דו״ח סייבר שבועי
עדכון שבועי 11.11.2021
עיקרי הדברים
1.קבוצת התקיפה ״מטה משה״ המיוחסת לאיראן ממשיכה לתקוף בישראל ומאיימת בגל תקיפות נוסף. עוד פרטים מהשטח בדוח.
2. רשת מוצרי החשמל MediaMarkt נפרצה, התוקפים דורשים דמי כופר של 240 (!) מיליון דולר.
3. מחלקת המדינה של ארה"ב מציעה פרס בגובה עד 15 מיליון דולר עבור מידע מודיעיני בנוגע לקבוצת כופרה
4. הנשיא ביידן משבח את ה-FBI ומשרד האוצר האמריקאי על תפיסת האקרים מקבוצת Revil שאחראית בין היתר על תקיפת Kaseya ותפיסת 6.1 מיליון דולר.
5. אנו ממליצים לעדכן את המוצרים הבאים: מיקרוסופט (קריטי); מוצרי Palo Alto (קריטי); עדכוני SAP (קריטי); מוצרי Adobe (קריטי); מערכת ההפעלה Nucleus RTOS (קריטי); מערכת -ManageEngine ADSelfService Plus (קריטי); מוצר Citrix Application Delivery Control (קריטי); פלטפורמת Samba (גבוה); מוצרי VMware (גבוה)
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון תוכנה נוסף ל-ManageEngine ADSelfService Plus נותן מענה לחולשה קריטית אשר נוצלה כבר בספטמבר
עדכון אבטחה למערכת ההפעלה Nucleus RTOS נותן מענה ל-13 חולשות ברמות חומרה שונות
עדכון האבטחה החודשי של SAP נותן מענה לחולשות בדרגות חומרה שונות
עדכון אבטחה ל-3 מוצרי Adobe נותן מענה ל-4 חולשות, בהן 2 קריטיות
עדכון אבטחה לתוכנת Citrix Application Delivery Control נותן מענה לשתי חולשות, בהן אחת קריטית
עדכוני אבטחה לפלטפורמת Samba
עדכון האבטחה החודשי של מיקרוסופט נותן מענה ל-55 חולשות בדרגות חומרה שונות
דרכי מיטיגציה לתיקון חולשה ברמת חומרה גבוהה במוצרי VMware
עדכון אבטחה למוצרי Palo Alto נותן מענה ל-10 חולשות, מתוכן אחת קריטית ו-6 ברמת חומרה גבוהה
התקפות ואיומים
Cisco Talos זיהתה קמפיין זדוני המנצל את חולשת ProxyShell ב-Exchange להטמעת הכופרה Babuk
חברת המסחר Robinhood חשפה כי חוותה דלף מידע של כ-7 מיליון משתמשים
ספקית הטכנולוגיה לצבא ארה"ב EWA נפלה קורבן למתקפת סייבר
קבוצת התקיפה האיראנית Lyceum תוקפת ספקיות רשת וטלפון במזרח התיכון ובאפריקה לצורכי ריגול
חברת Aruba נתקפה, תועד דלף מידע רגיש
נוזקה חדשה תוקפת משתמשי נטפליקס, אינסטגרם וטוויטר באנדרואי
השבוע בכופרה
רשת מוצרי החשמל MediaMarkt נפרצה, התוקפים דורשים 240 מיליון דולר כופ
סייבר בישראל
קבוצת התקיפה ״מטה משה״ ממשיכה להכות בחברות ישראליו
סייבר בעולם
מחלקת המדינה של ארה"ב מציעה פרס בגובה עד 15 מיליון דולר עבור מידע מודיעיני בנוגע לקבוצת התקיפה DarkSide
סייבר ופרטיות - רגולציה ותקינה
שני פעילי REvil נעצרו על ידי ממשלת ארה"ב, 6.1 מיליון דולרים הוחרמו
הצעת שר המשפטים לתקן את חוק הגנת הפרטיות אושרה על ידי ועדת השרים לחקיקה
בית המשפט האמריקאי לערעורים: חברת NSO אינה יכולה ליהנות מחסינות כ״סוכנת ממשלתית״
ארה"ב מצטרפת ל"קריאת פריז" לנורמות מוסכמות בתחום הסייבר ומשנה את המדיניות שקבע ממשל טראמפ
הציטוט השבועי
״מסתבר שדווקא אומת הסטארט-אפ לא מוגנת. דווקא במדינה שבה יש עולם הייטק מפואר רוב החברות הציבוריות, בתי החולים, מוסדות הלימוד ועוד לא מוגנים מתקיפות כאלו, ולצערי אנחנו רואים אותן יותר ויותר. היום יש הגנה מתקיפות סייבר רק אם יש לאותו ארגון מספיק כסף או שהוא שייך לגוף בטחוני״
ח״כ מירב בן ארי, יו״ר הוועדה לביטחון בפנים, בדיון בנושא בכנסת ב-09.11.2021
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון תוכנה נוסף ל-ManageEngine ADSelfService Plus נותן מענה לחולשה קריטית אשר נוצלה כבר בספטמבר
בעדכון הקודם, שפורסם ב-7 בספטמבר, תוקנה החולשה הקריטית ב-REST API, אשר אפשרה לתוקף לעקוף מנגנון Auth על ידי שליחת בקשה מיוחדת ל-REST API, שהעניקה לו גישה לנקודות הקצה ברשת של בעלי ה-API. לאחר המעקף הייתה לתוקף גישה ל-RCE. ב-16 בספטמבר, כשבוע וחצי לאחר שחרור הפאץ׳, הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) זיהתה ברשת ישויות שסרקו אחר החולשה, ושניצלו אותה בלפחות 9 ארגונים, בארצות הברית לבדה.
צוות קונפידס ממליץ למשתמשי התוכנה לעדכנה לגרסתה האחרונה.
עדכון אבטחה למערכת ההפעלה Nucleus RTOS נותן מענה ל-13 חולשות ברמות חומרה שונות
מערכת ההפעלה, השייכת לחברת Siemens, נפוצה במיוחד במגזרי הבריאות, התעופה והאנרגיה, ובמוצרי IoT. החולשות שנסגרו בעדכון הן בדרגות חומרה משתנות, בהן כמה שקיבלו ציוני CVSS הנעים בין 8.8 ל-9.8 ועלולות לאפשר הרצת קוד מרחוק, הדלפת מידע וביצוע מתקפת מניעת שירות (DoS).
צוות קונפידס ממליץ למשתמשי המערכת לעדכנה לגרסתה האחרונה, וכן לבחון אמצעי טיפול נוספים, כמפורט בדוח שפרסמה חברת המחקר Forescout בשיתוף עם חברת Medigate.
עדכון האבטחה החודשי של SAP נותן מענה לחולשות בדרגות חומרה שונות
העדכון רלוונטי למגוון מוצרים וסוגר חולשות שקיבלו ציוני CVSS הנעים בין 4.9 ל-9.6 (דרגות חומרה בינוניות עד קריטיות). ניצול החולשות עשוי לאפשר לתוקף להשתלט על מערכת הקורבן. העדכונים רלוונטיים למוצרים הבאים:
SAP ABAP Platform Kernel, גרסאות פגיעות - 7.77, 7.81, 7.85, 7.86.
SAP Commerce, גרסאות פגיעות - 2105.3, 2011.13, 2005.18, 1905.34.
SAP Solution Manager and SAP Focused Run, גרסאות פגיעות - 9.7, 10.1, 10.5, 10.7.
SAP GUI עבור Windows, גרסאות פגיעות - 7.60 PL13, 7.70 PL4.
SAP ERP HCM Portugal, גרסאות פגיעות - 600, 604, 608.
SAP ERP Financial, עבור SAP_APPL גרסאות פגיעות - 600, 602, 603, 604, 605, 606, 616.
SAP ERP Financial, עבור SAP_FIN גרסאות פגיעות - 617, 618, 700, 720, 730.
SAP ERP Financial, עבור SAPSCORE גרסאות פגיעות - 125, S4CORE, 100, 101, 102, 103, 104, 105.
SAP NetWeaver AS עבור ABAP ופלטפורמת ABAP, גרסאות פגיעות - 700, 701, 702,710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.
עדכון אבטחה ל-3 מוצרי Adobe נותן מענה ל-4 חולשות, בהן 2 קריטיות
2 החולשות האחרות הינן ברמת חומרה בינונית. העדכון לתוכנת RoboHelp פותר חולשה קריטית העלולה לאפשר לתוקף להריץ קוד מרחוק (RCE) עם הרשאות המשתמש הנוכחי. העדכון ל-Creative Cloud סוגר שתי חולשות שניצולן עלול לאפשר לתוקף לבצע RCE או מתקפת מניעת שירות (DoS) על האפליקציה. העדכון לאפליקציית InCopy עלול לאפשר לתוקף לבצע עליה DoS.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.
עדכון אבטחה לתוכנת Citrix Application Delivery Control נותן מענה לשתי חולשות, בהן אחת קריטית
החולשה השנייה הינה ברמת חומרה נמוכה. העדכון, שפורסם ב-9 בנובמבר, רלוונטי למערכת ה-ADC ול-Gateway של -Cirtix, אך למרות שאחת החולשות (CVE-2021-22955) שנסגרת בו הינה קריטית, היא טרם נרשמה ב-NIST (המכון הלאומי לתקנים וטכנולוגיה של ארצות הברית). תוקף המנצל את החולשה עלול לבצע מתקפת מניעת שירות (DoS), על ידי ניצול משאבים מוגבר של המערכת דרך שליחת בקשה מהונדסת.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.
עדכוני אבטחה לפלטפורמת Samba
העדכון פותר 8 חולשות בפלטפורמה המבצעת אינטגרציה בין שרתי ומחשבי Linux ו-Unix לבין סביבות Active Directory. החולשות עלולות לאפשר לתוקף לגשת לקבצי סיסמאות ולטיקט Kerberos, ואף להשיג שליטה מלאה בדומיין. החולשה החמורה ביותר (CVE-2020-25722, CVSS 8.8) שנסגרה בעדכון הינה ברמת חומרה גבוהה.
צוות קונפידס ממליץ למשתמשי הפלטפורמה לעדכנה לגרסתה האחרונה.
עדכון האבטחה החודשי של מיקרוסופט נותן מענה ל-55 חולשות בדרגות חומרה שונות
עדכון האבטחה הגדול ששוחרר עבור נובמבר סוגר חולשות ב-Office, ב-Azure, ב-Visual Studio, בסביבת ה-AD של מיקרוסופט ובמוצרים נוספים. 6 מהחולשות המטופלות בעדכון מוגדרות כקריטיות.
צוות קונפידס ממליץ למשתמשי הפלטפורמה לעדכנה לגרסתה האחרונה.
דרכי מיטיגציה לתיקון חולשה ברמת חומרה גבוהה במוצרי VMware
החולשה (7.1 CVE-2021-22048, CVSS) שהתגלתה במנגנון האותנטיקציה IWA היא מסוג הסלמת הרשאות, והיא רלוונטית למוצרים VMware vCenter Server ו-VMware Cloud Foundation. המיטיגציה שפורסמה על ידי החברה מדריכה את המשתמשים להחליף את הגדרות מקור האותנטיקציה ב-SSO מ-IWA (בו מצויה החולשה) לאחד מהמקורות הבאים:
1. Active Directory על פני אותנטיקציית LDAPs.
2. Identity Provider Federation עבור AD FS (רק vSphere 7.0).
צוות קונפידס ממליץ למשתמשי הפלטפורמה לבצע את צעדי המיטיגציה המוצעים.
עדכון אבטחה למוצרי Palo Alto נותן מענה ל-10 חולשות, מתוכן אחת קריטית ו-6 ברמת חומרה גבוהה
העדכון שפורסם ב-10 בנובמבר מתקן 6 חולשות ברמת חומרה גבוהה ב-PAN-OS, אשר ניצולן עלול לאפשר לתוקף להזריק פקודות של מערכת ההפעלה ב-Web Interface, בפרוטוקול SCEP ובעת ביצוע עדכונים, וכן לחשוף Metadata של AWS Endpoint ולבצע מתקפת מניעת שירות (DoS). החולשה הקריטית (9.8 CVSS) ואחת החולשות שרמת חומרתה גבוהה עלולות לאפשר לתוקף להשחית זיכרון.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסתה האחרונה.
התקפות ואיומים
Cisco Talos זיהתה קמפיין זדוני המנצל את חולשת ProxyShell ב-Exchange להטמעת הכופרה Babuk
עוד זיהתה החברה כי הקמפיין מכוון ברובו למשתמשים אמריקאיים, אך נמצאו גם עדויות למספר קטן של מקרים במקומות אחרים, בהם ברזיל, בריטניה, גרמניה ופינלנד. הכופרה Babuk הינה נוזקה ״אלימה״, שכן מלבד הצפנת עמדת הקורבן, היא משבשת את תהליכי הגיבוי של העמדה ומוחקת קבצי גיבוי שלה (Volume Shadow Copies). מ-Cisco Talos נמסר כי נראה שמדובר בתוקף חדש, אשר החל לפעול בסביבות חודש יוני השנה, ואשר לפי שמות הקבצים המופיעים בתקיפותיו כינויו הוא Tortilla. החולשה בשרתי Exchange, הקרויה גם ProxyLogon, ממשיכה להכות גלים מאז שהתגלתה בשלהי פברואר, ואף לאחר שתוקנה בתחילת מרץ. ניצול החולשה המתמשך, כמו בקמפיין שזוהה כעת על ידי Cisco Talos, מתאפשר בשל העובדה שלא כל משתמשי ה-Exchange עדכנו אותו לגרסתו המתוקנת.
חברת המסחר Robinhood חשפה כי חוותה דלף מידע של כ-7 מיליון משתמשים
ב-3 בנובמבר השיג תוקף גישה למערכות תמיכה של החברה, ודרכן הצליח לגשת לכ-5 מיליון כתובות מייל, לקבוצה נוספת של כ-2 מיליון שמות מלאים ולמידע אודות כ-300 משתמשים אחרים, בהם פרטים רגישים, כגון תאריכי לידה ומספרי מיקוד. זאת ועוד, חשבונותיהם של כ-10 לקוחות נחשפו ברמה גבוהה מאוד. התוקף השתמש בשיטות של הנדסה חברתית באמצעות הטלפון, והצליח להביא את אחד מעובדי החברה להעניק לו גישה למערכות תמיכה. חרף כמות המידע הגדולה שהודלפה, Robinhood טוענת שאף מספר ביטוח לאומי (SSN) לא נחשף. החברה אף קיבלה הודעת סחיטה, אך לא פירטה על טבעה (סכום, מסגרת זמן וכן הלאה), והיא מטפלת באירוע ביחד עם Mandiant, חברת סייבר המתמחה ב-IR.
ספקית הטכנולוגיה לצבא ארה"ב EWA נפלה קורבן למתקפת סייבר
חברת Electronic Warfare Associates, המספקת טכנולוגיות הגנה ומוצרי תקשורת, בקרת גישה, אימונים ועוד, הצהירה על התרחשות האירוע לאחר שזיהתה חדירה למערכות המייל שלה ואף גניבה של מידע אישי, חלקו רגיש. עם זאת, החברה ציינה כי ממערכותיה דלפה רק כמות מוגבלת של מידע. מממצאי החקירה עד כה מסתמן כי מטרת התוקף הינה ביצוע הונאה כלכלית והעברת כספי עסקאות של החברה לחזקתו.
קבוצת התקיפה האיראנית Lyceum תוקפת ספקיות רשת וטלפון במזרח התיכון ובאפריקה לצורכי ריגול
על פי מחקר שביצעו החברות Accenture ו-Prevailion, הכנופייה השתמשה בנוזקות בעלות דלת אחורית בשם Milan ו-Shark על מנת לתקוף ספקיות בישראל, במרוקו, בטוניסיה ובערב הסעודית. הנוזקות מאפשרות לתוקפים להריץ פקודות מרחוק על עמדות הקורבנות ולהדליף מהן מידע על ידי ביסוס קשר רציף עם שרת C2 (שרת שליטה ובקרה). לפי הדוח, העמדות שנתקפו עמדו בקשר רציף עם שרתים מסוג זה בין החודשים ספטמבר-אוקטובר 2021, כלומר בפרק הזמן האמור לתוקפים הייתה גישה לעמדות ואפשרות לעקוב ולהוציא מהן מידע. Lyceum, הפעילה משנת 2017, נוהגת לתקוף תשתיות קריטיות למטרות ריגול, בהן חברות המספקות דלק וגז, לאו דווקא במטרה להשביתן או לפגוע במערכות הארגונים הנתקפים. מכיוון שהכנופיה עוקבת באדיקות אחר פרסומיהם של חוקרי אבטחה, היא מעדכנת את קוד הנוזקה שלה בהתאם לדיווחים, על מנת להימנע מזיהוי על ידי מנגנוני האבטחה השונים.
חברת Aruba נתקפה, תועד דלף מידע רגיש
לדברי ספקית שירותי הרשת וה-IT, גורם זר השיג גישה חלקית למידע שהוחזק בענן המרכזי שלה, לרבות מידע רגיש של לקוחות, המפוזר בין שני מאגרי מידע שונים. החברה שלחה ללקוחותיה מיילים בהם יידעה אותם על התקיפה והזהירה מפני דלף מידע אפשרי.
נוזקה חדשה תוקפת משתמשי נטפליקס, אינסטגרם וטוויטר באנדרואיד
הנוזקה, המכונה MasterFred, משתמשת בחלוניות התחברות (Login Overlays) מזויפות, באמצעותן היא גונבת פרטי כרטיסי אשראי של משתמשי האפליקציות. הנוזקה תוקפת גם לקוחות בנקים, בהציגה מגוון שפות בחלוניות ההתחברות. גרסה אחרת של הנוזקה זוהתה כבר ביוני השנה והועלתה ל-VirusTotal, אך בשבוע האחרון זוהתה הגרסה הנוכחית על ידי חוקר הנוזקות אלברטו סגורה, אשר ציין כי היא תוקפת משתמשים בטורקיה ובפולין. חברת Avast, שחקרה את הנוזקה, פרסמה בעמוד הטוויטר שלה את מזהי התקיפה הרלוונטיים, והוסיפה שעל מנת להטמיע את חלוניות ההתחברות המזויפות הנוזקה מנצלת את ה-Application Accessibility Toolkit שמותקן כברירת מחדל במערכת ההפעלה.
השבוע בכופרה
רשת מוצרי החשמל MediaMarkt נפרצה, התוקפים דורשים 240 מיליון דולר כופר
ענקית מוצרי האלקטרוניקה האירופית נדרשה לשלם דמי כופר בסך 240 מיליון דולר, לאחר שהותקפה על ידי קבוצת Hive באמצעות תוכנת כופר שהצפינה את שרתי החברה ואת עמדות הקצה שלה. בניסיון למנוע את התפשטות הכופרה ברשת הארגון הושבת מערך ה-IT שלו, אך נכון לשעה זו מערך המכירות של החברה עודנו פעיל. עם זאת, לא ניתן לשלם באמצעות כרטיסי אשראי, לא מונפקות חשבוניות ולא ניתן לבצע החזרות והחלפות בחנויות שנפגעו כתוצאה מהאירוע. על פי דיווחים בכלי התקשורת באירופה, החברה הורתה לעובדיה להימנע ממגע עם מערכות שהוצפנו ולנתק את קופות החברה מהרשת. במקביל, גורמים שאינם מאומתים פירסמו בטוויטר דיווחים לפיהם 3,100 משרתי החברה נפגעו בתקיפה. למגזין אבטחת המידע BleepingComputers מסרה החברה כי ״המידע אודות האירוע שותף באופן מיידי עם הגורמים הרלוונטיים, אשר מנסים לאתר במהירות האפשרית את המערכות שנפגעו כתוצאה מהאירוע. ייתכן ובחלק מהחנויות תתאפשר כרגע גישה מוגבלת לשירותים מסוימים. חברת MediaMarkt ממשיכה להיות זמינה ללקוחותיה בכל אפיקי המכירה ועובדת במרץ על מנת לוודא כי כל שירותיה יהיו זמינים ללא הגבלות, במהירות האפשרית״.
סייבר בישראל
קבוצת התקיפה ״מטה משה״ ממשיכה להכות בחברות ישראליות
בהמשך לגל התקיפות כנגד ישראל עליו דיווחנו בשבוע שעבר, גם השבוע אנו עדים לתקיפת חברות ישראליות על ידי הקבוצה המכונה Moses Staff. בפרסום שהעלו חברי כנופיית הסייבר לערוצי הטלגרם והטוויטר שלה, נכתב כי הצליחו לפרוץ למחשבי החברות הישראליות AHEC Tax Solutions ,V-On ו-Matitiahu Bruchim Law office. לטענתם, יש בידיהם מידע של לקוחות החברות שנפרצו, לרבות פרטי הזדהות, דוחות כספיים, דוחות מס, חוזים ומידע אישי נוסף. בכדי לספק לכך הוכחה, לפרסום צורפו דוגמאות של מסמכים שנגנבו. מחקירת תקיפות הקבוצה עולה כי היא משויכת בעיקר לפלסטינים, ומציגה עצמה ככזו הדורשת צדק עבור העם הפלסטיני ומטרתה העיקרית היא פגיעה במוניטין של חברות ישראליות. היום, ה-11 בנובמבר, בשעה 09:09 פרסמה הקבוצה כי בתוך 48 שעות תחשוף מידע של חברות נוספות. Moses Staff אינה שולחת בקשות כופר לקורבנותיה ואינה נותנת להם הזדמנות לנהל מו״מ למניעת דליפת המידע הגנוב. בנוגע לאופן הפעולה של הקבוצה, חקירות פורנזיות העלו כי היא מריצה קטע קוד הסורק את מרחב כתובות הרשת הישראלי למציאות חולשות ProxyLogon בשרתי Exchange שאינם מעודכנים. משמצאה את מבוקשה, הקבוצה משתמשת בכלים פנימיים לביצוע סריקות לכתובות פנימיות, ואז מנצלת את החולשה בכדי לחדור לשרת ה-Exchange של החברה ולגנוב ממנו מסמכים ומידע אישי (שרת ה-Exchange משמש לפעילות הדואר האלקטרוני בארגון, ולכן מכיל מידע אישי רב, המצוי בהתכתבויות בין החברה ללקוחותיה). פעמים רבות, ההסתננות לשרת ה-Exchange מאפשרת לקבוצת התקיפה לחדור לשאר הרשת הארגונית ולהצפין מחשבים ושרתים, זאת על ידי ניצול הרשאות Admin שאינן מנוהלות כראוי לשם יצירת משתמשים חדשים ב-Active Directory. עוד מנצלת הקבוצה רשתות של ארגונים שמהן נעדרת שכבת הגנה בסיסית. עד כה נראה כי רבים מהארגונים שהותקפו על ידי Moses Staff מתקשים להתאושש מהתקיפה, כאשר הדבר דורש מהם הקצאת משאבים כלכליים ואנושיים רבים על מנת שיוכלו לשוב לפעילות מינימלית לאחר התקיפה. מזהים רלוונטיים הועברו למערך הסייבר הלאומי, ומומלץ להטמיעם במערכות ההגנה של ארגונים.
סייבר בעולם
הפרס יוענק למי שיוכל לספק לארגון מידע בנוגע לווריאנטים של הקבוצה, אשר אחראית, בין היתר, לתקיפת Colonial Pipeline. קבוצה זו עברה וריאנטים שונים, האחרון הידוע הינו BlackMatter, שחדל מפעילותו לפני מספר שבועות. זאת ועוד, ארצות הברית מציעה פרס של עד 5 מיליון דולר למי שיסייע להביא למעצר או הרשעה של חבריה.
סייבר ופרטיות - רגולציה ותקינה
שני פעילי REvil נעצרו על ידי ממשלת ארה"ב, 6.1 מיליון דולרים הוחרמו
משרד המשפטים האמריקאי הודיע על פעולות אכיפה שבוצעו נגד שני חשודים בהשתתפות בפשיעה מקוונת של קבוצת התקיפה REvil. הפעיל הראשון הינו האזרח אוקראיני ירוסלב וסינסקי (22), שנעצר בחשד שעבד עם קבוצת הסייבר, העומדת מאחורי התקיפות המשמעותיות ביותר בשנים האחרונות. מעצרו של וסינסקי מתייחס בעיקר לתקיפתה של חברת Kaseya. הפעיל השני הינו האזרח הרוסי יבגני פוליאנין (28), שנעצר בחשד שתמך אף הוא בפעילותה של REvil. הכספים שהחורמו נמצאו ברשותו של פוליאנין, ומקורם, לכאורה, בדמי כופר ששולמו כתוצאה ממתקפות בהן היה מעורב. פעולת האכיפה בה נעצרו השניים קשורה ישירות לנאומו של הנשיא ג׳ו ביידן בבית הלבן, בו הצהיר כי ארצות הברית לא תיוותר אדישה נוכח עוינות במרחב הסייבר, והיא תנקוט בפעולות מחמירות כנגד פעולות מסוג זה.
הצעת שר המשפטים לתקן את חוק הגנת הפרטיות אושרה על ידי ועדת השרים לחקיקה
ב-7 בנובמבר אישרה הוועדה את הצעתו של שר המשפטים גדעון סער לתיקוני חקיקה שיהוו רפורמה בתחום הגנת הפרטיות בישראל ובפעילותה של הרשות להגנת הפרטיות. הרפורמה תגביר את סמכויות האכיפה והפיקוח של הרשות, לרבות העלאת גובה הקנסות שתוכל הרשות להטיל על ארגונים. בעניין הרפורמה הצפויה, אמרה מ"מ ראש הרשות להגנת הפרטיות ד"ר שלומית ווגמן כי ״על רקע מגיפת תקיפות הסייבר על מאגרי מידע רגישים בישראל ודליפת מידע אישי על אזרחים, נחיצות תיקון החוק ברורה. הגברת סמכויות האכיפה המנהלית של הרשות, בדומה למקובל בעולם, הכרחית לשם שיפור ההגנה על הציבור, מניעת אירועי דלף עתידיים ויצירת הרתעה ותמריץ בקרב גורמים המחזיקים מידע רגיש להגן עליו כנדרש בחוק״.
בית המשפט האמריקאי לערעורים: חברת NSO אינה יכולה ליהנות מחסינות כ״סוכנת ממשלתית״
ב-8 בנובמבר בית המשפט לערעורים בסן פרנסיסקו דחה פה אחד את טענת החברה הישראלית לפיה היא חסינה מתביעה משום שפעלה כסוכנת ממשלתית. טענה זו התבססה על השימוש שעשו מספר ממשלות בשירותיה של NSO במסגרת פעילות אנטי-טרוריסטית ופעילויות אחרות שלהן. החלטת בית המשפט מאפשרת כעת לחברת פייסבוק להמשיך בתביעתה נגד NSO, בטענה כי האחרונה ניצלה חולשה באפליקציית WhatsApp (השייכת לפייסבוק) להתקנת תוכנות זדוניות, שבאמצעותן בוצע מעקב אחר 1,400 אנשים, בהם פעילי זכויות אדם, עיתונאים ואזרחים שמחו נגד המשטר במדינתם (ראו להלן תרשים המתאר את ניצול החולשה). פעילותה של NSO שנויה במחלוקת, למרות שהיא פועלת בהתאם להיתר יצוא מטעם משרד הבטחון הישראלי. בתוך כך, ממשל ביידן הוסיף השבוע את NSO לרשימת החברות הפסולות לקבלת טכנולוגיות מארצות הברית.
אורי ברקוביץ, "למה משרד הביטחון מגן על חברת הסייבר ההתקפי NSO", גלובס, 15.1.2020
ארה"ב מצטרפת ל"קריאת פריז" לנורמות מוסכמות בתחום הסייבר ומשנה את המדיניות שקבע ממשל טראמפ
בהמשך לקידום מדיניות של הרחבת שיתופי הפעולה הבינלאומיים בתחום הגנת הסייבר, פרסם הבית הלבן הודעה לפיה ארצות הברית מצטרפת ל"קריאת פריז לאמון ובטחון במרחב הסייבר" (Paris Call for Trust and Security in Cyberspace). אל יוזמתה של ממשלת צרפת מ-2018 הצטרפו עד כה עשרות ממשלות ומאות תאגידים, לרבות מיקרוסופט וגוגל (מדינת ישראל טרם הצטרפה). במסמך היוזמה מפורטים תשעה עקרונות להתנהלותן של מדינות וארגונים פרטיים במרחב הסייבר, כגון הגנה על תהליכי בחירות ועל זכויות יוצרים ופיתוח נורמות מוסכמות. זאת ועוד, במסגרת ״קריאת פריז״ מתקיימות קבוצות עבודה בנושאים הרלוונטיים. החלטתה של ארצות הברית להצטרף כעת ליוזמה מתקבלת בשעה שהמדינה מרחיבה את שיתופי הפעולה הבינלאומיים שלה ומחפשת סיוע בפעילותה נגד מבצעי מתקפות כופר ממזרח אירופה ומרוסיה, המצליחים לפרוץ לחברות גדולות במערב.
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רחל ביניאשוילי, רז ראש, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, סער אביבי, רוני עזורי, עמית מוזס וגיא פינקלשטיין.