דו״ח סייבר שבועי
עדכון שבועי 15.12.2022
עיקרי הדברים
-
ישראל: אתר עיריית אשדוד נפרץ ו״הוסב״ לאתר שהתחזה לפלטפורמת התשלומים Bit; קבוצת התקיפה האיראנית MuddyWater בקמפיין חדש נגד מטרות ישראליות ממגזרי הביטוח ואירוח.
-
בתי חולים תחת מתקפה: רשת בתי החולים האמריקאית One Brooklyn נפלה קורבן למתקפת כופרה; בית החולים הצרפתי ״אנדרה מיניו״ עודנו תחת מתקפת סייבר; בדלהי בית חולים נוסף חווה מתקפת סייבר.
-
ה-CISA מפרסמת מסמך ייעוץ לזיהוי והימנעות ממתקפות פישינג - 70% מהצרופות והקישורים הזדוניים לא נחסמים על ידי שירותי הגנת רשתות.
-
פורסם ההסדר החדש בין ארה"ב והאיחוד האירופי בנוגע להעברת מידע אישי: מקס שרמס טוען שלא יעמוד בביקורת של בית המשפט לצדק.
-
*אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Apple (חולשת Zero-day); מוצרי מיקרוסופט (חולשת Zero-day); מערכות EDR של Microsoft ,Trend Micro ו-Avast & AVG (חולשת Zero-day); מוצרי SAP (קריטי); המוצר FortiOS (קריטי); נתבי MikroTik (קריטי); המוצר vRealize Network Insight של VMware (קריטי); טלפוני IP והמוצר ISE של Cisco (גבוה); הדפדפן Mozilla (גבוה); הדפדפן Google Chrome (גבוה).*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
Cisco תפרסם עדכון אבטחה לחולשה ברמת חומרה גבוהה שנמצאה ב-Cisco IP Phone
עדכון אבטחה לנתבי MikroTik נותן מענה לשתי חולשות קריטיות
חולשות Zero-day מאפשרות להפוך כלי הגנה לנוזקות הרסניות המשמידות מידע
עדכוני אבטחה של FortiGuard למוצר FortiOS נותנים מענה לחולשה קריטית
עדכון האבטחה החודשי של מיקרוסופט נותן מענה ל-51 חולשות, בהן 6 חולשות קריטיות ו-2 חולשות Zero-day
עדכון אבטחה של Cisco ל-Cisco ISE נותן מענה לחולשה ברמת חומרה גבוהה
עדכון אבטחה לדפדפן Google Chrome נותן מענה ל-8 חולשות, בהן 4 ברמת חומרה גבוהה
עדכון אבטחה למוצר VMware vRealize Network Insight נותן מענה לשתי חולשות, אחת מהן קריטית
עדכוני אבטחה של Mozilla לכמה ממוצריה נותנים מענה למספר חולשות, חלקן ברמת חומרה גבוהה
עדכון אבטחה של Apple נותן מענה לחולשת Zero-day חדשה שהתגלתה בכמה ממוצריה
עדכון אבטחה למוצרי SAP נותן מענה ל-19 חולשות, 5 מהן קריטיות
התקפות ואיומים
גרסה חדשה לנוזקה Janicab
שיטה חדשה מאפשרת לעקוף מערכות WAF מהמובילות בתעשייה
נוזקת Zombinder החדשה ״מצמידה״ נוזקות לאפליקציות לגיטימיות של Android
החל מאוגוסט נצפתה עלייה בשימוש בנוזקה Truebot נגד ארגונים
נוזקה חדשה פוגעת בפלטפורמת VMware ESXi
תוקפים משתמשים בקובצי תמונה להפצת הנוזקה Qakbot במחשבים מבוססי Windows
השבוע בכופרה
אסטרטגיות חדשות לסחיטות תשלומי כופר מארגונים במגזר הבריאות
כופרת Royal פוגעת במגזר הבריאות האמריקאי
סייבר בעולם
דוח חדש חושף תשתית לחטיפת נתונים השייכת לקבוצה הפועלת למען אינטרסים רוסים
משרד הבריאות האמריקאי: מידע אישי של יותר מחצי מיליון מטופלים נחשף במתקפת הכופרה על CommonSpirit שהתרחשה באוקטובר
דנמרק: אתרי משרד ההגנה נפגעו במתקפת DDoS
ה-CISA מפרסמת מסמך ייעוץ לזיהוי והימנעות ממתקפות פישינג; 70% מהצרופות והקישורים הזדוניים לא נחסמים על ידי שירותי הגנת רשתות
ענקית הטכנולוגיה הימית Voyager, המספקת שירותי ניווט לתעשיית הספנות, נפגעה במתקפת סייבר
דלף מידע שני השנה לחברת Uber; נחשף מידע של עשרות אלפי עובדים
רשת בתי החולים One Brooklyn נפלה קורבן למתקפת כופרה
צרפת: בית החולים ״אנדרה מיניו״ עודנו תחת מתקפת סייבר
דלהי: בית החולים הממשלתי Safdarjung מדווח שחווה מתקפת סייבר
סייבר בישראל
אתר עיריית אשדוד נפרץ ו״הוסב״ לאתר שהתחזה לפלטפורמת התשלומים Bit
קבוצת התקיפה האיראנית MuddyWater בקמפיין פישינג חדש נגד מטרות ישראליות ממגזרי הביטוח והאירוח
סייבר ופרטיות - רגולציה ותקינה
משילות תאגידית בהגנת סייבר: ממחקר של אוניברסיטת הרווארד עולה שחברות בארה״ב מתקדמות באיטיות לחשיפה ציבורית של סיכוני סייבר בהתאם לרגולציה
פורסם ההסדר החדש בין ארה"ב והאיחוד האירופי בנוגע להעברת מידע אישי: שרמס טוען כי ההסדר לא יעמוד בביקורת של בית המשפט לצדק
כנסים
הציטוט השבועי
״יש ערך מציל חיים בדיאלוג בנושא הגנת סייבר ובכל מקרה המפתח הוא תמיד לדבר - לפתוח ערוצי שיח ללמידה וסיוע הדדי״
ראש מערך הסייבר של איחוד האמירויות ד"ר מוחמד אלכוויתי, פסגת הסייבר האזורית הראשונה, 7.12.22.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
Cisco תפרסם עדכון אבטחה לחולשה ברמת חומרה גבוהה שנמצאה ב-Cisco IP Phone
העדכון יסגור חולשה (CVE-2022-20968, CVSS 8.1) מסוג Stack overflow, שמקורה באימות לא מספק של קלט של פקטות המתקבלות מ-Cisco Discovery Protocol, שהינו כלי לגילוי רשת המסייע למנהלי רשתות לזהות התקני Cisco שכנים. החולשה, הרלוונטית לסדרות 7800 ו-8800 של המוצר (מלבד סדרה 8821), עלולה לאפשר לתוקף שאינו מאומת להריץ קוד מרחוק (RCE) ולבצע מתקפת מניעת שירות (DDoS). נכון לכתיבת שורות אלה, טרם פורסמו עדכוני אבטחה או Workarounds.
צוות קונפידס ממליץ למשתמשי המוצר לעקוב אחר פרסומי החברה ולהטמיע את העדכון מיד עם שחרורו.
עדכון אבטחה לנתבי MikroTik נותן מענה לשתי חולשות קריטיות
העדכונים סוגרים שתי חולשות חדשות (CVE-2022-45313, CVSS 9.8; CVE-2022-45315, CVSS 9.8) שהתגלו במוצר ועלולות לאפשר לתוקף לקרוא מהזיכרון מידע על תהליכים מסוימים (Out-of-bounds Read), ובכך לאפשר למשתמש מאומת להריץ קוד מרחוק (RCE) על הנתב.
צוות קונפידס ממליץ למשתמשים בנתבי MikroTik לעדכנם לגרסתם האחרונה (7.6) ולהגביל את הגישה אליהם, בין אם ב-SSH או ב-HTTPS, לכתובות IP פנימיות או באמצעות VPN בלבד.
חולשות Zero-day מאפשרות להפוך כלי הגנה לנוזקות הרסניות המשמידות מידע
צוות המחקר של SafeBreach חשף שיטה חדשנית לניצול הרשאותיהן של מערכות הגנה מסוג EDR ואנטי-וירוס למחיקת קבצים על העמדה שאין אליהם גישה. למעשה, השיטה גורמת למערכות ההגנה להתנהג כמו נוזקת Wiper (נוזקה משמידת מידע) בעלת הרשאות מערכת. במחקר, בו נבחנו מוצרים מובילים, כגון SentinelOne ,Trend Micro ואחרים, התגלה כי כולם פגיעים לחולשה. השיטה האמורה אינה דורשת משתמש בעל הרשאות, אלא מסתמכת על משתמש המחקה את הנתיב לקבצים הלגיטימיים שהוא מעוניין למחוק בתוך תיקייה אליה יש לו הרשאות כתיבה. אל תוך נתיב זה כותב המשתמש קובץ זדוני, תוך הגדרת הרשאות ה-File-sharing כ״כבוי״. לאחר מכן מופעל הקובץ הזדוני, ובתגובה לכך מערכות ההגנה מכניסות אותו להסגר. ואולם, בשל הגדרות ה-File-sharing נדרש אתחול להשלמת הפעולה, שלפני ביצועו המשתמש מוחק את כל נתיב הקובץ שכתב בתוך התיקייה עם הנוזקה, ואף יוצר Junction - פונקציית מערכת המשמשת כ-Symlinks וניתנת ליצירה על ידי משתמשים ללא הרשאות במערכת. ה-Junction שנוצר מוביל לקבצים הלגיטימיים המיועדים למחיקה. לאחר מכן המשתמש מבצע אתחול, כאשר עם הדלקות המחשב מחדש נמחק הנתיב שבו הייתה קיימת הנוזקה (כלומר, הקובץ הזדוני), ובמקומו מופיע Junction לנתיב הקבצים הלגיטימיים. השיטה מנצלת את חולשות ה-Zero-day הבאות, שנסגרו בעדכוני אבטחה מטעם הספקים הרלוונטיים:
Microsoft: CVE-2022-37971
Trend Micro: CVE-2022-45797
Avast & AVG: CVE-2022-4173
צוות קונפידס ממליץ למשתמשי המוצרים האמורים לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכוני אבטחה של FortiGuard למוצר FortiOS נותנים מענה לחולשה קריטית
החולשה (CVE-2022-42475, CVSS 9.3) שנסגרה ב-FortiOS SSL-VPN היא מסוג Heap-based Buffer Overflow, והיא עלולה לאפשר לתוקף מרוחק שאינו מאומת להריץ קוד שרירותי. לדברי מערך הסייבר הלאומי, החולשה מנוצלת באופן פעיל גם בארץ ישראל, אך על פי Fortinet, למרות שהעדכונים שפורסמו סוגרים אותה - אין בנמצא Workarounds רלוונטיים. בתוך כך, חברת Olympe Cyberdefense פרסמה את האינדיקטורים לניצול פעיל של החולשה, בהם זיהוי בלוגים של המידע הבא: Logdesc="Application crashed", msg="[...] application:sslvpnd, ,signal 11 received, וכן זיהוי של הקבצים הבאים במערכת ההפעלה של FortiGuard:
data/lib/libips.bak/
data/lib/libgif.soq/
data/lib/libiptcp.so/
data/lib/libipudp.so/
data/lib/libjepg.so/
var/.sslvpnconfigbk/
data/etc/wxd.conf/
flash/
הרשימה המלאה של הגרסאות הפגיעות, לצד אלה המעודכנות, מצויה כאן.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם לגרסתו האחרונה.
עדכון האבטחה החודשי של מיקרוסופט נותן מענה ל-51 חולשות, בהן 6 חולשות קריטיות ו-2 חולשות Zero-day
עדכוני החברה לחודש דצמבר רלוונטיים למוצרים Windows 10 ו-Windows 11 וסוגרים 23 חולשות העלולות לאפשר הרצת קוד מרחוק (RCE), וכן 19 חולשות העלולות לאפשר העלאת הרשאות, 3 חולשות העלולות לאפשר גישה למידע, 3 חולשות העלולות לאפשר מתקפת מניעת שירות (DDoS), חולשה העלולה לאפשר התחזות למשתמש ו-2 חולשות העלולות לאפשר מעקף אבטחה. כמו כן, אחת מחולשות ה-Zero-day נצפתה מנוצלת על ידי תוקפים. חולשה זו (CVE-2022-44698) מאפשרת מעקף של רכיב האבטחה ב-Windows SmartScreen, על ידי ייצור מסמכי Office הכוללים פקודות הרצה, מבלי שמערכת ההפעלה תדע להתריע על קבצים אלה כחשודים.
צוות קונפידס ממליץ למשתמשים במערכות ההפעלה האמורות לעדכן את החומרה שלהן באופן מיידי לגרסתה האחרונה.
עדכון אבטחה של Cisco ל-Cisco ISE נותן מענה לחולשה ברמת חומרה גבוהה
החולשה (CVE-2022-20822, CVSS 7.1) שהתגלתה ב-Cisco Identity Services Engine עלולה לאפשר לתוקף מרוחק שאינו מאומת להוריד ולמחוק קבצים במכשירים נגועים, ומקורה בחוסר באימות של קלט המסופק ממשתמשים. החולשה, שרלוונטית רק לגרסאות 3.1 ו-3.2 של המוצר ואינה משפיעה על גרסאות קודמות שלו, ניתנת לניצול על ידי שליחת בקשת HTTP זדונית, אך לדברי Cisco אין עדויות לניצולה.
צוות קונפידס ממליץ למשתמשי גרסה 3.1 של המוצר לבצע עדכון לגרסה 3.1P5 ואת משתמשי גרסה 3.2 לבצע עדכון לגרסה 3.2P1.
עדכון אבטחה לדפדפן Google Chrome נותן מענה ל-8 חולשות, בהן 4 ברמת חומרה גבוהה
כל החולשות שנסגרו בעדכון שפורסם ב-13 בדצמבר עבור מחשבים אישיים ומכשירים מבוססי Android הן מסוג Use-After-Free, החמורה שבהן (CVE-2022-4436) קיבלה ציון CVSS של 8.8. שאר החולשות הן בדרגת חומרה בינונית או נמוכה.
צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו לגרסתו האחרונה (108.0.5359.124) מיד עם פרסומה.
עדכון אבטחה למוצר VMware vRealize Network Insight נותן מענה לשתי חולשות, אחת מהן קריטית
החולשה הקריטית שנסגרה בעדכון (CVE-2022-31702, CVSS 9.8) עלולה לאפשר לתוקף בעל גישת רשת למוצר להזריק פקודות ללא צורך באימות מול המערכת, על זאת עקב חולשה ב-REST API שלה. החולשה השנייה (CVE-2022-31703, CVSS 7.5), שרמת חומרתה גבוהה, היא מסוג Directory Traversal ומקורה גם הוא ב-REST API. החולשה עלולה לאפשר לתוקף לקרוא קבצים מהשרת עליו מותקנת המערכת.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.
עדכוני אבטחה של Mozilla לכמה ממוצריה נותנים מענה למספר חולשות, חלקן ברמת חומרה גבוהה
4 חולשות ברמת חומרה גבוהה נסגרו במוצרים Mozilla Thunderbird ו-Mozilla Firefox ESR, בכל הגרסאות הקודמות לגרסה 102.6:
CVE-2022-46880 - חולשה מסוג Use-After-Free ב-WebGL, הנובעת מחוסר בדיקה של Tex units.
CVE-2022-46872 - חולשה מסוג Arbitrary file read, העלולה לאפשר לתוקף לקרוא קבצים במערכת.
CVE-2022-46881 - חולשה מסוג השחתת זיכרון ב-WebGL, הנובעת מחוסר אופטימיזציה ב-WebGL.
CVE-2022-46878 - תיקון לבאגים במערכת הזיכרון של Firefox 108 ושל Firefox ESR 102.6.
4 חולשות ברמת חומרה גבוהה נסגרו במוצר Mozilla Firefox, בכל הגרסאות הקודמות לגרסה 108:
CVE-2022-46871 - עדכון לספרייה החיצונית libusrsctp.
CVE-2022-46872 - חולשה מסוג Arbitrary file read, העלולה לאפשר לתוקף לקרוא קבצים במערכת.
CVE-2022-46879 - תיקון לבאגים במערכת הזיכרון של Firefox 108.
שאר החולשות שנסגרו בעדכונים הן ברמת חומרה בינונית.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.
עדכון אבטחה של Apple נותן מענה לחולשת Zero-day חדשה שהתגלתה בכמה ממוצריה
העדכון, שפורסם ב-13 בדצמבר, סוגר חולשה (CVE-2022-42856) מסוג Type Confusion במוצרים iOS ,iPadOS ,macOS ,tvOS ו-Safari. מקור החולשה במנוע ה-WebKit browser, וניצולה כרוך בעיבוד בקשה זדונית הנשלחת למערכת, באופן העלול להוביל להרצת קוד זדוני. לדברי Apple, החולשה מנוצלת באופן פעיל נגד גירסאות iOS הקודמות לגרסה 15.1. למרות שלא נמסרו פרטים רבים על אופן ההדבקה בקוד הזדוני, ככל הנראה ההדבקה הראשונית מבוססת על הנדסה חברתית או התקפת ״בור מים״ (Watering hole) נגד משתמשים המבקרים באתר אינטרנט זדוני. יצויין כי גם דפדפני צד ג׳, כגון Google Chrome ,Mozilla Firefox ו-Microsoft Edge, נדרשים לעבוד עם WebKit, בהתאם להגבלות של Apple, ולכן חשופים לחולשה. החולשה תוקנה בגרסאות המוצרים הבאות: iOS 15.7.2 ,iPadOS 15.7.2 ,macOS Ventura 13.1 ,tvOS 16.2 ו-Safari 16.2.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.
עדכון אבטחה למוצרי SAP נותן מענה ל-19 חולשות, 5 מהן קריטיות
לסגירת אחת מהחולשות הקריטיות (טרם ניתן CVE) עודכנה אופציית הדפדפן במוצר SAP Business Client, המבוסס על מנוע ה-Chromium של Google. למרות שהחברה לא מסרה פרטים על החולשה, היא קיבלה את ציון החומרה הגבוה ביותר, CVSS 10.0. שאר החולשות רלוונטיות למוצרים באים:
SAP Business Planning and Consolidation
SAP BASIS
SAP NetWeaver Process Integration
SAP Commerce
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.
התקפות ואיומים
גרסה חדשה לנוזקה Janicab
דוח חדש של Securelist, צוות חקירות הסייבר של חברת Kaspersky, מציג גרסה חדשה של Janicab, שנמצאה כאשר החוקרים חיפשו אחר פריצות ידועות פחות של קבוצת ההאקרים DeathStalker, המשתמשת בנוזקה. מ-2015 מתמקדת הקבוצה במשרדים משפטיים ופיננסים, ולאחרונה תקפה גם סוכנויות נסיעות במזרח התיכון ובאירופה, לרבות במצרים, בגיאורגיה, בערב הסעודית, באיחוד האמירויות הערביות ובבריטניה. Janicab הוצגה לראשונה בשנת 2013 כנוזקה המסוגלת לפעול בתוך מערכות ההפעלה macOS ו-Windows, ואשר מכילה פונקציות בסיסיות להסרת והוספת קבצים ל-Registry ולהורדת כלים נוספים, תוך התחמקות ממערכות ניטור. שיטת ההדבקה ב-Janicab מתבססת על מייל פישינג המכיל קובץ LNK, שהינו קובץ קיצור של Windows שמכיל ארכיון של קובץ ZIP. לדברי החוקרים, עוד מ-2015 DeathStalker משתמשת ב-DDR (שירותי אינטרנט לגיטימיים המשמשים כשרת C&C) של YouTube ,WordPress ו-+Google ובתשתיות נלוות, תוך שימוש עקבי ב-YouTube כ-DDR, למרות קיומם של קישורים לשירותי אינטרנט אחרים בהגדרות הנוזקה, שאינם בשימוש (למשל קישורים ל-Google+, שלפי החוקרים השימוש בהם הופסק באפריל 2019). מהשוואה שערכו החוקרים בין גרסאות Janicab השונות, התגלה אילו פונקציות נוספו לאורך מחזור הפיתוח של הנוזקה ואילו נשמרו כדי להתחמק מבקרות אבטחה.
צוות קונפידס ממליץ להזין במערכות הניטור של ארגונים את מזהי התקיפה (IOCs) המופיעים בדוח.
שיטה חדשה מאפשרת לעקוף מערכות WAF מהמובילות בתעשייה
צוות המחקר Team82 של חברת Claroty פיתח שיטה המאפשרת לעקוף מערכות Web Application Firewall באמצעות שימוש בבקשות מסוג JSON, שהינו פורמט סטנדרטי לקבצים ולהחלפת מידע, שנמצא בשימוש נפוץ במידע שנשלח משרתים לאפליקציות אינטרנטיות. למרות שמאגרי מידע מסוג SQL תומכים ב-JSON מזה כעשור, ו-Databases מודרניים תומכים בו כברירת מחדל, למערכות של שירותי ומכשירי WAF טרם נוספה תמיכה ב-JSON כברירת מחדל. אי לכך, Team82 ניסח SQL Injection הכולל JSON, שבאמצעותו הצליח לעקוף את האבטחה המוצעת על ידי WAFs. באמצעות שיטה זו עלה בידי Team82 לקבל סשנים של משתמשים, מפתחות SSH, ״האשים״ של סיסמאות, טוקנים וקודי אימות. במחקרו התמקד הצוות בשתי גרסאות של WAF, הראשונה היא גרסת On-premise של השרת cnMaestro. לאחר מעקף של שלוש מגבלות הצליחו החוקרים לפרוץ אל המערכת, כל זאת באמצעות ניסוח בקשה ייעודית שכללה JSON ואפשרה להם לגשת לכל מידע שבחרו ולהורידו. לאחר מכן פנה הצוות ליישום הטכניקה על גרסאות ענן של Cambium. שם, הבינו החוקרים, הבקשות נחסמות מעצם זיהויין כ-SQL, ועל כן שלחו את אותה בקשה עם Syntax של JSON. ואכן, בקשות אלה לא נדחו על ידי ה-WAF, שכן מדובר בבקשות SQL לגיטימיות. Team82 אף הרחיב את מחקרו לשירותי WAF פופולריים, כגון Palo Alto ,F5 Big-IP ,Amazon AWS ELB ,Cloudflare ו-Imperva, ומצא כי כולם פגיעים לאותה חולשה. החברות הרלוונטיות יודעו על דבר הפגיעות, ומאז עדכנו את מוצריהן, כך שיתמכו ב-Syntax מסוג JSON בתוך התהליכים המנטרים בקשות SQL Injection.
נוזקת Zombinder החדשה ״מצמידה״ נוזקות לאפליקציות לגיטימיות של Android
ממחקר של חברת אבטחת המידע ThreatFabric עולה כי פלטפורמה חדשה ברשת האפלה המכונה Zombinder מאפשרת לתוקפים ״להצמיד״ נוזקות לאפליקציות באופן שמדביק את מכשיר הקורבן עם התקנת יישומונים לגיטימיים, תוך שמירת הפונקציונליות המלאה של האפליקציות המקוריות, על מנת שלא לעורר חשד. קמפיין הפצת הנוזקות מתבסס על התחזות לפורטל הרשאות לחיבור לרשת WiFi, בדמותו של דף נחיתה המסייע למשתמשים להתחבר לאינטרנט, כביכול. בפועל, באתר הזדוני מתבקש הקורבן להוריד גרסה מסוימת של Windows, או של Adware (תוכנת פרסום) של האפליקציה, כאשר עם לחיצה על כפתור "הורד עבור Windows" מורדת נוזקה עבור מערכת הפעלה זו. במסגרת הקמפיין נדבקו עד כה אלפי משתמשים בנוזקות שונות, אך עובדה מעניינת במיוחד היא זו לפיה Zombinder מציעה את שירותיה למכירה ברשת האפלה, בדמותו של קישור APK זדוני אל נוזקות שנועדו להדבקת יישומוני Android לגיטימיים. חבילות ה-APK המשמשות בקמפיין משתנות, כאשר ThreatFabric איתרה אפליקציית סטרימינג מזויפת לשידורים חיים של משחקי כדורגל וגרסה של אפליקציית אינסטגרם, שלשתיהן הצמידה Zombinder נוזקה על ידי הוספת מטעין נוזקות לקוד של האפליקציה. לדברי ספק השירות של Zombinder, ה-App Bundles הזדוני שנוצרו עם פלטפורמת Zombinder אינם ניתנים לזיהוי בזמן ריצת הנוזקה ברקע על העמדה הנגועה, וביכולתם לעקוף התראות של Google Protect ושל אנטי-וירוסים הפועלים במכשירי היעד. במסגרת הקמפיין מורד אל מכשיר הקורבן מטען של נוזקת Ermac עבור Android, המסוגלת לבצע רישום מפתחות Registry ולגנוב מיילים מ-Gmail, קודי אימות דו-שלבי (2FA) ומפתחות פרטיים (Seed phrases) של ארנקי קריפטו. על הנוזקות המותקנות באפליקציות נמנות, בין היתר, Erbium ,Laplas Clipper ו-Aurora Infostealer, ובהתחשב בכך שיש חפיפה ביכולותיהן, נראה שהתוקפים מתנסים בכלים שונים על מנת לבחון איזה מהם משרת את מטרותיהם באופן מיטבי. לדברי ThreatFabric, מגוון הנוזקות הרחב המסופק על ידי אותם דפי נחיתה עשוי להצביע על כך ששירות צד שלישי יחיד להפצת נוזקות משרת מספר גורמי איום.
החל מאוגוסט נצפתה עלייה בשימוש בנוזקה Truebot נגד ארגונים
הנוזקה Truebot, שזוהתה לראשונה ב-2017 בשימוש קבוצות התקיפה TA505 ו-Silence Group, המתמקדות בעיקר בחברות פיננסיות, אוספת מידע ממכשיר הקורבן ומורידה כלי תקיפה נוספים, כגון Cobalt Strike ,FlawedGrace ,Telepo והכופרה Clop, המאפשרים גישה מרוחקת אל המכשיר, יצירת דלת אחורית, חיפוש אחר חולשות במערכת, העברת מידע ממנה לשרת אחורי והצפנה של קובצי מערכת. חוקרי אבטחת הסייבר של Cisco Talos מצאו כי התוקפים הצליחו להשתיל את הנוזקה ביותר מ-1,500 מערכות ברחבי העולם, רובן במקסיקו, בברזיל ובפקיסטן.
צוות קונפידס ממליץ לאנשי IT לפעול להוספת מזהי התקיפה (IOCs) המופיעים בדוח למערכות ההגנה של ארגוניהם, להעלות בקרב העובדים את המודעות למייל פישינג, להשתמש במערכות הגנה החוסמות גישה לאתרי אינטרנט זדוניים, לחסום הרשאות לתיקיות ומסמכים לפי צרכי העובדים ולחלק הרשאות גבוהות בין מספר משתמשים.
נוזקה חדשה פוגעת בפלטפורמת VMware ESXi
מאז 2019, מוצרי VMware ESXi שאינם מעודכנים מהווים מטרה לתקיפות, תוך ניצול שתי חולשות (CVE-2019-5544 ו-CVE-2020-3992) שהתגלו ב-OpenSLP של המוצר, ושמקורן בזיכרון המערכת. VMware ESXi הינה פלטפורמה וירטואלית להרצת מספר מכונות במקביל. ככזו, הגיבויים של המכונות הוירטואליות (ה-Images) מאוחסנים על גבי הדרייברים הפיזיים של ה-VMware ESXi, בעוד שקובצי מערכת ההפעלה מאוחסנים על גבי ה-RAM (זיכרון אקראי המשמש, לרוב, לאחסון נתוני עבודה וקוד המערכת). דבר זה מביא לכך שלאחר אתחול המכשיר, רק מספר קובצי מערכת ספציפיים מופעלים מחדש אוטומטית. לכן, לאחר שתוקף מצליח לחדור למערכת ולהשיג בה שליטה באופן המאפשר לו להריץ בה פקודות מרחוק, יש ביכולתו להוסיף שורות קוד לקבצים המופעלים אוטומטית, ובכך לאפשר הפעלת נוזקות ואחיזה רציפה במכשיר הקורבן, מרגע שזה נדלק. בדוח שפרסמו חוקרי אבטחת הסייבר של חברת Juniper מודגמת הפשטות שבהזרקת קוד Python לקבצים אלה וביצירת דלת אחורית על מערכת הקורבן.
צוות קונפידס ממליץ להקפיד על עדכון המוצר ולפעול להגבלת תעבורת הרשת הנכנסת למערכות ההפעלה הראשיות לכתובות ופורטים מהימנים בלבד.
תוקפים משתמשים בקובצי תמונה להפצת הנוזקה Qakbot במחשבים מבוססי Windows
רשומת בלוג חדשה של אדם כץ וג׳ייסון שולץ מקבוצת Cisco Talos עוסקת במתקפות פישינג המשתמשות בטכניקת HTML Smuggling להפצת נוזקת Qakbot. השיטה מבוססת על החבאת קוד זדוני מקודד בתוך קובץ מצורף מסוג HTML הנשלח במייל או מורץ בעת טעינת דף אינטרנט. כאשר הקורבן פותח צרופת מייל זדונית מסוג HTML, הדפדפן מפענח את הקוד המקודד בתוכה ומריץ אותו על עמדת של הקורבן. כעת, חוקרי Talos זיהו מתקפות שמשתמשות בטכניקה חדשה הממנפת שימוש בקובצי SVG המוטמעים בתוך קובצי ה-HTML, כך: התוקף שולח מייל זדוני עם קובץ HTML או קישור לדף אינטרנט, שעם פתיחתו על ידי המשתמש הדפדפן מפענח את הקוד שמאחורי הצרופה ומריץ מתוך קובצי ה-SVG קוד JavaScript זדוני, שמדביק את העמדה בנוזקת Qakbot. השימוש בקובצי SVG להרצת JavaScript זוהה בעבר במספר מתקפות על אתרי אינטרנט. לצד העובדה שתוקפים יכולים להעלות את קובצי ה-SVG אל האתר ולאחר מכן לטעון אותם בצד השרת על ידי ניתוב הדפדפן אל הנתיב בו מאוחסן קובץ ה-SVG, נראה שהם מצאו כעת דרך נוספת להשתמש בהם, במתקפות המכוונות נגד מערכת ההפעלה Windows.
צוות קונפידס ממליץ לחסום קובצי HTML בהגדרות האבטחה של סביבת המייל הארגונית ולהגביר את מודעות המשתמשים למתקפות מסוג זה.
השבוע בכופרה
אסטרטגיות חדשות לסחיטות תשלומי כופר מארגונים במגזר הבריאות
קבוצות כופרה מפתחות באופן תדיר שיטות חדשות לפיתוי ושכנוע קורבנות לשלם כופר. בחודש שעבר, מחלקת הבריאות ושירותי האנוש של ארצות הברית (HHS) הזהירה כי קבוצת הכופרה Venus מכוונת את תקיפותיה נגד מספר ארגוני בריאות בארצות הברית, וציינה כי היא מודעת לכך שלפחות גוף אחד ממגזר הבריאות האמריקאי נפל לאחרונה קורבן לפעולותיה.
הקבוצה, שזוהתה לראשונה באמצע אוגוסט, ידועה בפריצותיה לשירותים של קורבנות שמחשביהם חשופים לגישה באמצעות שירותי Remote Desktop, כל זאת לשם הצפנת מערכות מבוססות Windows. האסטרטגיה האחרונה שנצפתה בשימוש Venus מתמקדת בניסיון להפליל מנהלים של חברות ציבוריות בשימוש במידע פנים, כביכול. לדברי קבוצת הכופרה, לאחרונה נחלה הצלחה במתקפותיה באמצעות שיטה הכוללת עיצוב מדוקדק, לשם התחזות אמינה, של קובץ מייל אחד או יותר, הנשלח לחברות בהתבסס על קובצי "pst." של Microsoft Outlook. לטענת אחד מחבריה, "אנו מחקים התכתבות של [מנכ"ל] עם מקורב מסוים המשתף דוחות כספיים של החברה שלו, בה הקורבן סוחר, כביכול, בבורסה, מה שמטבע הדברים מהווה עבירה פלילית ועל פי החוקים הפדרליים של ארצות הברית [עלול להסתכם בעד] 20 שנות מאסר".
במקביל, מפרסום שאותר לאחרונה ברשת האפלה על ידי Krebs on Security, נראה שקבוצת הכופרה CLOP (או TA505) התפארה בשני מקרים בהם הצליחה לחדור לרשתותיהם של קורבנות חדשים ממגזר הבריאות המספקים שירותי ייעוץ, כל זאת באמצעות שליחת קבצים נגועים במסווה של תמונות אולטרסאונד או מסמכים רפואיים אחרים למטופלים שביקשו ייעוץ מרחוק. בעוד שכארגון הגוזר רווח CLOP הינו צעיר למדי, מומחי אבטחה סבורים שחבריו מגיעים מקבוצת התקיפה TA505, שלפי מסד הנתונים של MITRE ATT&CK פועלת ממניעים כספיים מאז 2014, לפחות.
על מנת להימנע ממתקפות כופרה, מומלץ לארגונים לנקוט בפעולות הבאות: לבצע גיבויים מאובטחים מחוץ לשרת הארגון, לבחון אחת לתקופה את היכולת לשחזרם ואת משך השחזור, להטמיע פתרונות אבטחה עדכניים, לעדכן את שרתי ומחשבי הקצה בארגון, להשתמש בסיסמאות ייחודיות וקשות לפיצוח להגנה על נתונים ועל חשבונות רגישים, להטמיע אימות רב-שלבי (MFA), להצפין נתונים רגישים בבסיסי נתונים ליידע בקביעות את הגורמים הטכניים בארגון אודות הסיכונים והשיטות שמשמשים קבוצות תקיפה לביצוע מתקפות וגניבת נתונים ולבנות תוכנית תגובה למתקפות ולתרגלה כל תקופת זמן מוגדרת.
כופרת Royal פוגעת במגזר הבריאות האמריקאי
בדוח שפורסם על ידי ה-HC3, הגוף האחראי על הגנת הסייבר בסקטור הבריאות בארצות הברית, נכתב כי Royal נוצרה על ידי ״יוצאי״ קבוצות תקיפה אחרות, כגון BlackCat ו-Zeon, וכי דרישות הכופר שלה נעות בין רבע מיליון ל-2 מיליון דולר, תוך שימוש בטכניקה של סחיטה כפולה. לדברי ה-HC3, עם קבלת גישה לרשת הקורבן, קבוצת התקיפה פועלת בשיטות שנצפו בעבר בקרב קבוצות אחרות (בהן, למשל, APT29 ו-APT40) כגון שימוש בכלי Cobalt Strike להשגת אחיזה קבועה במערכת, גניבה ופענוח של פרטי גישה של משתמשים וביצוע תנועה רוחבית ברשת, עד להצפנת כלל הקבצים המצויים בה. על פי דוח של מיקרוסופט, DEV-0569, אחת מקבוצות התקיפה המפיצות את Royal, משתמשת לשם כך בטכניקות חדשות ומתקדמות, כאשר בין היתר נצפתה הקבוצה יוצרת פרסומות באמצעות Google Ads עבור שירותים ותוכנות לגיטימיים, כדוגמת TeamViewer, ואף דפי נחיתה שנראים כמו העתקים מדויקים של אתרים אמיתיים, בהם היא מחליפה את קובצי ההורדה בכופרה עצמה. הקבוצה משתמשת בטכניקות אלה גם עבור תוכנות כמו Zoom ,Adobe Flash Player ו-AnyDesk. את כלל מזהי התקיפה (IOCs) של הכופרה ואת פתק הכופר שהיא משאירה במערכות הקורבנות ניתן למצוא בדוחות של Fortinet ושל SecurityScorecard.
צוות קונפידס ממליץ להימנע מהורדת תוכנות ואפליקציות דרך פרסומות וקישורים, ולהצמד להורדתן מהאתרים המקוריים של מפיציהן. כמו כן, יש להשתמש באמצעי הגנה כמו אנטי-וירוס או EDR על מנת להגן על המחשב במידה והקובץ שהורד הוא זדוני.
סייבר בעולם
דוח חדש חושף תשתית לחטיפת נתונים השייכת לקבוצה הפועלת למען אינטרסים רוסים
דוח של Insikt Group מבית Recorded Future חושף תשתית של קבוצת התקיפה TAG-53, באמצעותה בוצע קמפיין תקיפה שהתמקד בגניבת פרטי התחברות לפלטפורמת 365 של מגזרים מסקטורים שונים. אותה תשתית מיוחסת על ידי החוקרים גם לקבוצות ההאקרים Callisto ,COLDRIVER ו-SEABORGIUM. בדוח שפרסמה מיקרוסופט באוגוסט (ראו ״הסייבר״, 18.8.22) בשיתוף ה-TAG (צוות ניתוח האיומים של Google) וצוות מחקר האיומים של Proofpoint, בו נדונו פעולות הפישינג של SEABORGIUM, העריכו החוקרים שמדובר בקבוצה רוסית, הפועלת נגד יעדים וקורבנות התואמים אינטרסים רוסים, ובעיקר נגד מדינות נאט״ו, עם התמקדות בארצות הברית ובבריטניה. כעת, חוקרי Insikt Group חשפו את התשתית של TAG-53 על ידי ניתוח טכני ושילוב של רשומות DNS עדכניות וישנות. באופן זה עלה בידיהם למצוא כתובות IP של 38 דומיינים הרשומים בשימוש TAG-53 מאז ינואר השנה. בין הדומיינים ישנם כאלה המתחזים לחברות מסקטורים שונים, כל זאת במטרה לגנוב פרטי התחברות לפלטפורמת 365 של חברות ממגזרי החלל והלווינים, הלוגיסטיקה והמודיעין האזרחי והצבאי, וכן מארגונים הפועלים ללא מטרת רווח בתחום המשברים המזוינים. דפי הנחיתה להזנת סיסמאות ההתחברות לפלטפורמה היו איכותיים ודמו לאלה של החברות המקוריות.
צוות קונפידס ממליץ להזין במערכות הניטור של ארגונים את מזהי התקיפה (IOCs) המופיעים בדוח.
משרד הבריאות האמריקאי: מידע אישי של יותר מחצי מיליון מטופלים נחשף במתקפת הכופרה על CommonSpirit שהתרחשה באוקטובר
על פי פורטל ההפרות של מחלקת הבריאות ושירותי האנוש של ארצות הברית (HHS), התוקפים הצליחו להשיג גישה למידע אישי של 623,774 מטופלים של ארגון הבריאות השני בגודלו בארצות הברית, המפעיל יותר מ-140 בתי חולים ויותר מ-1,000 נקודות טיפול ב-21 מדינות. המתקפה גרמה לביטול תורים, לעיכובים משמעותיים בטיפולים, לניתוב אמבולנסים למוסדות אחרים ולתלונות רבות מצד מטופלים. בין היתר, נטען כי ילד בן שלוש שאושפז באחד מבתי החולים של הארגון קיבל מנה גדולה פי חמש מזו הרצויה עקב נפילת מערכות המחשוב (ראו ״הסייבר״, 6.10.22, ״הסייבר״, 20.10.22 ו״הסייבר״, 17.11.22). בתוך כך, CommonSpirit הבהירה כי התוקפים לא נחשפו לתעודות ביטוח ולפרטי רשומות רפואיות, וכי המידע שפרטיותו נפגעה כולל שמות מלאים, כתובות, מספרי טלפון, תאריכי לידה ומספרי זיהוי ייחודיים שבשימוש פנימי של הארגון בלבד. בהודעתה עדכנה החברה כי ״גורם זר שאינו מורשה השיג גישה לקבצים מסוימים, כולל קבצים המכילים מידע אישי של מטופלים בעבר״, וכי ״לא נמצאו ראיות לכך שנעשה שימוש לרעה במידע אישי כלשהו כתוצאה מהאירוע״. עוד נמסר כי הארגון יוצר קשר עם מטופלים שמידע אישי שלהם נחשף בפריצה. בשעה זו טרם נלקחה אחריות על ביצוע המתקפה ו-CommonSpirit לא חשפה את זהות התוקף.
דנמרק: אתרי משרד ההגנה נפגעו במתקפת DDoS
המתקפה, שהתרחשה ב-8 בדצמבר, הביאה לניתוק הגישה לאתרי האינטרנט של המשרד, למרות שעל פי דיווח של הארגון בטוויטר פעילותו לא נפגעה כלל כתוצאה מהאירוע. בשעה זו אין מידע על השלכות אחרות של מתקפת מניעת השירות (DDoS) שנחוותה, מלבד היעדר גישה לפורטלים באינטרנט.
המסמך שפרסמה הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) כולל הסבר מפורט אודות מהותן של מתקפות פישינג, אופן ביצוען, מטרותיהן וסכנותיהן, ומוצגים בו ממצאים שעלו מקמפיין פישינג שהסוכנות יזמה וביצעה כחלק מהערכת רמת אבטחת הסייבר של שותפיה. לדברי ה-CISA, ב-1 מכל 8 ארגונים היה אדם אחד לפחות ש״בלע את הפיתיון״, וב-1 מ-10 מיילי פישינג שנשלחו הורץ הקובץ הזדוני על ידי המשתמש. עוד נמצא כי 70% מהצרופות או הקישורים הזדוניים לא נחסמו על ידי שירותי הגנת רשת ו-15% מהם לא נחסמו על ידי שירותי הגנה לעמדות קצה. הנושאים העיקריים שהיוו ״עקב אכילס״ של הקורבנות היו קשורים להתראות ועדכוני אבטחה פיננסיים, להודעות ועדכונים הקשורים לארגון ולהתראות שכוונו למשתמש ספציפי. המסמך המלא כולל גם דרכי התמודדות עם מתקפות פישינג, בהן הטמעת הגנות ברשת, הגדרת רשומות למניעת התחזות (DKIM ,SPF ,DMARC), ביצוע הדרכות לעובדים בנוגע לשימוש במידע בארגון ולחשיפת מידע ברשתות החברתיות, יישום אימות רב-שלבי (MFA) העמיד בפני פישינג והחלת אוטומציה של עדכוני אבטחה עבור דפדפנים, מערכות הפעלה, אפליקציות וכיוצא באלה.
ענקית הטכנולוגיה הימית Voyager, המספקת שירותי ניווט לתעשיית הספנות, נפגעה במתקפת סייבר
Voyager Worldwide הינה ספקית מובילה של פתרונות טכנולוגיה ימית, שמטרתם לסייע לצוותים לנווט ביעילות ולנהל ספינות, תוך הנגשת מידע רלוונטי, הגברת הפרודוקטיביות והוזלת עלויות התפעול. בעקבות האירוע שחוותה החברה ב-2 בדצמבר נותקו כלל מערכותיה ונפגעו השירותים שהיא מעניקה ללקוחותיה, המונים יותר מ-1,000 חברות שילוח ברחבי העולם. באתרה הרשמי מסרה Voyager כי היא פועלת לבלימת המתקפה ולהגבלת הפגיעה, ככל הניתן, במטרה להשיב את מערכותיה לפעילות תוך שבוע ימים. עם זאת, החברה סייגה ואמרה כי אינה יכולה להתחייב למועד התאוששות מדויק. לשם התמודדות עם המתקפה נעזרת Voyager בשירותיה של חברת אבטחת הסייבר Mandiant.
דלף מידע שני השנה לחברת Uber; נחשף מידע של עשרות אלפי עובדים
לאחר הדלף שחוותה החברה בספטמבר (ראו ״הסייבר״, 22.9.22), הפעם נפרצו מערכותיו של Teqtivity, ספק ניהול המשאבים והמעקב שלה. בכך השיגו תוקפים גישה לשרת גיבויים של Uber ב-AWS, שכלל שמות מלאים, כתובות מגורים ומידע על המכשירים הסלולריים האישיים של יותר מ-70,000 עובדי Uber. המדליפים, המכנים עצמם UberLeaks, החלו לפרסם את המידע, שלטענתם נגנב ישירות מ-Uber, בפורום ההדלפות הפופולרי BreachForums. לדבריהם, הגניבה בוצעה על ידי חבר בקבוצת התקיפה $Lapsus, שהיתה אחראית לתקיפה בספטמבר, אך לטענת Uber ל-$Lapsus אין קשר לתקיפה הנוכחית. לדבריה, ״הפריצה לספק עדיין בתהליכי חקירה, ונכון לשעה זו לא נצפתה גישה זדונית אל מערכותיה הפנימיות של Uber״.
רשת בתי החולים One Brooklyn נפלה קורבן למתקפת כופרה
One Brooklyn הינה רשת בתי חולים המשרתת אוכלוסיות חלשות בעיר ניו יורק, וכוללת את המרכזים הרפואיים Interfaith ,Kingsbrook ו-Brookdale. מה-17 בנובמבר עברו הצוותים הרפואיים ברשת לעבודה ורישומים ידניים, בעקבות חסימת הגישה למידע רפואי של מטופלים ולתוצאות בדיקות, והשבתת האפשרות להעלות את התוצאות לפורטלים אלקטרוניים. עוד הושבתה הנפקת המרשמים האלקטרונית, מה שאילץ את הצוות ליצור קשר טלפוני עם בתי מרקחת. כתוצאה מכך נרשמו זמני המתנה ארוכים מהרגיל, בעונת החורף העמוסה. נוסף על כל אלה, הצוותים נאלצו לפענח תצלומי CT ישירות מצגי מכשירי הדימות.
מנכ״ל One Brooklyn לארי בראון שלח אל העובדים הודעה המאשרת כי מניעת הגישה למידע הרפואי הינה תוצאה של מתקפת סייבר. עוד מסר כי 250 מחשבים ו-775 מכשירים ניידים חלופיים הופצו בבתי החולים. ״מיד עם גילוי האירוע העברנו מערכות מסוימות למצב לא-מקוון, על מנת להתמודד עם המתקפה,״ אמר בראון, והוסיף כי ״צוות ה-IT שלנו ממשיך לעבוד בחריצות, בשילוב עם יועצים חיצוניים, על מנת להבטיח את חזרת המערכות במהירות ובבטחה, באופן המתעדף את בריאות המטופלים. אני לא יכול להתחייב לזמן מדויק בו כלל המערכות ישובו לפעול. בתי החולים ממשיכים לספק טיפול ושירותים רפואיים, תוך שימוש בהליכי עבודה אלטרנטיביים מבוססים היטב.״
גם דובר משרד הבריאות של מדינת ניו יורק ג׳פרי האמונד הצהיר כי נעשים מאמצים לווידוא המשכיות הטיפולים ובטיחות המטופלים. על פי ה-New York Post, ההודאה מטעם הרשויות בדבר התקיפה הגיעה לאחר שהמועמד לראשות העירי סאל אלבניז ועורך הדין ג׳יימס שיפר, שהינו גם רוקח מוסמך, חשפו בפומבי כי מערכות הארגון נפרצו וכי נדרש ממנו כופר בסך 5 מיליון דולר. לדברי שיפר, רשת בתי החולים עושה מאמצים רבים לשחזור מסד הנתונים והמערכות שנפגעו על מנת להימנע מתשלום הכופר, והיא נמנעה מלדווח על הנושא מחשש שהציבור יהסס לפנות את המוסדות בעת הצורך. בשעה זו לא ברור אם יש סיכון לפרטיות המידע האישי של מטופלי בתי החולים.
צרפת: בית החולים ״אנדרה מיניו״ עודנו תחת מתקפת סייבר
בית החולים ״אנדרה מיניו״ שבוורסאי נפגע ב-3 בדצמבר ממתקפת סייבר, שאילצה אותו לסגור את מערכות הטלפוניה והמחשוב שלו (ראו ״הסייבר״, 8.12.22). כעת פרסם הארגון באתרו הודעה בה ציין כי ״הצוותים מתמודדים עם מתקפת סייבר ובית החולים ממשיך לפעול בשיטות המותאמות לאירוע״, לצד הנחיות עבור המטופלים: ״עזור לנו לטפל בך: התקשר אל השירות בו נקבע עבורך טיפול כדי לאשר את הגעתך לתור. אנא הבא לבדיקה עם הטפסים הבאים: הפניה לטיפול/ייעוץ הדרוש, תוצאות בדיקות (ביולוגיה, הדמיה), מסמכים ומרשמים שברשותך. גלה הבנה אל הצוותים הרפואיים, הם מגויסים עבורך ועושים ככל הניתן על מנת לספק לך את הטיפול הראוי!״ תקיפה זו מתרחשת חודשים ספורים בלבד לאחר מתקפת הסייבר שחווה באוגוסט בית החולים שקורביי-אסון, סמוך לפריז, אשר שב לתפקוד תקין רק בחלוף שבועות (ראו ״הסייבר״, 25.8.22, ״הסייבר״, 1.9.22, ״הסייבר״, 8.9.22 ו״הסייבר״, 15.9.22).
דלהי: בית החולים הממשלתי Safdarjung מדווח שחווה מתקפת סייבר
בית החולים, המונה 1,500 מיטות, חשף כעת כי בחודש שעבר נתקף על ידי קבוצה שפגעה במערכות ה-IT שלו, ללא פגיעה בנתוני מטופלים, לטענתו. למרות שהמפקח הרפואי ד״ר ב. ל. שרוואל לא פירט אודות מהות המתקפה, הוא מסר כי לא מדובר במתקפת כופרה, וכי מערכות ה-IT של הארגון שוחזרו מיד על ידי המרכז הלאומי לאינפורמטיקה, שהינו סוכנות ממשלתית האחראית לתפעול כל מערכות ה-IT הממשלתיות בהודו.
Safdarjung הינו בית החולים השני בעיר שנפגע לאחרונה במתקפת סייבר, כאשר לפני כשבועיים דיווח ה-India Institute Of Medical Science) AIIMS) שכתוצאה ממתקפה שחווה הושבתו שירותיו הדיגיטליים והצוותים עברו לעבודה ידנית. על השירותים שנפגעו נמנו שירותי מעבדה חכמה, חיוב, הפקת דוחות ומערכת התורים.
ואולם, בניגוד לתקרית שאירעה ב-AIIMS, המתקפה על שירותי מרפאות החוץ של Safdarjung לא השפיעה רבות על פעילות המוסד, שכן בעבר הפעיל את שירותיו באופן ידני, וכעת התאפשר לו לשוב במהרה לאופן פעולה זה. חקירות ראשוניות של שתי תקיפות הסייבר מצביעות על מעורבותם של שחקנים זרים. במקביל, משטרת דלהי הכחישה דיווחים על דרישת כופר, ואילו בדיווח חדשותי נטען כי בעקבות האירוע ב-AIIMS עשויות להיחשף רשומות של כ-40 מיליון חולים, כמו גם נתונים של עובדי מערכת הבריאות, תורמי דם, אמבולנסים, חיסונים, מטפלים ועוד.
בתוך כך, מניתוח שערכה לאחרונה חברת האבטחה המקומית CloudSEK עלה כי ברשת האפלה נמכר מידע רגיש של כ-150,000 מטופלים שנגנב מהמרכז הרפואי Sree Saran, לרבות תאריכי לידה, כתובות ופרטים רפואיים של מטופלי בית החולים. המידע נלקח מתוך מאגר המידע של המוסד מהשנים 2007-2011, שנוהל בעבר על ידי Three Cube IT Lab. לדברי חוקרי CloudSEK, ייתכן שתחילה התרחשה פריצה ל-Three Cube IT Lab, בניסיון לגשת למידע רגיש ממאגרי בית החולים. עוד מסרו כי מצאו את הנתונים ב-22 בנובמבר, כאשר אלה הוצעו למכירה באמצעות טלגרם ופורומים של קבוצות תקיפה. לפי דיווח חדשותי, תחילה הוצע מסד הנתונים למכירה בעבור 100 דולר, ולאחר מכן עלה המחיר ל-400 דולר. בתגובה לדיווחים, המרכז הרפואי Sree Saran הכחיש כי היה סיכון למידע רפואי של מטופליו.
סייבר בישראל
אתר עיריית אשדוד נפרץ ו״הוסב״ לאתר שהתחזה לפלטפורמת התשלומים Bit
התוקפים השתמשו באתר לקמפיין שמטרתו גניבת כספים באמצעות הודעות SMS שכללו קישור לגיטימי לאתר העירייה (ashdod.muni.il). באתר הזדוני נאספו פרטי כרטיסי אשראי, ואף בוצעה הזדהות מול חברת האשראי, תוך שהקורבן מקבל קוד אימות, מונחה להזינו באתר ומנותב לאחר מכן אל אתרה האמיתי של חברת Bit. קורבנות שנפלו קורבן לתרמית והזינו את קוד האימות שנשלח אליהם עלולים להתקל בבעיה אם ינסו לתבוע את כספם בחזרה מחברת האשראי.
קבוצת התקיפה האיראנית MuddyWater בקמפיין פישינג חדש נגד מטרות ישראליות ממגזרי הביטוח והאירוח
הקמפיין, שנחשף על ידי צוות המחקר של חברת Deep Instinct, הוא חלק מפעילות מגוונת של הקבוצה, המפעילה שלל קמפיינים בעלי מאפיינים שונים נגד ממשלות, עיריות, חברות תקשורת, ארגוני ביטחון, חברות גז ונפט ועוד. בתקיפותיה משתמשת הקבוצה בכלים לגיטימיים לניהול מרחוק לשם חמיקה מזיהוי ובפישינג ממוקד (Spear Phishing), המופץ באמצעות המייל. בקמפיינים קודמים נשלחו לקורבנות מיילים שכללו קישורים ישירים וקבצים מצורפים בפורמטים PDF ו-RTF, שהכילו קישורים לקבצים דחוסים שבהם כלי שליטה לגיטימי, או מסמכי Word שהכילו קישורים להורדת הקבצים הדחוסים, שבהם כלים שאפשרו שליטה בעמדות ותנועה רוחבית בארגון. על פי ההערכות, הקמפיין האחרון של MuddyWater התרחש בין ספטמבר לתחילת אוקטובר, והתבסס על כלי הניהול Syncro, המוצע בחינם לתקופת ניסיון, ובפיתיון בתצורת קובץ HTML שנשלח במייל הפישינג. המייל, שנשלח מטעם חברה המשתייכת למגזר האירוח הישראלי, כביכול, מוען למספר רב של אנשי קשר בחברות ביטוח ישראליות. מלל המייל, שנכתב עם שגיאות, עסק בבקשה להצעות מחיר עבור פוליסות ביטוח והכיל צרופת HTML ששימשה כפיתיון והובילה את הקורבן להורדת כלי הניהול Syncro מספקי שירות ידועים, כגון Onehub ,Dropbox ו-OneDrive. הכלי Syncro מעניק לתוקפים גישה לשולחן העבודה וגישה מלאה למערכת הקבצים של הקורבנות, למסוף (CMD) בהרשאות המערכת ולמשימות. מכיוון שמדובר בקבצים לגיטימיים עם חתימה דיגיטלית, הדבר מאפשר לתוקף יכולות בלתי מוגבלות בעמדה הנתקפת, לרבות פריסת נוזקות, כל זאת ללא זיהוי.
צוות קונפידס ממליץ לצוותי אבטחה לעקוב אחר תוכנות לשליטה בשולחנות עבודה מרחוק וכלים דומים שאינם נפוצים בארגונים, ולהגביר את הערנות ואת מודעות העובדים למיילי פישינג ולסכנות שבגלישה לאתרים שאינם מוכרים.
סייבר ופרטיות - רגולציה ותקינה
משילות תאגידית בהגנת סייבר: ממחקר של אוניברסיטת הרווארד עולה שחברות בארה״ב מתקדמות באיטיות לחשיפה ציבורית של סיכוני סייבר בהתאם לרגולציה
על רקע עליית הציפיות של גופים רגולטוריים בארצות הברית להגברת רמת הגנת הסייבר בקרב תאגידים במשק, ולדיווח על אירועי סייבר גם לממשל הפדרלי, בתחילת דצמבר פורסם מחקר של פורום המשילות התאגידית של בית הספר למשפטים של אוניברסיטת הרווארד, בו נקבע מדרג של תאגידים בנושא איכות הממשל התאגידי בהקשר זה. התאגידים האמורים מצויים ברשימות ה-S&P 500 וה-Russel 3000 (חברות מובילות במשק האמריקאי), כאשר המחקר והמדרג התבססו על 11 שאלות בנושא הגנת סייבר, שנבעו מדרישות רגולטוריות שונות בארצות הברית, ובמיוחד מהצורך לדווח על אירועי סייבר שפוקדים תאגידים. המחקר חשף כי מעט החברות המדווחות בפועל על פרצות סייבר הן החברות הגדולות ביותר במשק, וכי מרבית האירועים המדווחים הם כאלה ש״אינם יוצרים הפרעה מהותית״ לתפעול החברה ולעבודתה. המחקר אף מצביע על כך שלא ניכרת עלייה בשיעור החברות שמתדרכות את הדירקטוריון כנדרש בנושאי הגנת סייבר. בצד החיובי עלה כי בקרב החברות שנבדקו ישנה מגמה של אימוץ תפיסה קונקרטית יותר של הגנת סייבר, תוך נטייה לגלות את מאמציהן לזיהוי ולהפחתת סיכוני סייבר, וכן מגמה של עלייה במספר הדירקטורים בחברות שהם בעלי ניסיון בהגנת סייבר ובניהול סיכוני סייבר (ראו טבלה להלן). מסקנתם העיקרית של החוקרים היא שהתאגידים הגדולים ביותר עדיין אינם מבצעים צעדים מספקים להגברת רמת הגנת המידע שלהם. בהקשר הישראלי, לאחרונה הרשות לניירות ערך ביקרה את חברת ״גולד בונד״ על כך שלא שיקפה למשקיעיה את סיכוני הסייבר בהם היא נתונה, ביקורת שעשויה לגרור קנסות ועיצומים (ראו ״הסייבר״, 8.12.22).
(מקור: אוניברסיטת הרוואד, 5.12.22)
פורסם ההסדר החדש בין ארה"ב והאיחוד האירופי בנוגע להעברת מידע אישי: שרמס טוען כי ההסדר לא יעמוד בביקורת של בית המשפט לצדק
ב-13 בדצמבר פרסמה נציבות האיחוד האירופי את החלטתה בעניין התנאים שלפיהם העברת מידע אישי בין האיחוד לבין ארצות הברית תעמוד בדרישות דיני הגנת הפרטיות של האיחוד, ובמיוחד בדרישות הרגולציה הכללית להגנה על מידע (GDPR). החלטת התאימות (Adequacy Decision) האמורה מתבססת על מחויבותה של ארצות הברית להתאים את רמת הגנת הפרטיות על מידע אישי ב-50 המדינות המרכיבות אותה לרמה הנדרשת על פי הדין האירופי. מחויבות זו כלולה בצו נשיאותי של הנשיא ג׳ו ביידן מה-7 באוקטובר השנה, שקבע כללים שקופים של איסוף מידע אישי על ידי רשויות ביטחון לאומי בארצות הברית (ראו פירוט להלן), סוגייה שבנוגע אליה נחלקו ארצות הברית והאיחוד עד כה (ראו ״הסייבר״, 29.9.22 ו״הסייבר״, 20.10.22). ההסדר שפורסם כעת אמור לקדם את ההתאמה בין הסדרת הפרטיות בשני צדי המתרס, ולאפשר לתושבי אירופה גישה לתרופות משפטיות בבתי משפט אמריקאיים, במידה ויבקשו לטעון שזכויותיהם בהקשר זה הופרו. ההסדר החדש אף משיב לפסק הדין ״שרמס 2״ של בית המשפט לצדק של אירופה מיולי 2020, המכונה על שם התובע מקס שרמס, פעיל בתחום הגנת הפרטיות באמצעות ארגונו None of Your Business (ראה ״הסייבר״, 16.7.20, ״הסייבר״, 23.7.20 ו״הסייבר״, 30.7.20). בין היתר, המסגרת המשפטית שארצות הברית התחייבה לקיימה מספקת מספר מגבלות ואמצעי הגנה בנוגע לגישה למידע אישי על ידי רשויות ציבוריות אמריקאיות - ובפרט למטרות אכיפת חוק פלילי וביטחון לאומי - לרבות הכללים החדשים שהוכנסו בעקבות הסוגיות שעלו בפסק הדין ״שרמס 2״, בהם גישה למידע אישי של תושבי אירופה מצד סוכנויות ביון אמריקאיות רק במסגרת הנחוץ והמידתי להגנה על הביטחון הלאומי, אפשרות ליחידים באיחוד האירופי לקבל פיצוי בגין איסוף ושימוש בנתוניהם על ידי סוכנויות ביון אמריקאיות, וכן תהליך בו בית המשפט יחקור באופן עצמאי ויפתור תלונות שמקורן באירופה, לרבות על ידי נקיטת אמצעי תיקון מחייבים. מקס שרמס הגיב ואמר כי "ננתח את טיוטת ההחלטה בפירוט בימים הקרובים. מכיוון שטיוטת ההחלטה מבוססת על ההוראה המבצעת הידועה, אינני יכול לראות כיצד הדבר ישרוד את האתגר בפני בית המשפט לצדק. נראה שהנציבות האירופית פשוט מוציאה החלטות דומות שוב ושוב - תוך הפרה בוטה של זכויות היסוד שלנו".
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי, תמר מרדיקס, שירי מאס ברזילי וגיא פינקלשטיין..