controls - עם השימוש ב-VPC Service Controls מנהלי מערכת יכולים להגדיר היקף שימוש סביב משאבים של שירותים מנוהלים על ידי Google כדי לשלוט בתקשורת אל ובין אותם משאבים.

  2. הגבלת שימוש ב- headers בארגון - מאפשר ללקוחות להגביל בקשות למשאבי ענן המבוצעות סביבותיהם כדי להפעיל רק משאבים בבעלותם. זה נאכף על ידי קונפיגורציית Proxy, כללי חומת אש המבטיחים התעבורה היוצאת עוברת דרך Proxy ו- HTTP headers.

  3. במקרה שאין אפשרות ל- VPC Service Controls או הגבלת שימוש ב- headers בארגון, ההצעה היא לחפש את החריגות הבאות:

  • ​חריגות בזמני אירועי Get/List.

  • חריגות בישות IAM המבצעת את אירועי Get/List.

  • חריגות בכתובת ה-IP שממנה מגיעות בקשות Get/List.

  • חריגות בנפח אירועי Get/List בתוך פרקי זמן קצרים שמקורם מישות אחת.

  4. ​ הגבלת הגישה למשאבי אחסון ושקול להסיר הרשאות קריאה/העברה.

תוכנה זדונית חדשה של HiatusRAT מכוונת לנתבים עסקיים למטרות ריגול

תוכנה זדונית מורכבת שטרם נראתה מכוונת לנתבים עסקיים כדי לרגל בחשאי אחר קורבנות באמריקה הלטינית, אירופה וצפון אמריקה לפחות מאז יולי 2022. הקמפיין החמקמק, שזכה לכינוי Hiatus על ידי Lumen Black Lotus Labs, פועל לריגול אחר קורבנות באמריקה הלטינית, אירופה וצפון אמריקה מאז יולי 2022. במהלך קמפיין התקיפה מתבצעת פריסת כלים אשר מאפשרים לשחקן האיום לקיים תקשורת מרחוק עם מערכת יעד התקיפה ולחדור אליה. ברגע שצלחו לחדור למערכת הקורבן, HiatusRAT מאפשר להמיר את התקשורת עם המערכת שנפרצה וזאת באמצעות Proxy סמוי של שחקן האיום. פעולה זו, מאפשרת לשחקן לנטר את תעבורת הנתב ביציאות הקשורות לתקשורת דואר אלקטרוני והעברת קבצים. אשכול האיומים מייחד בעיקר את הנתב של DrayTek Vigor, עם כ-100 מכשירים חשופים לאינטרנט שנפגעו נכון לאמצע פברואר 2023. חלק מהענפים המושפעים כוללים את ענף התרופות, שירותי IT, שירותי ייעוץ וממשל עירוני. בהתחשב בעובדה שהמכשירים המושפעים הם נתבים בעלי רוחב פס גבוה שיכולים לתמוך בו זמנית במאות חיבורי VPN, קיים חשד שהמטרה היא לרגל אחר מטרות ולהקים רשת Proxy חמקנית. "מכשירים כאלה בדרך כלל פחות מאובטחים, מה שאומר שככל הנראה אינם מנוטרים או מעודכנים", אמר מנהל איומי המודיעין של Lumen Black Lotus Labs. "זה עוזר לשחקן להתבסס ללא זיהוי״, הוסיף. וקטור הגישה הראשוני בו נעשה שימוש בהתקפות אינו ידוע, אך פריצה מוצלחת גוררת אחריה פריסה של סקריפט bash המוריד ומפעיל את HiatusRAT .HiatusRAT עשיר בתכונות ויכול לאסוף מידע על הנתב, להריץ תהליכים וליצור קשר עם שרת מרוחק כדי לייצא קבצים או להפעיל פקודות שרירותיות מרחוק. הממצאים מגיעים לאחר מחקר של חצי שנה שבוצע ע״י Lumen Black Lotus Labs אשר שפכה אור על תוכנות זדוניות ממוקדות נתב, הגילוי של Hiatus מאשר ששחקנים ממשיכים לרדוף אחרי ניצול חולשות בנתבים.

השבוע בכופרה

הודלף מידע שנגנב במתקפת הסייבר נגד עיריית Oakland 

קבוצת הכופר Play החלה להדליף מידע שנגנב במתקפת סייבר שהתרחשה ב-8 בפברואר כנגד העיר Oakland  שבקליפורניה. בעקבות המתקפה מערכות רבות בעירייה הושבתו הועברו לא מקוון, כולל שירות טלפוני, מערכות לאיסוף תשלומים, עיבוד דוחות והנפקת אישורים ורישיונות.  שירותי חירום של העירייה לא הושפעו. 

לאחר המתקפה, הכריזה העירייה על מצב חירום מקומי על מנת לזרז הזמנות חומרים וציוד, ולאפשר הפעלת עובדי חירום לפי הצורך. דליפת הנתונים  מורכבת מארכיון RAR בנפח 10GB. התוקפנים טענו באתר ההדלפה שלהם כי המידע שפורסם חלקי וכולל פרטים אישיים של עובדים, מידע פיננסי, תעודות זהות, ומידע על הפרת זכויות אדם. 

עיריית Oakland  פרסמה ב-2 במרץ כי היא ממשיכה לעקוב אחר המצב, וכי כל אדם אשר המידע האישי שלו נחשף, יקבל הודעה על כך בהתאם לחוק. בנוסף הצהירה כי צד שלישי שאינו מורשה רכש קבצים גנובים מהרשת ובכוונתו לפרסם את המידע בפומבי, וכי מתקיימת חקירה בעזרת מומחים של צד שלישי וגורמי אכיפת חוק.

סייבר בעולם

Hatch Bank מדווחת על דלף מידע של כ-140 אלף לקוחות 

השבוע דיווחה חברת Hatch Bank כי בפריצה שהתבצעה במערכותיה בחודשים ינואר-פברואר, נגנב מידע אישי של כ-140 אלף לקוחות החברה. החברה, שמספקת שירותי פינטק לחברות, מדווחת כי קבוצת התקיפה Clop, ביצעה שימוש בחולשה(CVE-2023-0669) במערכות העברת קבצים(MFT) מבית GoAnywhere ומשכה קבצים ממערכותיה במשך 10 ימים. לטענת החברה, לא נגנו פרטים פיננסים מהמידע, אך הפרטים שדלפו כללו מס׳ תעודות זהות ושמות מלאים. קבוצת התקיפה Clop מסרה למגזין Bleeping Computer כי ״אכן הקבוצה עומדת מאחורי תקיפה זאת ועוד 130 אחרות באמצעות ניצול החולשה״. 

מידע של מיליוני כרטיסי אשראי הודלף מהאתר BidenCash

אתר האינטרנט העוסק במכירה של פרטי כרטיסי אשראי גנובים המוכר בשם BidenCash הפיץ מאגר נתונים עם מעל ל-2 מיליון רשומות של כרטיסי אשראי ללא עלות כחלק מחגיגות השנה הראשונה של פעילות האתר. התוקף העומד מאחורי האתר פרסם את הפרטים בפורומים מחתרתיים של האקרים. על פי דיווח של חברת Cyble שזיהתה לראשונה את דלף המידע נראה שמאגר הנתונים שהודלף כולל פרטים של כ 740 אלף כרטיסי אשראי, 811 אלף כרטיסי דיירקט ועוד כ 293 כרטיסי אשראי נטענים, בנוסף מאגר המידע מכיל פרטים אישיים המשמשים לזיהוי כמו שם פרטי ושם משפחה, כתובות אימייל, מספרי טלפוןת כתובות מגורים ופרטי כרטיס מלאים הכוללים תאריך תפוגה וקודי CVV של הכרטיסים. בנוסף על פי אנדריאה דראגטי מחברת D3Lab's נמסר כי נמצא במאגר המידע 497 אלף כתובות אימייל ייחודיות עם יותר מ 28 אלף דומיינים יחודיים שיכולים להיות משומשים בעתיד לטובת קמפיניי פישינג מטורגטים ותרמיות נוספות. BidenCash קיימת מה 28 לפברואר 2022, יש לציין כי זו אינה הפעם הראשונה ש BidenCash עשו שימוש במידע חינמי של כרטיסי אשראי לטובת קידום ושיווק וההדלפה הקודמת שלה התרחשה באוקטובר.

שיתוף פעולה בינלאומי הוביל לתפיסתם של חברים בקבוצת האקרים המשתמשים בתוכנת הכופר DoppelPaymer

ה Europol ביחד עם המשטרה הגרמנית, המשטרה האוקראינית והמשטרה ההולנדית בשיתוף עם ה FBI הוציאו לפועל מבצע שבו תפסו אזרחים הקשורים לקבוצת ההאקרים DoppelPaymer אשר אחראית על ביצוע התקפות סייבר בקנה מידה גדול עם הבוטנט EMOTET, הדביק מחשבים באמצעות דואר אלקטרוני וגרם לנזק משמעותי כמעט עשור. האזרח הראשון הוא גרמני, המשטרה הגרמנית פשטה על ביתו ולדעתם הוא מילא תפקיד מרכזי בקבוצה. מביתו נלקח ציוד וציוד זה עובר תהליך של חקירה פורנזית.
בנוסף המשטרה האוקראינית פשטה על שתי מקומות אחד בקייב ואחד בחרקוב של אזרח אוקראיני שלפי ההערכות הוא גם חבר בקבוצת ההאקרים. גם מביתו של האזרח האוקראיני נלקח ציוד וגם הוא עובר בדיקה פורנזית.
במשך השנים שילמו לקבוצת ההאקרים DoppelPaymer עשרות מיליוני דולרים, הרשויות בגרמניה מודעות ל-37 חברות אשר שילמו דמי כופר של ובארה"ב הקורבנות שילמו לפחות 40 מיליון יורו בין מאי 2019 למרץ 2021. אחת ממתקפות הסייבר החמורות ביותר שביצעה קבוצה זו היא נגד בית החולים האוניברסיטאי בדיסלדורף, כתוצאה מהמתקפה מתה אישה.

משחק הבלוקציין הפופלרי Sandbox נפרץ ומשתמשים קיבלו אימיילים מזויפים להורדת נוזקה

משחק הבלוקציין (blockchain) הפופולרי Sandbox מזהירה את קהילת המשתמשים שלה מפני אירוע אבטחתי בחברה שבעקבותיו נשלחו למשתמשים אימיילים מזויפים המתחזים להיות מיילים מטעם המשחק ומעבירים בתוכם נוזקה. Sandbox הוא משחק עולם פתוח עם כ-350 אלף משתמשים פעילים מידי חודש המאפשר למשתמשים בין היתר ליצור ולמכור NFTs ובכך להרוויח מטבע דיגיטלי פנימי של המשחק (Sand) אותו המשתמשים יכולים למכור או להחליף בתמורה למטבעות דיגיטליים אחרים. על פי הדיווח הפריצה החלה כאשר תוקף פרץ לחשבון האימייל של אחד מעובדי החברה ומשם הצליח להשתלט על מספר כתובות אימיילים השייכים לחברה לאחר מכן התוקף ניצל את כתובות המייל האלו על מנת לשלוח למשתמשים מיילים הנראים כמיילים שנשלחו מטעם החברה אך הכילו לינק להורדה של נוזקה, על פי הודעת החברה התוקף היה מוגבל למחשב של אותו עובד בלבד וכי לא הושגה גישה לשירותים או חשבונות של החברה, בנוסף בזמן שהתקרית התגלתה החברה זיהתה את חשבונות האימייל אליהם נשלחה ההודעה הזדונית והעבירה לאותם כתובות הודעה נוספת המזהירה אותם לא לפתוח או להוריד קבצים מההודעה הקודמת שהתקבלה. בנוסף כחלק מפעולות מיטיגציה של החברה שונו הסיסמאות של כלל עובדי החברה ובוצעה אכיפה של אימות דו שלבי.

סייבר בגופי בריאות

 
 

ספרד: מתקפת כופרה על בית חולים El Clínic de Barcelona - מטופלים רבים פונו לבתי חולים אחרים

על פי הצהרה שפרסמה ממשלת קטלוניה, בית החולים קליניק דה ברצלונה סבל מהתקפה על ידי קבוצת הכופרה RansomHouse. צוות ה-CERT של בית החולים דיווח כי ״מתקפת הכופרה החלה ביום ראשון בבוקר (ה-5 במרץ) והשפיעה מיידית על פעילות המעבדות, בתי מרקחת ושירותי חירום״. 

השפעות המתקפה לא חלו על מערכת ה-SAP של בית החולים, אבל כל מערכות המידע והתקשורת נותרו מושבתים ונעשים מאמצים לשחזור מערכות קריטיות. משמעות הדבר היא שמידע על מטופלים עבור הרופאים אינו בהישג יד והמצב משפיע באופן ישיר על שירותי הטיפול. בעקבות המתקפה בית החולים עבר לטיפול ידני במאות מאושפזים דחופים, אירוע שהאט את הטיפול השוטף והוביל לפינוי של מאות חולים לבתי חולים אחרים בעיר. בערב המתקפה יצאה הודעה רשמית לתקשורת מטעם בית החולים שדיווח על ״התמודדות עם המתקפה למקביל להמשך מתן טיפול רפואי דחוף כולל ניתוחים, צמצום פעילות מרפאות אמבולטוריות, טיפולים אלקטיביים ומרפאות לייעוץ חיצוני״. הנהלת בית החולים ציינה ביום שלישי בערב ש״בית החולים עמד ביעדי העבודה שהציב לעצמו בצל המתקפה - פעילות של 10% מהייעוץ החיצוני ו-40% מהניתוחים האלקטיביים הודות לפריסת 125 צוותי תמיכה על ברחבי בית החולים״. בהצהרה שפורסמה ברביעי בערב נמסר כי ״סוכנות הסייבר של קטלוניה ובית החולים פועלים בשיתוף פעולה במטרה להשיב את מערכות המידע ולחזור לשגרה במהירות, לצד ניסיונות למגר את פעילות התוקף, לפרוס יכולות טכנולוגיות שונות ולשלב יכולות מבצעיות״. כמו כן דווח כי הנהלת בית החולים ״פרסה 165 צוותי תמיכה, המאפשרים עבודה בטוחה״ ושבית החולים ״עמד ביעדי הפעילות שתוכננה לאותו היום וממשיך להעלות אותה בהדרגה״. 

קבוצת RansomHouse נחשבת לקבוצת תקיפה בולטת שהחלה את דרכה בתחילת 2022. שיטות הפעולה של הקבוצה הן ניצול חולשות, גניבת מידע, הצפנת קבצים והפעלת לחץ בדרכים שונות כדי לגרום לתשלום דמי הכופר על ידי ארגונים שונים. מבחינה תקשורתית, הקבוצה מתחזקת ערוץ טלגרם פעיל וכן אתר הדלפות אליו ניתן לגשת רק באמצעות דפדפן Tor. בין הארגונים שהקבוצה תקפה ניתן למנות חברות גדולות וקטנות כגון: חברת AMD, Shoprite, Brycon ומקרה קודם של תקיפת בית חולים Keralty שבקולומביה לפני מספר חודשים. 

(בתמונה: תיעוד של המעבר לעבודה ידנית בבית החולים El Clínic de Barcelona. 

מקור: עמוד הפייסבוק הרשמי של בית החולים)

ארה״ב: מתקפת כופרה על רשת שירותי בריאות שבסיסה בפנסילבניה

רשת שירותי הבריאות Lehigh Valley Health Network (להלן: LVHN), המפעילה 13 בתי חולים ומספר רב של מרפאות וביניהן מרפאות רופאים במזרח פנסילבניה, טוענת כי היא הותקפה בכופרה של הקבוצה BlackCat, הידועה גם בשם AlphV. על פי דיווח מטעם רשת שירותי הבריאות ב-20 בפברואר נמסר כי ״תוכנת הכופר ALPHV חדרה לרשת הארגונית״, וכי ״אין כוונה להיכנע לאיומים מצד קבוצת תוקפי הסייבר״. המתקפה לא שיבשה את הפעילות בבתי החולים ובמשרדים או גרמה להפרעה כלשהי למערכות של ארגון הבריאות. דיווח אחר בנושא העלה כי הנוזקה התפשטה לאחר שקבוצת התקיפה הצליחה לנצל חולשה באמצעות גישה למחשבו של רופא במחוז לאקאוואנה באמצעות הנוזקה BlackCat. בריאן נסטר, נשיא ומנכ״ל רשת שירותי הבריאות, אמר כי המערכת שנפרצה הינה "מערכת מחשב המשמשת בין השאר לאחסון תמונות מטופלים המיועדים לסיוע בטיפול אונקולוגי בקרינה ומידע רגיש אחר". עוד הוסיף כי "שירותי רשת הבריאות, כולל מכון לטיפול בסרטן ובית חולים לילדים, לא הושפעו מהנוזקה״. ב-5 במרץ, שבועיים אחרי הדיווח הרשמי הראשוני על המתקפה וכשרשת שירותי הבריאות עודנה מסרבת לשלם את הכופר, התוקפים איימו על רשת שירותי הבריאות והחלו להדליף תצלומים של חולות סרטן שד חשופות חזה. בתגובה רשת הבריאות של Lehigh Valley פרסמה הצהרה ביום שלישי שבה נאמר ש"פרסום התצלומים הינו מעשה פלילי בלתי מתקבל על הדעת המנצל מטופלים המקבלים טיפול בסרטן, LVHN מגנה את ההתנהגות הבזויה הזו". בנוסף, אתר האינטרנט של הרשת אינו זמין מיום רביעי ה-6 במרץ. 

קבוצת BlackCat, המיוחסת לרוסיה, התפרסמה לאחר שתקפה בשנה שעברה את ספקית הגז האמריקאית Colonial Pipeline. הקבוצה מפעילה תוכנות כופר שמצפינות קבצים דרך הצפנת AES (על פי מחקר של חברת האבטחה Emsisoft). תוכנת הכופר זוהתה לראשונה בנובמבר 2021 וחדרה לעשרות קורבנות בתוך מספר חודשים.

סייבר בישראל

 

איראן עומדת מאחורי המתקפה על הטכניון

קבוצת התקיפה MuddyWater, המזוהה עם משרד המודיעין והביטחון של איראן היא קבוצת התקיפה שעומדת מאחורי המתקפה על שרתי הטכניון בחודש שעבר, באוניברסיטה נאלצו לנתק את שרתי המחשוב וכמה בחינות נדחו בעקבות התקיפה. במערך הסייבר אמרו כי מדובר בקבוצת ההאקרים שארה"ב ובריטניה מייחסות לה שורת מתקפות בצפון אמריקה, אסיה ואפריקה. במהלך חקירת האירוע עלה כי הקבוצה עשתה שימוש בנוזקה המיועדת להצפנה של מערכות הפעלה. מערך הסייבר הלאומי הפיץ לארגונים מזהים של המתקפה כדי שיוכלו לחסום ניסיונות דומים  וכן המלצות לדרכי התגוננות. זוהי לא הפעם הראשונה שהקבוצה שמה למטרה מטרות בישראל, בדצמבר אשתקד קבוצת הקבוצה יצאה בקמפיין פישינג נגד מטרות ישראליות ממגזרי הביטוח והאירוח (ראה ״הסייבר״ 15.12.22) .

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, יובל אוחנה, רוני עזורי, עמית מוזס, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, דלית אלנטר, מיתר בן אבו, שלומית רובין, תמר מרדיקס, שירי מס ברזילי, תום צוקרמן ואורי וייס.

 
bottom of page