דו״ח סייבר שבועי
עדכון שבועי 09.12.2021
עיקרי הדברים
-
מבקר המדינה: ״התחלנו ביקורת על ההיערכות של ישראל לאיום האיראני״.
-
צבא ארה״ב פעל נגד ארגוני פשיעת סייבר שתקפו חברות אמריקאיות.
-
מרילנד: מתקפת סייבר השביתה את מחלקת הבריאות במדינה. ביפן בית חולים מתקשה לתפקד לאחר מתקפת סייבר.
-
אנגליה: 330 נקודות מכירה של רשת SPAR הושבתו עקב מתקפת כופרה.
-
אנו ממליצים לעדכן את המוצרים הבאים: Zoho (קריטי); WebHMI (קריטי); מודול ה-Webform של Drupal (קריטי); ה-WAF של SonicWall (קריטי); מוצרי האחסון של QNAP (גבוה); דפדפן Google Chrome (גבוה); דפדפן Mozilla Firefox (גבוה); ה-Server וה-Data Center של Jira;
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל-Zoho נותן מענה לחולשה קריטית המנוצלת על ידי תוקפים
עדכון אבטחה ל-WebHMI מתקן 2 חולשות קריטיות במוצר
עדכון אבטחה ל-Server ול-Data Center של Jira
עדכון אבטחה ל-Google Chrome נותן מענה ל-22 חולשות, בהן 17 ברמת חומרה גבוהה
עדכון אבטחה ל-Mozilla Firefox נותן מענה ל-11 חולשות, בהן 4 ברמת חומרה גבוהה
2 חולשות קריטיות נמצאו במודול ה-Webform של Drupal
עדכון אבטחה לחולשות קריטיות ב-WAF של SonicWall
עדכון אבטחה נותן מענה לחולשה ברמת חומרה בינונית במוצרי האחסון של QNAP
התקפות ואיומים
חוקרים מצאו 14 סוגים חדשים של תקיפת דפדפנים מסוג XS-Leak
אפל מתריעה בפני 11 דיפלומטים אמריקאים על פריצה למכשיריהם הניידים באמצעות Pegasus
מרילנד: מתקפת סייבר השביתה את מחלקת הבריאות במדינה
מתקפת פישינג מתוחכמת נגד לקוחות מיקרוסופט Office 365
קבוצת התקיפה הרוסית המכונה Cozy Bear תוקפת גופי ממשל ברחבי העולם
קריפטו: 150 מיליון דולר נגנבו מלקוחות פלטפורמת המסחר BitMart
ה-AirTag של חברת Apple משמשים גנבים להתחקות אחר רכבי יוקרה
הבוטנט Moobot מתפשט באגרסיביות בנצלו חולשה קריטית המאפשרת הזרקת קוד מרחוק במוצרי Hikvision
השבוע בכופרה
קבוצת ההאקרים Cuba הדביקה 49 מערכות של ארגונים בסקטורים קריטיים ושלשלה לכיסה 40 מיליון דולר
אנגליה: רשת הסופרמרקטים הבינלאומית SPAR חווה מתקפת סייבר; כ-330 חנויות הושבתו
קנדה: מכתב פתוח לארגונים בנושא כופרה
דוח חדש: חברות הנופלות קורבן לאירוע כופרה משלמות בממוצע כ-700 אלף דולר נוספים כחלק מהסחיטה
התפתחות מדאיגה באופן הפעולה של נוזקת Emotet: התקנה ישירה של Cobalt Strike Beacon
הכופרה Cerber תוקפת סרברים של Atlassian Confluence ו-GitLab
בית חולים ביפן מתקשה לתפקד לאחר מתקפת סייבר
סייבר בישראל
דליפה נוספת משרתי חברת CyberServe
מבקר המדינה: ״התחלנו ביקורת על ההיערכות של ישראל לאיום האיראני״
סייבר בעולם
צבא ארה״ב פעל נגד ארגוני פשיעת סייבר שתקפו חברות אמריקאיות
וירג׳יניה: בית המשפט הפדרלי נעתר לבקשת מיקרוסופט לקבל אחיזה בשרתים ששימשו קבוצת ריגול סינית
Mitto: חשד כי מנהל התפעול הראשי בחברה מכר שירותים אסורים, בהם שירותי מעקב
Google תובעת את האחראים לבוטנט שהדביק יותר ממיליון מחשבים ברחבי העולם
רוסיה חוסמת באופן אקטיבי גישה של אזרחיה לרשת ה-Tor
סייבר ופרטיות - רגולציה ותקינה
הקשחת חובת הדיווח על אירועי סייבר למינהל אבטחת התחבורה של ארה"ב: תוך 24 שעות
הגנות נוספות למידע של לקוחות מוסדות פיננסיים: ה-FTC מעלה את רף האכיפה
כנסים
הציטוט השבועי
-גנרל פול מ. נקסאסוני, ראש פיקוד הסייבר של ארה"ב ומנהל הסוכנות לביטחון לאומי, בראיון לניו יורק טיימס.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה ל-Zoho נותן מענה לחולשה קריטית המנוצלת על ידי תוקפים
החברה, המספקת ומפתחת לעסקים פתרונות תוכנה על פי צרכיהם, פרסמה עדכון לחולשה (CVE-2021-44515), העלולה לאפשר לתוקף לעקוף את מנגנון ההזדהות בשרת ה-ManageEngine Desktop Central MSP, באמצעותו מריצים מנהלי רשתות עדכונים לתוכנות באופן אוטומטי ופותרים בעיות רשת מרחוק. המעקף עלול לאפשר לתוקף להריץ קוד זדוני במערכת הקורבן. בהודעה רשמית מטעם Zoho נמסרו למשתמשי המוצר הוראות לבדיקת הגרסה שברשותם, על מנת שיוכלו לקבוע אם היא פגיעה. במידה והתשובה לכך חיובית, Zoho ממליצה על ניתוק המערכות הפגיעות מהרשת, פירמוט השרתים הרלוונטיים והחלפת סיסמאות לכלל משתמשי הארגון. בפרסום של הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) מצויין מזהי התקיפה המנצלת את החולשה, לצד פרטים טכניים על אופן ביצועה.
צוות קונפידס ממליץ למשתמשי המוצר לעיין בפרטי העדכון ולבצע את פעולות המיטיגציה הנדרשות.
עדכון אבטחה ל-WebHMI מתקן 2 חולשות קריטיות במוצר
החולשה הראשונה (CVE-2021-43936, CVSS 10) שתוקנה ב-Distributed Data Systems WebHMI עלולה לאפשר לתוקף מרוחק להעלות קבצים זדוניים למערכת פגיעה על ידי שליחת בקשת HTTP שהותאמה במיוחד, ולהריץ על המערכת פקודות קוד. החולשה השנייה (CVE-2021-43931, CVSS 9.8) עלולה לאפשר לתוקף מרוחק לעקוף הגבלות אבטחה על ידי הודעה שהותאמה במיוחד, על ידי ניצול עקב פגם המצוי באלגוריתם האותנטיקציה. עדכון האבטחה רלוונטי לגרסה 4.0 של המוצר.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסה 4.1.
עדכון אבטחה ל-Server ול-Data Center של Jira
העדכון, שפרסמה חברת Atlassian נותן מענה לחולשה (CVE-2021-41311) העלולה לאפשר לתוקף שיש לו גישה למשתמש אשר היה בעל הרשאות אדמיניסטרטיביות שהוסרו לבצע שינויים במשתמשים של פרויקטים שונים המצויים על אותו שרת. החולשה הינה למעשה Broken Authentication בנתיב זה:
/plugins/servlet/project-config/PROJECT/roles.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאות עדכניות יותר מגרסה 8.19.1.
עדכון אבטחה ל-Google Chrome נותן מענה ל-22 חולשות, בהן 17 ברמת חומרה גבוהה
העדכון, שישוחרר בימים הקרובים, יהיה רלוונטי למערכות ההפעלה Windows, Mac ו-Linux, ויתקן בדפדפן חולשות אבטחה ברמות חומרה שונות, שניצולן עלול לאפשר לתוקף לקבל הרשאות גבוהות בעמדת הקורבן ולהפעיל עליה קוד זדוני.
צוות קונפידס ממליץ למשתמשי המוצר להטמיע את העדכונים עם פרסומם.
עדכון אבטחה ל-Mozilla Firefox נותן מענה ל-11 חולשות, בהן 4 ברמת חומרה גבוהה
החולשות החמורות שנסגרות בעדכון, אשר שוחרר ב-7 בדצמבר ורלוונטי למערכות ההפעלה Windows, Linux ו-MacOS, עלולות לאפשר לתוקף לקבל רמות הרשאה גבוהות במערכת הקורבן. לצד עדכון האבטחה, תוקנו גם מספר תקלות אחרות בתוכנה.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה. את רשימת תיקוני האבטחה המלאים הכלולים בעדכון ניתן למצוא כאן.
2 חולשות קריטיות נמצאו במודול ה-Webform של Drupal
החולשות, שטרם קיבלו מענה, עלולות לאפשר לתוקף לעקוף את מנגנוני האבטחה בשל אותנטיקציה חלשה בגישה לתוספים על ידי מנהלי מערכת ב-Webform. בכך עשוי התוקף לחשוף או לשנות את המידע הנשלח בקוד. עוד נמצא כי ה-Webform פגיע לחולשת XSS עקב חוסר בסינון קוד HTML, דבר העלול לאפשר הזרקת קוד זדוני לקוד ה-HTML של האתר והרצתו על דפדפן המשתמש.
צוות קונפידס ממליץ למשתמשי מודול ה-Webform של Drupel לעקוב אחר פרסומי החברה. נכון לכתיבת שורות אלה, טרם פורסם עדכון אבטחה רלוונטי.
עדכון אבטחה לחולשות קריטיות ב-WAF של SonicWall
העדכון החדש למוצר אבטחת המידע של החברה תקף לגרסאות SMA 100, 200, 210, 400, 410, 500v. ציוני ה-CVSS של החולשות שנסגרו בעדכון נעים בין 5.3 ל-9.8, כאשר החמורות שבהן (CVE-2021-20038 ו-CVE-2021-20045) ניתנות לניצול מרחוק.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה. את רשימת תיקוני האבטחה המלאים הכלולים בעדכון ניתן למצוא כאן.
עדכון אבטחה נותן מענה לחולשה ברמת חומרה בינונית במוצרי האחסון של QNAP
החברה פרסמה מדריך להתגוננות ולעדכון מוצרי ה-NAS שלה, הרלוונטי למכשירים בעלי QTS בגרסה 4.3.4 ומטה. החולשה שנמצאה (CVSS 6.5) מאפשרת לתוקף להחדיר למכשירים תוכנה לכריית מטבעות דיגיטליים ולגרום, בין היתר, לצריכה מוגברת של משאבי המעבד, עד לקריסת המכשיר.
צוות קונפידס ממליץ למשתמשי המוצרים לעקוב אחר המדריך שנמצא כאן ולעדכן את המוצר בהתאם.
התקפות ואיומים
חוקרים מצאו 14 סוגים חדשים של תקיפת דפדפנים מסוג XS-Leak
החוקרים, משתי אוניברסיטאות בגרמניה, רשמו את התגלית במהלך בדיקה של 56 מערכות הפעלה ודפדפנים, שנועדה למצוא כמה מהם מוגנים מפני כמה עשרות של סוגי תקיפות XS-Leak. תקיפות XS-Leak מבוססות על עקיפת מנגנון ה-Same-origin policy, שמטרתו להגן על הדפדפן מתקיפות מסוגים שונים. בתקיפות XS-Leak מנסים התוקפים לזהות מידע אישי שניתן לייצוא באמצעות שליחת בקשות שונות מצד הלקוח. החוקרים הקימו אתר בשם XSinator, הבודק אם דפדפן הנמצא בשימוש מוגן מפני 34 סוגים של תקיפות XS-Leak.
אפל מתריעה בפני 11 דיפלומטים אמריקאים על פריצה למכשיריהם הניידים באמצעות Pegasus
לדיפלומטים, אשר מרביתם מוצבים באוגנדה, נמסר כי מכשירי האייפון שברשותם נפרצו בחודשים האחרונים על ידי תוכנת הריגול של NSO הישראלית, אותה מוכרת החברה למדינות. התוכנה מאפשרת גניבה וצפייה בקבצים, הדלקת המיקרופון במכשיר הקורבן לשם ציתות לשיחות, מעקב אחר מיקום הקורבן, ולמעשה כל פעולה שהמשתמש עצמו מסוגל לבצע באמצעות המכשיר. על מנת להתקין את Pegasus נעשה שימוש בחולשת ForcedEntry על ידי לחיצה על קישור או התראה המתקבלים בטלפון. לפני כחודש הוכנסה NSO ל״רשימה השחורה״ של ארצות הברית, דבר אשר על פי חוק מונע מחברות אמריקאיות לעמוד עמה בקשרים עסקיים. כ-40% מהחברות הכלולות ברשימה זו מקורן בסין, אך מצויות בה גם חברות מרוסיה וסינגפור. לדברי NSO, המוצר Pegasus אינו יכול לפעול על מכשירי אייפון המשויכים למספר טלפון בעל קידומת אמריקאית (1+). אי לכך, נראה שהדיפלומטים שמכשיריהם נפרצו השתמשו במספרים בעלי קידומת זרה. עוד אמרה החברה הישראלית כי מראש הגדירה את המוצר ככזה המיועד לחקירת פעילותם של פושעים, של טרוריסטים ושל מי שמהווה סכנה ביטחונית, וכי מרגע שנמכרה והועברה ללקוח - אין היא מודעת לשימוש שנעשה בתוכנה ועל כן אינה אחראית להשלכות הדבר. בהצהרה שמסרה NSO לסוכנות הידיעות ״רויטרס״ נמסר כי ״אם יתברר שהפעולות המתוארות אכן בוצעו עם כלים של NSO, לקוח שביצע שימוש זה יושבת לאלתר ויהיה כפוף להליכים משפטיים״. NSO אף ציינה כי תשתף פעולה עם כל סמכות מדינית רלוונטית ותציג בפניה כל מידע שברשותה.
מרילנד: מתקפת סייבר השביתה את מחלקת הבריאות במדינה
ב-5 בדצמבר הודיעה מחלקת הבריאות של מרילנד כי תוקפים הצליחו לחדור למערכותיה, וכי בתגובה הוחלט להשבית מערכות מסוימות ולהעביר משתמשים שניסו לבקר בעמוד האינטרנט של המחלקה אל אתר האינטרנט הרשמי של מרילנד. במהלך ההשבתה, שנמשכה יממה, שירותי בריאות רבים לא היו זמינים לתושבי המדינה, בהם קביעת תורים לחיסונים, בדיקות דם, תוכניות גמילה מסמים ועוד. נכון לשעה זו, מערכות מחלקת הבריאות חזרו לפעול כשורה ולא נראה שנגנב מהן מידע רגיש.
מתקפת פישינג מתוחכמת נגד לקוחות מיקרוסופט Office 365
ברשומת בלוג חדשה שפרסמה חברת MailGuard דווח כי התקיפה מכוונת כנגד חשבונות משתמשים של Office 365, ובמהלכה משתמשים ההאקרים בטכניקה ייחודית: התוקפים מפיצים מייל פיקטיבי שכותרתו ״Spam Notification: 1 New Messages״ ואשר נשלח מכתובת המייל quarantine[at]messaging[.]microsoft[.]com. מייל זה מתחזה למייל שנשלח אל תיבת הדואר אך נחסם, כביכול, משום שסומן ״בשוגג״ כספאם. עוד נאמר במייל הזדוני כי אם המשתמש לא ינקוט בפעולות מסוימות, המייל ה״חסום״ יימחק כעבור 30 יום. על מנת להערים על קורבנותיהם, ההאקרים מתחזים לצוות האבטחה של מיקרוסופט, ואף מציינים בכותרת המייל את שם הדומיין של משתמש ה-Office 365 הספציפי (למשל, ״Example_Company] Adjustment: Transaction Expenses Q3 UPDATE]״). המייל הפיקטיבי מפנה את הקורבנות אל קישור מסוים שבו יוכלו, לכאורה, לבצע את הפעולות שיבטלו את חסימת המייל. בפועל, הם מופנים אל כתובת אינטרנטית בה הם נדרשים להזין את פרטי ההזדהות שלהם, שמועברים לידי ההאקרים.
צוות קונפידס ממליץ למשתמשי Office 365 לגלות ערנות מוגברת ואחריות בעת פעילות ברשת, ובעיקר להישמר מפני מיילים זדוניים (קמפייני פישינג בתיבות מייל מהווים את מתווה התקיפה הנפוץ ביותר). כמו כן, מומלץ להימנע מלחיצה על קישורים ומסמכים המצורפים למיילים שמגיעים ממקורות שאינם מוכרים, ולוודא כי פרטי הזדהות נמסרים אך ורק לאתרים מוכרים ולאחר וידוא הכתובת המופיעה בחלקו העליון של הדפדפן. לפרטים נוספים ולהנחיות לחצו כאן.
קבוצת התקיפה הרוסית המכונה Cozy Bear תוקפת גופי ממשל ברחבי העולם
הקבוצה, המוכרת גם בשמות APT29 ו-Nobelium, מקושרת למתקפות ה-SolarWinds וככל הנראה מקבלת גיבוי כלכלי מלא מהקרמלין. השבוע חזרה Cozy Bear לכותרות לאחר שחברת אבטחת המידע והמודיעין Mandiant פרסמה תחקיר מקיף על הקבוצה ועל פעילותה. Mandiant סבורה כי Cozy Bear ממקדת את פעילותה בגופים מדיניים ברחבי העולם, בהם גם צרפת, כך על פי דיווח של הסוכנות הלאומית לביטחון מערכות מידע בצרפת (ANSSI). עד כה מיוחסת הקבוצה לממשל הרוסי בעיקר על סמך טיב המסמכים אשר נגנבים במהלך פריצותיה השונות, שהם בעלי חשיבות גדולה לאינטרסים של רוסיה. את מרבית תשומת הלב מושכת אליה הקבוצה בזכות האמצעים והטכניקות המתקדמים בהם היא משתמשת, לרבות שימוש לרעה במנגנוני אבטחה דו-שלביים, התראות Push בטלפונים, הסוואת כתובות IP דרך שרתי Proxy בעלי קרבה גיאוגרפית לקורבנות ושימוש ברוגלות חדשות ומתוחכמות, כמו Ceeloader. עד כה לא זוהו מתקפות חדשות בפועל, אך Mandiant פרסמה מידע שעשוי לעזור בהתגוננות מפני פעולות הקבוצה, כגון IOCs, כלים אדמיניסטרטיביים בהם היא משתמשת וכתובות IP שמקושרות אליה.
קריפטו: 150 מיליון דולר נגנבו מלקוחות פלטפורמת המסחר BitMart
מנכ״ל החברה שלדון שיה הגיב בחשבון הטוויטר לפריצת הענק, שהתגלתה בליל ה-4 בדצמבר, באומרו כי החברה תזכה את ארנקיהם הדיגיטליים של לקוחותיה שנפלו קורבן למתקפה. מ-BitMart נמסר כי ״בתגובה לאירוע, חברת BitMart השלימה את בדיקות האבטחה וזיהתה את הנכסים אשר הושפעו מהתקרית. אירוע דלף המידע נגרם משימוש במפתח גנוב אשר היה מקושר לשני ארנקים דיגיטליים בחברתנו. יתר הנכסים בחברה לא נפגעו. BitMart תשתמש במשאבים הפיננסיים שלה לכיסוי עלויות האירוע ולפיצוי המשתמשים שנפגעו בפריצה. נוסף לכך, אנו החברה עומדת בקשר עם מספר צוותים כדי להקדיש את מירב המאמצים למציאת פתרונות למצב״.
ה-AirTag של חברת Apple משמשים גנבים להתחקות אחר רכבי יוקרה
כך דיווחה משטרת מחוז יורק הקנדי, בעקבות 5 מקרים בהם נתקלה מאז ספטמבר. הגנבים מאתרים רכבי יוקרה חונים, מחביאים בהן AirTags ואז עוקבים אחר המכוניות כשהן נוסעות למיקומן הקבוע, שם הם גונבים אותן. יכולות השידור הגבוהות של ה-AirTags מאפשרות לאתר את המוצר במהירות גבוהה ובדיוק רב. המשטרה אף המליצה על מספר צעדים שבהם ניתן לנקוט למניעת הגניבה, בהם חניה בחניון נעול, התקנת מערכת מצלמות אבטחה ברכב והתקנת מנעול על ה-Data Port, כך שהגישה למחשב המכונית תיחסם, ולא יתאפשר לגורם זר לתכנת מחדש את מפתחות הרכב.
הבוטנט Moobot מתפשט באגרסיביות בנצלו חולשה קריטית המאפשרת הזרקת קוד מרחוק במוצרי Hikvision
החברה, הנמצאת בבעלות ממשלת סין, מייצרת מצלמות מעקב וציוד אחר שממשלת ארה"ב הטילה עליו סנקציות עקב ניצול והפרה של זכויות אדם. החולשה (CVE-2021-36260, CVSS 9.8) מאפשרת לתוקפים לבצע מתקפת XXE במוצרי החברה ללא צורך באימות השולח, ולהריץ בקלות יחסית פקודות מרחוק על שרתים המכילים את התוכנה המפעילה את המוצרים. ניצול החולשה על ידי Moobot מתבצעת באמצעות שליחת פקודה למוצרים המורה להם להוריד קובץ בשם המטעה macHelper, אשר מדביק את המערכת בנוזקה של Moobot, גונב מידע רגיש ומאפשר תקשורת דרך שרת C2 לשליטה מלאה על המערכת, בהמתינו ליום פקודה. מטרתו העיקרית של Moobot היא להשתמש במערכות שנדבקו למתקפות מניעת שירות (DDoS), כאשר באמצעות שרת ה-C2 התוקפים יכולים לשלוח פקודה אל כל המערכות המודבקות, על מנת שתבצענה תעבורת רשת אל עבר מטרה מסוימת. כל שדרוש לשם כך הם ה-IP וה-Port של המטרה. למרות ש-Hikvision פרסמה עדכון לחולשה עוד בספטמבר, מערכותיכם של משתמשים שלא מיהרו להתקין את העדכון נותרו פגיעות. בתוך כך, חוקרים מחברת Fortinet שחקרו את תעבורת הרשת של Moobot הצליחו לאתר ערוץ טלגרם המציע שירותי DDoS באמצעות הבוטנט. Moobot כבר נצפה בעבר מנצל חולשות קריטיות במכשירי אינטרנט, לראשונה בחודש פברואר השנה.
השבוע בכופרה
קבוצת ההאקרים Cuba הדביקה 49 מערכות של ארגונים בסקטורים קריטיים ושלשלה לכיסה 40 מיליון דולר
ה-FBI זיהה קבוצת האקרים שמתחילת נובמבר הדביקה 49 מערכות ב-5 סקטורים קריטיים (כלכלה, ממשל, תעשייה, IT ובריאות) בכופרה המופצת באמצעות הנוזקה Hancitor, שמבצעת פעולות שמטרתן לאפשר גישה מרחוק למערכות. לשם גישה ראשונית למערכת, Cuba עושה שימוש בפישינג במייל, בחולשות בשירות Microsoft Exchange, בפרטי משתמשים שנחשפו ובתוכנת RDP שאינה זדונית. לאחר מכן היא נעזרת בכלים לגיטימיים, כגון PowerShell, PsExec ושירותים נוספים, על מנת להעלות הרשאות במערכת. לבסוף, היא מצפינה את קבצי הקורבן עם הסיומת ״cuba.״. עד כה דרשה הקבוצה דמי כופר שהסתכמו ביותר מ-70 מיליון דולר, מתוכם גבתה כ-40 מיליון דולר. מערך הסייבר הישראלי פרסם בעבר הודעה בנושא, אשר כללה אינדיקטורים לזיהוי קבצים זדוניים הקשורים למתקפות אלה, אותם ניתן להזין במערכות ההגנה של הארגון.
צוות קונפידס ממליץ להיכנס לפרסום של מערך הסייבר הישראלי ולהזין את האינדיקטורים במערכות ההגנה הרלוונטיות.
אנגליה: רשת הסופרמרקטים הבינלאומית SPAR חווה מתקפת סייבר; כ-330 חנויות הושבתו
בציוץ שפורסם בעמוד הטוויטר של החברה ב-5 בדצמבר דווח כי בעקבות בעיות IT, חנויות הרשת יישארו סגורות על להודעה חדשה. על פי פרסום במגזין אבטחת המידע BleepingComputer, מאות נקודות מכירה של SPAR בצפון אנגליה הושבתו בעקבות מתקפת סייבר, אשר פגעה ביכולתן לקבל תשלומים בכרטיסי אשראי ולגשת לתיבת המייל הארגונית. החנויות נאלצו לעבור לקבלת תשלום במזומן בלבד או לחילופין לסגור את שעריהן. למרות שחקירת האירוע בעיצומה, נראה שהתקיפה מתאפיינת בסממני כופרה, שכן היא הביאה לנעילתן של מערכות IT קריטיות. בהצהרה של המרכז הלאומי לאבטחת סייבר (NCSC) באגנליה נמסר כי הארגון ו-SPAR עובדים ביחד להבנת מלוא היקף האירוע.
קנדה: מכתב פתוח לארגונים בנושא כופרה
המכתב, שפורסם על ידי המרכז הקנדי הלאומי להגנת סייבר (CCCS), מתמקד בעלייה החדה שהורגשה באיומי כופרה מאז פרוץ הקורונה, בחשיבות של טכנולוגיית האינטרנט בימינו ובנחיצות בשימוש בטוח במרחב האינטרנטי בתקופה זו. מטרת המכתב היא להעלות בקרב ארגונים במדינה את המודעות לאיומים הקיימים במרחב הסייבר, והוא קורא לארגונים לאמץ אמצעים בסיסיים אך יעילים שיש ביכולתם להחליש את פעולותיהם של תוקפים המנסים לפגוע במוסדות קנדיים. ה-CCCS חבר לרשויות מקומיות ובינלאומיות על מנת לנסח המלצות ופעולות שניתן ליישמן לשם התגוננות מפני מתקפות כופרה והתנהלות במהלכן. בתוך כך, קנדה פועלת ביחד עם בעלות בריתה לפגיעה בהאקרים התוקפים ארגונים בשטחה, לצד הענקת סיוע לארגונים שנפגעו, על מנת שיוכלו לשוב לשגרה. ה-CCCS מבקש מארגונים שהחליטו לנקוט בצעדים המפורטים במכתב להירשם לתוכנית ה-CyberSecure Canada, כדי שהרשויות יוכלו לעקוב אחר סטטוס האבטחה שלהם.
דוח חדש: חברות הנופלות קורבן לאירוע כופרה משלמות בממוצע כ-700 אלף דולר נוספים כחלק מהסחיטה
מהדוח של חברת CrowdStrike, שעל מנת להפיקו רואיינו 2,200 מקבלי החלטות בתחומי ה-IT ואבטחת הסייבר ברחבי העולם, עולה כי 66% מהמרואיינים הותקפו בכופרה לפחות פעם אחת בשנה האחרונה, וכי תשלום דמי הכופר הממוצע עלה ב-63% ביחס לאשתקד. יבשת אסיה היא בעלת ממוצע התשלום הגבוה ביותר של דמי כופר, העומד על 2.4 מיליון דולר לאירוע. עם זאת, נמצא כי למרות שדרישת הכופר ההתחלתית הממוצעת עמדה השנה על 6 מיליון דולר, המחיר הסופי ששולם נטה להיות נמוך בהרבה מהמצוין בדרישה הראשונית, זאת כתוצאה משיפור ביכולות ניהול המשא ומתן של חברות מול תוקפים. נתון נוסף המוזכר בהקשר זה, הוא שחברות משלמות 700 אלף דולר נוספים בממוצע, מלבד סכום הכופר שעליו סוכם לאחר משא ומתן. עוד נמצא כי ממוצע השעות שלקח לחברה לאתר אירוע אבטחתי עמד על 146 שעות, לעומת 117 שעות בשנת 2020. יתר על כן, 69% מהמרואיינים דיווחו כי אירועי אבטחת המידע בארגונם נבעו מעבודת העובדים מרחוק.
התפתחות מדאיגה באופן הפעולה של נוזקת Emotet: התקנה ישירה של Cobalt Strike Beacon
קבוצת Cryptolaemus, החוקרת את Emotet, פרסמה ב-7 בדצמבר כי הנוזקה החלה להדביק ישירות מערכות באמצעות Cobalt Strike Beacon, כשהיא מדלגת על פעולות שהיוו עד כה את השלב הראשוני בשרשרת הפעולה של הנוזקה, בהן התקנת סוסים טרויאנים (TrickBot, Qbot). נוזקת Emotet מתפשטת דרך מיילים המכילים קבצי Word ו-Excel שבהם קוד מאקרו שרץ בעת הפעלת הקובץ, ועד כה היה מבצע הורדה והרצה של TrickBot ו-Qbot, בהם נעשה שימוש להתקנת Beacon של Cobalt Strike. כעת, על ידי דילוג על השלב הראשוני והרצת ה-Beacon עצמו באמצעות קבצי Word ו-Excel, מתאפשרת שליטה מלאה ומהירה יותר על מערכות והוצאה זריזה יותר אל הפועל של מתקפות כופרה, מה שמקשה על זיהוי והכלת האיום. Cobalt Strike הוא כלי לגיטימי לבדיקת חדירות הפורס Beacons על מערכות פגיעות. הוא מאפשר מעקב מרחוק על הרשת ויכולת אסקלציה עד כדי הרצת פקודות מרחוק. הכלי הינו פופולרי מאוד בקרב גורמים זדוניים המשתמשים בגרסאות פרוצות שלו כחלק ממתקפותיהם, שלעתים קרובות הן מתקפות כופרה.
הכופרה Cerber תוקפת סרברים של Atlassian Confluence ו-GitLab
הנוזקה מתבססת על ניצול שתי חולשות קריטיות (CVE-2021-26084, CVSS 9.8 ו-CVE-2021-22205, CVSS 10) המאפשרות הרצת קוד מרחוק על השרתים, ללא אימות המבצע. החל מחודש נובמבר החלה הכופרה לפגוע בשרתי Windows ו-Linux, תוך הצפנתם והנחת קובץ סחיטה בשם ״RECOVERY_README$$__.html__$$״ בשרת הפגוע. זאת ועוד, בעת הצפנת קבצי הקורבן הנוזקה מוסיפה להם את הסיומת ״locked.״, ובתמורה לשחרור הקבצים נדרש סכום של 1000-3000 דולר. כנופיית Cerber, שהחלה לפעול ב-2016, הפסיקה את פעילותה ב-2019, אך כעת נראה ששבה אל הזירה עם נוזקה חדשה. מדוח של חברת Tencent Security עולה ש-Cerber פועלת בעיקר נגד שרתים בארצות הברית, בגרמניה ובסין.
על מנת להימנע מליפול קורבן למתקפה, צוות קונפידס ממליץ למשתמשי השרתים (Git, Confluence) לעדכנם לגרסאותיהם האחרונות.
בית חולים ביפן מתקשה לתפקד לאחר מתקפת סייבר
בית החולים Handa, שנמצא בעיירה צורוגי, גילה כי הוא תחת מתקפת סייבר כאשר עשרות מדפסות במוסד החלו להדפיס ללא הפסקה הודעות כופר באנגלית. על המתקפה לקחה אחריות LockBit הידועה לשמצה, אשר הצליחה להחדיר לרשת בית החולים נוזקה שהצפינה את כל מאגרי המידע, תוכנות הניהול והמרשמים הרפואיים שלו, כמו גם את כל הגיבויים שהיו בנמצא. הדבר אילץ את המוסד לצמצם את פעילותו ולעבור לרשומות נייר. מלבד הסכנה לפרטיותם של 85 אלף מטופלי בית החולים בהווה ובעבר, הוא נאלץ לדחות פציינטים חדשים, גם במקרי חירום. חומרת האירוע מועצמת עוד יותר לאור העובדה ש-Handa הוא המרכז הרפואי היחיד בחלק המערבי של מחוז טוקושימה שבו מחלקת יולדות. נכון לעכשיו, ההערכות הן שיידרשו לבית החולים מספר חודשים עד שיחזור לפעילות תקינה.
סייבר בישראל
דליפה נוספת משרתי חברת CyberServe
חוקר אבטחת המידע עידו כהן דיווח בחשבונו בטוויטר כי קבוצת התקיפה Black Shadow, המשויכת לאיראן, הדליפה משרתי החברה רשומות של כ-500 אלף ישראלים בפורום בדארקנט. הרשומות שייכות לחברה הישראלית Lockerim. באחת הדליפות הגדולות הקודמות משרתי CyberServe, שאירעה באוקטובר האחרון, נחשף מידע מהפורום ״אטרף״, השייך לקהילת הלהט״בים, במה שנחשב לפגיעה משמעותית בפרטיות משתמשיו.
מבקר המדינה: ״התחלנו ביקורת על ההיערכות של ישראל לאיום האיראני״
מבקר המדינה מתניהו אנגלמן אמר בכנס פסגת העסקים של ״מעריב״ ו״וואלה!״ כי משרדו החל בבדיקה לאחר שפורסם כי איראן החלה במירוץ מחודש לעבר פצצה גרעינית ב-2019. עוד אמר בכנס כי "אנחנו יודעים שסיכוני הסייבר מאוד משמעותיים. אנחנו ערים לדליפות מידע בכל העולם. אנחנו כעת בודקים את מאגרי המידע של רשות המסים״. לדבריו, מצב בו המידע המרכזי על כלל אזרחי המדינה שנמצא בידי רשויות המס ו״נוגע להון של כולנו ולהכנסות של כולנו״ לא יהיה מוגן מספיק הוא מצב מסוכן מאוד. ״מדובר באחד המאגרים הגדולים ביותר במדינה, ומעבר לזה שהוא נוגע לכל אחד מאיתנו, יש לו השפעה על תקציב המדינה, מכיוון שמכאן גוזרים את האומדנים של הכנסות המדינה. הנושא של ביקורת סייבר - אני רואה בה חשיבות רבה.״ המשיך אנגלמן ואמר. ״אנחנו בודקים את אבטחת המידע ובודקים את האפשרות לבצע בדיקות חדירה. [...] בעולם של ביקורות הסייבר אנחנו נמצאים לא רק ברשות המסים. אנחנו עוסקים באיום הזה גם במערכות הבריאות.״
סייבר בעולם
צבא ארה״ב פעל נגד ארגוני פשיעת סייבר שתקפו חברות אמריקאיות
הגנרל פול נקאסוני, העומד בראש אגף פיקוד הסייבר האמריקאי, אישר את הדבר במהלך פאנל על שם רייגן, אך לא ציין את שמות הכנופיות ואת אופי המהלכים שננקטו. עוד אמר נקאסוני כי ארצות הברית משקיעה מאמצים בהשגת מודיעין סייבר על מנת להילחם בארגונים במרחב המנסים לפגוע בתשתיות המדינה. עד לפני תשעה חודשים הטיפול במתקפות כופרה היה מצוי באחריותן של רשויות האכיפה האמריקאיות, אך לאחר התקיפות שפגעו בספקית הדלק Colonial Pipeline ובענקית הבשר JBS, כמו גם הניסיון לשבש את הבחירות לנשיאות ארצות הברית, הוקשחה עמדת הממשל מול כנופיות הסייבר, מתוך הבנה כי האיום במרחב גדול מאי-פעם ומצריך קבלת החלטות כבדות משקל ביחס למתקפות ולקבוצות התקיפה. בהמשך לדיווח שפורסם בתחילת נובמבר אודות תקיפה שביצע צבא ארצות הברית נגד רשת הכופרה REvil Group, נראה כי הקבוצות העוינות ממשיכות להיות על כוונת הממשל, כאשר שינוי המדיניות כלפיהן והגברת המאמצים והיקף שיתופי הפעולה של ארצות הברית במרחב הובילו לפעולות מוצלחות נגד גורמי סייבר זדוניים.
וירג׳יניה: בית המשפט הפדרלי נעתר לבקשת מיקרוסופט לקבל אחיזה בשרתים ששימשו קבוצת ריגול סינית
בעתירתה ביקשה יחידת הפשיעה הדיגיטלית של מיקרוסופט (DCU) לקבל אחיזה ב-42 שרתים בהם השתמשה כנופיית (Nickel (APT15 לתקיפת 29 מדינות. מטרותיה של Nickel הן ארגונים בסקטור הציבורי והפרטי, לרבות ארגונים דיפלומטיים באמריקה, באירופה ובאפריקה, כאשר זוהתה התאמה בין קורבנות הקבוצה לבין האינטרסים הגיאו-פוליטיים של סין. אישור בקשתה של מיקרוסופט על ידי בית המשפט מאפשר לה להפנות את ניסיונות הגישה לשרתים הזדוניים לשרתים בטוחים שבבעלותה, דבר שיסייע לה באיפיון התקיפה. לדברי החברה, קבוצת התקיפה המדינתית ביצעה תקיפות שמטרתן איסוף מודיעין אודות סוכנויות מדיניות וארגוני זכויות אדם, ולמרות שלקבוצה אסטרטגיות תקיפה נוספות - מניעת גישת התוקפים לשרתים מהווה נדבך מרכזי במיגור פעילותה. בתוך כך, מיקרוסופט מיידעת את הלקוחות הרלוונטיים כי נתקפו על ידי הקבוצה או שבוצע ניסיון לתקוף אותם, ומוסרת להם מידע כיצד להימנע מהתקיפה. Nickel, הפעילה מ-2012, משתמשת במגוון כלים מתוחכמים על מנת לקבל גישה לעמדות הקורבנות, בהם ניצול חולשות במוצרי VPN ,SharePoint ושרתי Microsoft Exchange שאינם מעודכנים. לאחר קבלת הגישה לעמדה, הקבוצה ממשיכה לאסוף מידע באמצעות שימוש בפרטי משתמשים שנגנבו בקמפייני פישינג או פורסמו ברשת. בשנים האחרונות השקיעה מיקרוסופט מאמצים כבירים בפעילות משפטית נגד פושעי סייבר. עתירה זו, שהתקבלה ב-2 בדצמבר, היא התביעה ה-24 במספר שהוגשה על ידי החברה בתחום זה, 5 מתוכן היו נגד קבוצות ריגול מדינתיות. לדברי מיקרוסופט, עד כה קיבלה אחיזה ביותר מ-10,000 אתרים ובכ-600 שרתים בהם השתמשו קבוצות תקיפה מסוג זה.
Mitto: חשד כי מנהל התפעול הראשי בחברה מכר שירותים אסורים, בהם שירותי מעקב
מחקירה שביצעה חברת החדשות ״בלומברג״ עלה החשד כי איליה גורליק, מייסד שותף ומנהל התפעול הראשי בחברה השווייצרית, המספקת שירותי משלוח של הודעות טקסט, מכר שירותים אסורים ״מתחת לשולחן״, לרבות גישה לרשת נוספת של החברה, המשמשת לאיתור ולמעקב דיסקרטי אחר אנשים באמצעות המכשירים הניידים שברשותם. לדברי עובדים לשעבר בחברה, הרשת הנוספת לא שותפה עם לקוחותיה הטכנולוגיים של Mitto, וקיומה היה ידוע רק לעובדים ספורים. על פי החשד, גורליק מכר את השירות לחברות מעקב אשר עמדו בקשר עם סוכנויות ממשלתיות. מ-Mitto נמסר כי לא הייתה מעורבת בעסקי המעקב, ופתחה בחקירה פנימית על מנת לבחון פגיעה אפשרית בטכנולוגיה שלה או בבית העסק. עוד הוסיפה כי במידת הצורך תנקוט בפעולות לתיקון נזקים, וכי היא ״מזועזעת״ מהטענות כלפי גורליק והחברה. ״למען הסר ספק,״ ציינה, ״חברת Mitto לא תעפלה, לא מתפעלת ולא תתפעל בעתיד כל עסק, חטיבה או ישות נפרדים שיספקו לחברות מעקב גישה לתשתיות טלקום על מנת לאתר בחשאי אנשים באמצעות הטלפונים הסלולריים שלהם, או לבצע פעולות בלתי חוקיות אחרות. החברה אף אינה מאשרת, תומכת או מאפשרת ניצול של רשתות טלקום על ידי השותפות אליהן חברה לשם מתן שירותים ללקוחותיה הגלובליים.״ נכון לכתיבת שורות אלה, טרם התקבלה תגובתו של גורליק.
Google תובעת את האחראים לבוטנט שהדביק יותר ממיליון מחשבים ברחבי העולם
לטענת Google, שני אזרחים רוסים הם אלה שיצרו והפעילו את הבוטנט Glupteba. התוכנה מתוחכמת, שהצליחה לחדור ליותר ממיליון מחשבים מבוססי Windows וממשיכה להדביק אלפי נוספים מדי יום, גונבת אמצעי הזדהות ומידע ממחשבים שעלה בידיה לחדור אליהם, כורה בסתר מטבעות קריפטוגרפיים ומגדירה פרוקסים לשם תעבורת אינטרנט של אחרים דרך המערכות הנגועות. בתוך כך, Google הודיעה שבמקביל להליכים המשפטיים הצליחה לשבש את תשתית השליטה והבקרה (C2) של התוכנה, כך שלמפעיליה אין עוד שליטה עליה. עם זאת, ב-Google הזהירו כי הבוטנט Glupteba עשוי לשוב אל הזירה, שכן הוא עושה שימוש בטכנולוגיית בלוקצ׳יין המספקת שרידות במקרה בו שרתי השליטה אינם זמינים.
רוסיה חוסמת באופן אקטיבי גישה של אזרחיה לרשת ה-Tor
נכון לשעה זו חסמה ממשלת רוסיה את העמוד הראשי של הפרויקט באמצעות ספקיות האינטרנט הגדולות במדינה, אך היא נערכת כעת לחסימה כוללת של רשת ה-Tor, דבר המעלה חששות כבדים בקרב משתמשיה וארגוני זכויות אדם ברוסיה. רשת ה-Tor, בה משתמשים כ-300 אלף רוסים (המהווים כ-15% ממשתמשי הפרויקט), מאפשרת למשתמשיה לבצע הצפנה אוטומטית וניתוב מחדש (Rerouting) של בקשות ה-Web שלהם דרך רשת של Tor nodes, על מנת שיוכלו לגלוש באופן אנונימי. בתוך כך, רוסיה אסרה גם על שימוש ביותר משישה שירותי VPN, בהם NordVPN, Opera VPN, ProtonVPN.
סייבר ופרטיות - רגולציה ותקינה
הקשחת חובת הדיווח על אירועי סייבר למינהל אבטחת התחבורה של ארה"ב: תוך 24 שעות
רגולציה חדשה של ה-TSA, אשר פורסמה ב-2 בדצמבר, מחייבת מפעילי רכבות המוגדרות כתשתיות קריטיות לדווח על אירועי סייבר תוך יממה לסוכנות לאבטחת סייבר ותשתיות (CISA). שתיים מההנחיות שפורסמו אף מחייבות ארגונים הקשורים למסילות משא ״בסיכון גבוה״, לרכבות נוסעים ולמעברי רכבות למנות גורם מתאם להגנת סייבר, אשר יהיה אחראי, בין היתר, על דיווח ל-TSA ול-CISA במקרה של אירוע סייבר ויפקח על גיבוש ויישום תכנית הגנת הסייבר של הארגון. צעדים אלה הם חלק מ"מירוץ" בן 60 יום להגברת האבטחה במגזר התחבורה האמריקאי, במקביל ל"מירוצים" נוספים שמקיימת המחלקה לביטחון המולדת (DHS) במאבק בכופרות ובניסיון להגן על מערכות בקרה תעשייתיות (SCADA).
הגנות נוספות למידע של לקוחות מוסדות פיננסיים: ה-FTC מעלה את רף האכיפה
נציבות הסחר הפדרלית של ארה"ב, המהווה את אחד הגופים הפדרליים האחראים על הגנת הצרכן במדינה, עדכנה את מדיניותה בנוגע לחובותיהם של ארגונים פיננסיים בנוגע להגנת המידע האישי של לקוחות, זאת במסגרת כללי השמירה על נתוני לקוחות (Standards for Safeguarding Customer Information), המוכרים גם כ-Safeguards Rule. השינוי נועד להטמיע כללים נוקשים יותר בקרב מוסדות פיננסיים המעבדים מידע של לקוחות, על ידי התייחסות ממוקדת לאתגרי שמירת המידע שהתגברו משמעותית בשנים האחרונות לאור התרבות מתקפות הסייבר על המגזר הפיננסי. המדיניות החדשה אף מרחיבה את ההגדרה של מוסדות פיננסיים שיהיו מחויבים לה.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, סער אביבי, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס וגיא פינקלשטיין.