דו״ח סייבר שבועי
עדכון שבועי 17.02.2022
עיקרי הדברים
-
האיראנים על הגדרות: Fortinet מזהירה מפני קמפיין של Moses Staff נגד ארגונים ישראליים המנצל חולשות בשרתי דואר של מיקרוסופט.
-
המתיחות בין רוסיה לאוקראינה: עשרות חברות, בנקים ומשרדי ממשלה באוקראינה נפגעו בתקיפות סייבר המיוחסות לרוסיה. ה-FBI וה-DHS לארגונים האחראים על תשתיות קריטיות בארה"ב: התכוננו למתקפות סייבר רוסיות.
-
טאצ׳דאון: קבוצת כופרה תוקפת את ה-San Francisco 49ers.
-
האקרים פורשים לפנסיה: פורסמו מפתחות הצפנה לנוזקות של Maze, Egregor ו-Sekhmet.
-
אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Adobe (קריטי); דפדפן Google Chrome (קריטי); המוצר MXview של Moxa (קריטי); המוצר Apache Cassandra (קריטי).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה למוצרי Adobe נותן מענה לחולשה קריטית
עדכון אבטחה קריטי לדפדפן Chrome
ליקויי אבטחה קריטיים בתוכנת ניהול הרשת MXview של Moxa
חולשת אבטחה ברמת חומרה גבוהה נמצאה בתוכנת Apache Cassandra
התקפות ואיומים
הודו: האקרים שתלו ״עדויות״ דיגיטליות מזויפות על מכשירים של פעילי זכויות אדם, אקדמאים ועורכי דין במטרה להביא לכליאתם
שיא כל הזמנים במתקפות מניעת שירות - ואיך הדבר קשור לשוק הקריפטו?
קרואטיה: ספקית שירותי הסלולר A1 Hrvatska מדווחת על דלף מידע של 200,000 מלקוחותיה
פורטוגל: שיבושים נרחבים בשירותי חברת התקשורת Vodafone עקב מתקפת סייבר
ה-FBI מתריע מפני התחזויות במייל למטרת גניבת כספים
השבוע בכופרה
פורסמו מפתחות הצפנה לנוזקות של Maze, Egregor ו-Sekhmet
בתוך שבוע: קורבן נוסף לקבוצת הכופרה Quantum
טאצ׳דאון: קבוצת כופרה תוקפת את ה-San Francisco 49ers
מתקפת סייבר משבשת את פעילותה של חברת ביגוד וציוד הספורט Mizuno
סייבר בישראל
היסטוריה: ThetaRay הישראלית חותמת על חוזה ראשון בתחום הסייבר באיחוד האמירויות הערביות
סייבר בעולם
העימות במזרח-אירופה: עשרות חברות, בנקים ומשרדי ממשלה באוקראינה נפגעו בתקיפות סייבר המיוחסות לרוסיה
ספרד: המשטרה עצרה כנופייה החשודה בגניבת כספים מחשבונות בנק באמצעות גניבת SIM
חוקרי אבטחת מידע של Secureworks מייחסים את הנוזקה ShadowPad לקבוצות תקיפה הקשורות לממשל הסיני
Fortinet מזהירה מפני קמפיין של Moses Staff נגד ארגונים ישראליים המנצל חולשות בשרתי דואר של מיקרוסופט
סייבר ופרטיות - רגולציה ותקינה
ה-FBI וה-DHS לארגונים האחראים על תשתיות קריטיות בארה"ב: התכוננו למתקפות סייבר רוסיות
הוועדה האמריקאית לניירות ערך ולבורסות מקדמת כללי דיווח חדשים על תקיפות סייבר של חברות לייעוץ השקעות
הרשות לאיסור הלבנת הון ומימון טרור: מדוחות של גורמי טכנולוגיה עולמיים עולה שישראל היא מהיעדים המועדפים לתקיפות הכופרה
פרסום חדש של ה-ENISA מנחה ארגונים כיצד להגביר את רמת הגנת הסייבר שלהם
כנסים
הציטוט השבועי
הנשיא ארצות הברית ג׳ו ביידן, 15.2.2022, Washington Post.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה למוצרי Adobe נותן מענה לחולשה קריטית
העדכון סוגר חולשה (CVE-2022-24086, CVSS 9.8) הנובעת מאימות בלתי מספק של קלט במוצרים Magneto Open Source ו-Adobe Commerce. ניצול החולשה עלול לאפשר הרצת קוד זדוני על מחשב בו מותקנות התוכנות באמצעות שם משתמש של אדמין במערכת, ללא צורך באותנטיקציה. לדברי Adobe, החולשה מנוצלת בהיקף מוגבל במספר חברות ברחבי העולם.
צוות קונפידס ממליץ לבעלי התוכנות לעדכנן בהקדם לגרסאותיהן האחרונות.
עדכון אבטחה קריטי לדפדפן Chrome
העדכון ששחררה השבוע Google, המתקן בדפדפן חולשות מסוג Zero-day, סווג כקריטי למרות שהחולשות שנסגרות בו הינן ברמת חומרה גבוהה. ככל הנראה, הסיבה לכך היא דיווחו של מערך הסייבר הלאומי אודות ניצול אקטיבי של אחת מ-11 החולשות שתוקנו בעדכון.
צוות קונפידס ממליץ למשתמשי Chrome במערכות ההפעלה הנפוצות (Linux ,Windows ו-Mac) לעדכנו לגרסה 98.0.4758.102.
ליקויי אבטחה קריטיים בתוכנת ניהול הרשת MXview של Moxa
חוקרי אבטחת מידע מ-Team82 פרסמו פרטים אודות 5 חולשות ברמת חומרה קריטית או גבוהה שנמצאו בממשק ניהול הרשת מבוסס ה-Web, בהם חולשה (CVE-2021-38454, CVSS 10) שקיבלה את ציון החומרה הגבוה ביותר האפשרי. ניצול מוצלח של שתיים או יותר מהחולשות עלול לאפשר לתוקף להריץ קוד מרחוק על עמדה פגיעה ואף להשיג בה שליטה מלאה. החולשות רלוונטיות לגרסאות 3.0 עד 3.2.2 של המוצר.
צוות קונפידס ממליץ למשתמשי MXview לעדכנו בהקדם בהתאם להוראות החברה.
חולשת אבטחה ברמת חומרה גבוהה נמצאה בתוכנת Apache Cassandra
לדברי החוקרים, אם החולשה לא תטופל היא תוכל להיות מנוצלת להרצת קוד מרחוק על התקנות פגיעות. Apache Cassandra היא מערכת מבוזרת לניהול מסדי נתונים מסוג NoSQL בקוד פתוח, המתאימה למקרים של כמויות גדולות מאוד של נתונים מובנים בשרתי סחורות. עומרי כספי, חוקר אבטחה בחברת JFrog, הבהיר כי "קל לנצל את חולשת האבטחה הזו של Apache ויש לה פוטנציאל להמיט הרס במערכות, אך למרבה המזל היא מתבטאת רק בתצורות שאינן ברירת מחדל של Cassandra". למרות שטרם פורסם עדכון רשמי הנותן מענה לחולשה, ישנן מספר דרכים לביצוע מיטיגציה ידנית על מנת להתגונן בפניה:
-
אם לא נעשה שימוש פעיל ב-UDFs, ניתן להשביתן לחלוטין על ידי הגדרת enable_user_defined_functions כ-"false".
-
אם יש צורך ב-UDFs, יש להגדיר את enable_user_defined_functions_threads כ-״true״, ועבור משתמשים שאינם מהימנים להסיר את הרשאות היצירה, השינוי והביצוע הבאות:
-
ALL FUNCTIONS
-
ALL FUNCTIONS IN KEYSPACE
-
FUNCTION עבור שאילתות CREATE ,ALTER ו-EXECUTE.
-
צוות קונפידס ממליץ למשתמשי המוצר לבצע את פעולות המיטיגציה במערכותיהם.
התקפות ואיומים
מתקפות הסייבר הממוקדות בוצעו על ידי קבוצת פריצה המכונה ModifiedElephant על ידי SentinelOne, שעוקבת אחר פעילותה. קבוצה חמקמקה זו פעילה, ככל הנראה, עוד משנת 2012, ואופי פעילותה תואם את האינטרסים של ממשלת הודו. קמפיין הקבוצה מבוסס על הדבקת מכשירים באמצעות Spear Phishing המתמקד בנושאי אקטיביזם, איכות הסביבה ופוליטיקה, וכולל קבצים המכילים נוזקות שמאפשרות לתוקפים להשתלט מרחוק על מכשירי הקורבנות. במקרה מכשירי אנדרואיד, התוקפים אף יכולים ליירט הודעות ושיחות, לשנות את הגדרות המכשיר ולבטל את נעילתו.
שיא כל הזמנים במתקפות מניעת שירות - ואיך הדבר קשור לשוק הקריפטו?
על פי חוקרי חברת אבטחת המידע Kaspersky, במהלך הרבעון האחרון של 2021 עלה מספרן של מתקפות ה-DDoS ביותר מ-50% בהשוואה לרבעון שקדם לו, והיה גבוה פי 4.5 ביחס לתקופה המקבילה ב-2020. בכך נשבר שיא כל הזמנים מאז החל המעקב אחרי מתקפות ה-DDoS, המהוות איום קריטי על עסקים וארגונים שמספקים שירותים מקוונים. חוקרי Kaspersky הסבירו את העלייה החדה בכך ששלושת החודשים האחרונים של כל שנה עמוסים במיוחד בנסיונות תקיפה מסוג זה, עקב תקופת החגים בחלקים נרחבים של העולם. זאת ועוד, מספר תקיפות ה-DDoS עומד ביחס הפוך למגמות שוק המטבעות הקריפטוגרפיים, שכן עלייה בשוק הקריפטו ממקדת את רשתות ה-Botnet בכריית מטבעות. מכיוון שהרבעון האחרון של 2021 התאפיין בחוסר יציבות בשוק מטבעות הקריפטו, נצפתה נסיקה במתקפות מניעת שירות, כפי שמומחש בתרשים הבא:
(מקור: "Kaspersky״, 10.2.22)
קרואטיה: ספקית שירותי הסלולר A1 Hrvatska מדווחת על דלף מידע של 200,000 מלקוחותיה
ב-9 בפברואר דיווחה החברה שחוותה אירוע אבטחת מידע אשר פגע במאגר מידע יחיד המכיל נתונים על פחות מ-10% מלקחותיה, ואינו כולל מידע פיננסי או סיסמאות משתמשים. עוד מסרה כי התקיפה לא פגעה בחברה מבחינה תפעולית.
פורטוגל: שיבושים נרחבים בשירותי חברת התקשורת Vodafone עקב מתקפת סייבר
ב–8 בפברואר דיווחה החברה, המונה בפורטוגל כ-4 מיליון מנויי סלולר וכ-3.4 מיליון לקוחות אינטרנט ביתיים ועסקיים, כי חוותה תקיפה שהשביתה חלק משירותיה התפעוליים. מתקפת הסייבר הנרחבת השפיעה בעיקר על אספקת שירותים ברשת הנתונים, לרבות רשתות ה-4G/5G ושירותי טלוויזיה, SMS ומענה קולי. Vodafone התייחסה לתקרית כאל "מתקפה מכוונת וזדונית שנועדה לגרום נזק", ולמרות שטרם חשפה פרטים אודות האירוע - השיבושים הנרחבים בשירותים מעידים על כך שככל הנראה מדובר במתקפת כופרה. נכון לשעה זו אין ראיות לדלף מידע של לקוחות.
ה-FBI מתריע מפני התחזויות במייל למטרת גניבת כספים
השיטה, הידועה בכינויה Business Email Compromise, או BEC, פוגעת בעיקר בעסקים, אך גם באנשים פרטיים המרבים לבצע העברות כספים. התקיפה מבוססת על התחזות התוקף למשתמש של עובד בחברה או בפריצה אליו, ובשימוש בהנדסה חברתית לשם העברת כספים לחשבונו שלו. התרעת לשכת החקירות הפדרלית מזהירה מפני שימוש התוקפים בפלטפורמות המאפשרות פגישות וירטואליות, וחושפת כי בשנים 2019-2021 נצפתה עלייה במתקפות מסוג זה, בעיקר בשל המעבר לעבודה מרחוק במהלך מגפת הקורונה. באחד המקרים שהובאו כדוגמה התוקף פרץ לחשבון המייל של דמות בכירה בחברה, מה שאפשר לו להתחזות אליה ולזמן עובדים לפגישה וירטואלית. במהלך הפגישה הוא הניח תמונה דוממת של הדמות הבכירה או השתמש בטכנולוגיית Deepfake, בטענה כי פונקציית הווידאו אינו עובדת במכשירו, והנחה את המשתתפים להעביר כספים לחשבונו. במקרה אחר, תוקף הצליח להשיג גישה לחשבון המייל של אחד מעובדיה של חברה והשתתף בפגישות הווירטואליות אליהן זומן לשם לאסוף מודיעין על השגרה העסקית של הארגון. על מנת להתגונן מהתחזויות מסוג זה, מומלץ להטמיע בארגון שימוש באימות רב-שלבי (MFA) לאשרור זהות המשתתפים בשיחות הווירטואליות, לבדוק את מהימנות הקישורים טרם לחיצה עליהם ולוודא שהמייל אכן נשלח מדומיין של החברה ולא מדומיין דומה או מתחזה. המלצות נוספות ניתן למצוא במסמך ההתרעה.
השבוע בכופרה
פורסמו מפתחות הצפנה לנוזקות של Maze, Egregor ו-Sekhmet
המפתחות פורסמו בפוסט בפורום של מגזין אבטחת המידע BleepingComputer על ידי משתמש המכונה Topleak, שלדבריו הוא נמנה על צוות הפיתוח של הנוזקות. עוד כתב בפוסט כי הוא וחבריו לקבוצה לא ישובו לעסוק בפעילות מסוג זה, וכי קוד המקור של הנוזקות נמחק. מכיוון שהודעתו של Topleak הכילה בתוכה חלק מקוד מקור של נוזקה אחרת, m0yv, הקבצים המקוריים הוסרו על ידי מנהלי הפורום, ואולם לאחר וידוא תקינותם של מפתחות ההצפנה - חברת Emsisoft שחררה תוכנת פענוח חינמית לקבצים שהוצפנו על ידי הנוזקות.
בתוך שבוע: קורבן נוסף לקבוצת הכופרה Quantum
כשבוע לאחר שהודיעה על פריצתה למערכות חברת Maple Lodge Farms הקנדית, קבוצת התקיפה מעדכנת כי הצליחה לפרוץ למערכות חברת התעופה הכווייתית Jazeera Airways ולשים את ידיה על מאגר מידע המכיל פרטים אישיים של לקוחות, של ספקים פיננסיים, של נוסעים ושל אנשי צוות. עוד טוענת הקבוצה כי השיגה גישה לחוזים של החברה, בהם גם חוזים ממשלתיים. נכון לשעה זו לא פורסם מידע נוסף על התקיפה.
טאצ׳דאון: קבוצת כופרה תוקפת את ה-San Francisco 49ers
לדברי קבוצת הכופרה BlackByte, אשר ככל הנראה החלה את פעילותה ביולי האחרון, מצוי בידיה מידע פיננסי הקשור לקבוצת הפוטבול האמריקאי, והיא אף העלתה לדארקנט תיקיית מסמכים בשם ״קבלות 2020״, אשר לטענתה מכילה מסמכים השייכים ל-San Francisco 49ers. יומיים קודם לכן פרסמו לשכת החקירות הפדרלית (FBI) והשירות החשאי של ארצות הברית (USSS) התראה מפני כופרת הקבוצה, אשר בשלושת החודשים האחרונים פרצה לרשתותיהן של לפחות שלושה ארגונים בעלי תשתיות קריטיות בארצות הברית. מקבוצת הפוטבול נמסר ב-13 בפברואר כי לאחרונה נודע לה על ״אירוע אבטחת רשת״ אשר שיבש חלק ממערך ה-IT שלה, וכי הודיעה לרשויות על התקרית ושכרה חברות אבטחת מידע לסיוע בהתמודדות עם האירוע. עד כה לא ידוע אם אכן נגנב מידע השייך לקבוצת הספורט ואם התקרית השפיעה על מערכות מחוץ לרשת הארגונית שלה, ולא התקבלה דרישת תשלום מצד קבוצת התקיפה. BlackByte ידועה באופן פעולה המנצל חולשות בתוכנות (ובפרט ב-Microsoft Exchange Server) לשם לקבלת גישה ראשונית לרשת של ארגון המטרה, מה שממחיש פעם נוספת שהקפדה על עדכון השרתים בארגון מפחית את הסיכון ליפול קורבן למתקפות סייבר.
מתקפת סייבר משבשת את פעילותה של חברת ביגוד וציוד הספורט Mizuno
בעקבות המתקפה חווה החברה היפנית עיכובים בהזמנות ושיבושים באתרה ובקווי הטלפון שלה, ומקורות שונים מדווחים כי מדובר במתקפת כופרה שהחלה בסוף השבוע של ה-4 בפברואר. ב-8 בפברואר החלו לקוחות Mizuno להבחין בשיבושים באתרה, בו הופיעה הודעה לפיה ״Mizuno חווה כעת בעיות במערכת. בשל כך ייתכנו עיכובים באספקת ההזמנות״. זאת ועוד, בעת ניסיון ליצור קשר עם החברה דרך האתר הופיעה ההודעה ״לא ניתן להגיע לאתר זה״. לדברי לקוחות, מנציגי התמיכה של Mizuno נמסר שעקב השבתת מערכות פנימיות אין ביכולתם לחפש הזמנות קיימות או לבצע הזמנות חדשות. עוד מסרו הנציגים שהחברה עומלת על שחזור המערכת, בתקווה שתשוב לפעולה ביום המחרת, אך ייתכן וההשבתה תימשך זמן רב יותר. עד כה לא התקבלה התייחסות של ממש מטעם החברה ולא ידוע איזו קבוצת תקיפה עומדת מאחורי האירוע.
(מקור: צילום מסך של אתר ״Mizuno״, 15.2.22)
סייבר בישראל
היסטוריה: ThetaRay הישראלית חותמת על חוזה ראשון בתחום הסייבר באיחוד האמירויות הערביות
החברה הישראלית, המפתחת כלי בינה מלאכותית לזיהוי עסקאות חשודות במטרה למנוע הונאות פיננסיות והלבנת הון, חתמה על ההסכם עם הבנק האמירתי Mashreq. ממטה הבנק בדובאי נמסר כי הפתרון מאפשר לבנקים "לסכל ביעילות סיכוני פשיעה פיננסית במרחב המורכב וההולך וגדל של תשלומים חוצי גבולות". בשנים האחרונות הוקשחו הרגולציות הבנקאיות במדינה לשם התמודדות עם תפיסתה כמוקד להלבנת הון ולהעברות כספים שאינן חוקיות.
סייבר בעולם
העימות במזרח-אירופה: עשרות חברות, בנקים ומשרדי ממשלה באוקראינה נפגעו בתקיפות סייבר המיוחסות לרוסיה
בצל המלחמה העלולה לפרוץ בין שתי המדינות, נראה כי הלוחמה במימד הסייבר יצאה לדרך. השבוע דווח באוקראינה על עשרות גופים שחוו מתקפות סייבר, רובן מסוג DDoS (מניעת שירות), כאשר בציוץ של משרד הביטחון האוקראיני בטוויטר נכתב כי ״אתר משרד הביטחון האוקראיני ספג כנראה מתקפת DDoS: נרשמה כמות מופרזת של בקשות לשנייה". עוד נפגעו במתקפות האפליקציות הבנקאיות Privat24 ,Oshchadbank 24/7 ו-Monobank, ואתרי הצבא ושירות הביטחון האוקראינים. על פי דיווח של המרכז לתקשורת אסטרטגית, שהינו גוף הסברתי שהוקם על ידי הממשלה המקומית, גל מתקפות הסייבר שפקד את המדינה במהלך השבוע הוא הגדול ביותר בהיסטוריה של אוקראינה והתאפיין, בין היתר, במתקפות UDP flood ,SYN flood ,MAC flooding ו-DNS Amplification. המתקפות ארכו שעות בודדות ומרבית הארגונים שבו לשגרת פעילותם תוך זמן קצר. על פי ההערכות, מטרת התקיפות הייתה מפגן כוח של גורמים חיצוניים. בתוך כך, על פי דיווח של שירות הביטחון האוקראיני, שתי חוות בוטים שנמצאו בעיר לבוב ותפעלו כ-18,000 חשבונות ברשתות החברתיות נתפסו ונסגרו. לדברי שירותי הביטחון, החוות שימשו בעיקר להפצת מידע כוזב ברשתות החברתיות על מנת לעורר פחד בקרב תושבי המדינה, כדוגמת הדיווח לכאורה בטוויטר של מחלקת הסייבר של משטרת אוקראינה על הודעות SMS המתריעות מפני כשלים טכניים בכספומטים. עוד נמסר משירותי הביטחון כי במהלך הפשיטה על החוות נתפסו גם כ-3,000 כרטיסי SIM ששימשו את מפעיליהם להפצת מידע באמצעו מסרונים.
ספרד: המשטרה עצרה כנופייה החשודה בגניבת כספים מחשבונות בנק באמצעות גניבת SIM
8 חשודים שפעלו מאזור קטלוניה נעצרו בסוף השבוע שעבר בחשד לגניבת זהויות וכספים מחשבונות בנק ברחבי המדינה. מהמשטרה נמסר כי החשודים זייפו מסמכים רשמיים, הזדהו בפני הקורבנות כנציגי בנק על מנת להשיג מידע רגיש שבאמצעותו רימו חברות סלולר, והתחזו לקורבנות עצמם בבקשם לבצע החלפת כרטיס SIM. משבוצעה ההחלפה, התוקפים התחברו לחשבונות הבנק של הקורבנות, דבר אשר לרוב דורש הקשת קוד שנשלח אל הטלפון הנייד, או במקרה הזה - אל מכשיריהם של התוקפים, עם כרטיסי ה-SIM החדשים. באופן זה הצליחו חברי הכנופייה להשתלט על חשבונות הבנק והחלו לרוקן אותם. עד כה הוקפאו 12 חשבונות שנפרצו, לאחר שנאספו ממצאים המעידים על ניסיון להלבין את הכספים על ידי העברות בנק רבות ושימוש באמצעי תשלום דיגיטליים.
חוקרי אבטחת מידע של Secureworks מייחסים את הנוזקה ShadowPad לקבוצות תקיפה הקשורות לממשל הסיני
נוזקת ה-RAT, שהופצה באמצעות קבוצת התקיפה הסינית BRONZE ATLAS עוד משנת 2017, התפשטה למספר גדול של קבוצות תקיפה סיניות אחרות, ומ-2019 שימשה במתקפות נגד ארגונים במספר מגזרים עסקיים. ShadowPad נטענת אל זיכרון המערכת, מוצפנת באמצעות אלגוריתם ייחודי ומפוצחת בעת הרצתה על מנת לחמוק ממערכות הגנה. בהמשך, ShadowPad מחלצת מידע אודות מערכת ההפעלה ומסוגלת להריץ עליה פקודות ולבצע פעולות בקבצי מערכת ועריכה של מפתחות וערכי Registry. טעינת הנוזקה מנצלת חולשה בשירותים במערכת ההפעלה, הפגיעים למתקפת DLL Hijacking. באופן זה מתאפשר לה לטעון את עצמה ״בשקט״, עם הרשאות גבוהות. בתוך כך, יש הקושרים את פעילות הנוזקה לתנועות של פעילים פוליטיים.
Fortinet מזהירה מפני קמפיין של Moses Staff נגד ארגונים ישראליים המנצל חולשות בשרתי דואר של מיקרוסופט
לפי מחקר שפרסמה החברה, התקיפות - שנמשכות מזה מספר חודשים - מתמקדות במערכת ההפעלה Windows. במהלך השנה האחרונה מנעה FortiEDR התקפות מרובות שניסו לנצל חולשות בשרתי Microsoft Exchange, בהן אותו קמפיין שהופעל על ידי קבוצת ״מטה משה״, הפועלת ממניעים גיאו-פוליטיים, ככל הנראה בחסות הממשל האיראני. קמפיין זה מכוון אך ורק כלפי ארגונים ישראליים, ובחינה מדוקדקת שלו מעלה כי הקבוצה פעילה כבר יותר משנה ומתאפיינת בפעילות ״מתחת לרדאר״, עם קצב זיהוי נמוך במיוחד. מן המחקר של Fortinet עולה כי החדירה הראשונית של ״מטה משה״ למערכת מושגת על ידי ניצול ProxyShell בשרתי Microsoft Exchange, על מנת לאפשר לתוקף שאינו מאומת לבצע בשרת פקודות שרירותיות דרך יציאת HTTP\S חשופה. כתוצאה מכך, התוקפים מצליחים לפרוס ברשת שני מאזינים ולהטמיע בה קבצים להתקנת המטען שנמצא ב- C:\Windows\System32\drvguard.exe. כאשר המטען מופעל ביחד עם ארגומנט שורת הפקודה "I- ", הוא מתקין את עצמו כשירות המכונה DriveGuard. בשלב הבא מורצות פקודות להטמעת Backdoors נוספות ברשת, לשם שמירת אחיזת התוקפים בה והתחלת תהליך גניבת המידע והצפנת הקבצים. במחקר מפורטת דרך הפעולה המלאה של הקבוצה, לצד IOCs אותם מומלץ להזין במערכות הגנה של ארגונים, על מנת להתגונן מפני הקמפיין.
סייבר ופרטיות - רגולציה ותקינה
ה-FBI וה-DHS לארגונים האחראים על תשתיות קריטיות בארה"ב: התכוננו למתקפות סייבר רוסיות
בשיחת ועידה יוצאת דופן שהתקיימה ב-15 בפברואר, לשכת החקירות הפדרלית (הFBI) והמחלקה לביטחון המולדת של ארצות הברית (DHS) הזהירו מפני המתקפות גורמים המופקדים על הגנת סייבר של תשתיות קריטיות, כל זאת על רקע המתיחות בין רוסיה לאוקראינה, ולאחר שרוסיה כבר השיגה אחיזה במערכות אוקראיניות. החשש שהובע הוא שהמערכה תלווה בפעולות סייבר עוינות גם נגד ארצות הברית ואירופה, במטרה להדגיש את פגיעותן של חברות פרטיות במערב. במהלך שיחת הוועידה, נציגי סוכנויות הממשל הפדרלי והמקומי תודרכו בנושא סימני פעילות רוסית עוינת ברשתות ארגוניהם, ונקראו לדווח ל-FBI ול-DHS על סימנים כאלה בהקדם האפשרי.
הוועדה האמריקאית לניירות ערך ולבורסות מקדמת כללי דיווח חדשים על תקיפות סייבר של חברות לייעוץ השקעות
ב-11 בפברואר פרסמה ה-SEC את טיוטת הכללים החדשים שיחילו על יועצי השקעות, חברות השקעות ויועצים עסקיים חובת דיווח על אירועי סייבר תוך 48 שעות מרגע שנודע על התרחשותם, כמו גם חובות רגולטוריות אחרות. חברות אלה, שעד כה לא נדרשו לדווח על אירועי סייבר שפגעו בארגוניהן, יידרשו גם לאמץ נהלים ותהליכים פנימיים להגברת הגנת הסייבר שלהן. מהלך זה הינו הראשון מבין מספר יוזמות רגולטוריות בתחום הגנת הסייבר שמקדם גרי גנסלר, יו"ר ה-SEC.
הרשות לאיסור הלבנת הון ומימון טרור: מדוחות של גורמי טכנולוגיה עולמיים עולה שישראל היא מהיעדים המועדפים לתקיפות הכופרה
בסקירה של תשלומי הכופר שבוצעו בישראל במהלך אירועי סייבר ("ניצול של המערכת הפיננסית לטובת העברת תשלומים בגין מתקפות כופרה"), אשר פורסמה על ידי הרשות לאיסור הלבנת הון ומימון טרור ב-14 בפברואר, נחשפים נתונים על היקף התופעה בארץ ובמדינות אחרות, בדגש על החשיפה המשמעותית של ארגונים במדינת ישראל למתקפות כופרה: "על פי הערכות שונות, מספר מתקפות הכופרה על גורמים ישראלים גדל בשיעור חד בשנה האחרונה (עד פי 7) ונאמד בין ל1-5 מיליון תקיפות בשנה", למרות ש"חלק ניכר" מהאירועים נבלם. כמו כן, המסמך בוחן דרכים שבהן פורצים מנצלים מסלולים להלבנת הון, לרבות שימוש במטבעות קריפטוגרפיים, ומונה "דגלים אדומים" שקיומם "לחוד או בצוותא, עלול להצביע על פעילות הנחזית כתשלום כופר". עוד מדגיש המסמך כי בנובמבר 2021 נכנס לתוקף צו איסור הלבנת הון האוסר על הלבנת הון ומימון טרור על ידי נותני שירות בנכסים פיננסיים, לרבות מטבעות וירטואליים. בתרשים להלן מפורט מהלך ניצולם של נותני שירותים בתחום המטבעות הדיגיטלי להלבנת הון:
(מקור: ניצול של המערכת הפיננסית לטובת העברת תשלומים בגין מתקפות כופרה, 15.2.2022, עמ' 5)
פרסום חדש של ה-ENISA מנחה ארגונים כיצד להגביר את רמת הגנת הסייבר שלהם
ב-14 בפברואר הסוכנות לאבטחת סייבר של האיחוד האירופי פרסמה במשותף עם צוות החירום של האיחוד האירופי לטיפול באירועי מחשב (CERT-EU) מדריך לתהליכים ואמצעים מומלצים להגברת רמת הגנת הסייבר בארגונים. בין היתר, המדריך כולל Best Practices כגון ניהול הרשאות גישה למערכות, החלת מדיניות סיסמאות, הטלת מגבלות על גישת צד ג' לרשתות ובניית תהליך קבלת סיוע מגופים כמו ה-CERT או ה-CSIRT. פרסום המדריך הוא תוצאה של הסכם שיתוף הפעולה שנחתם ב-2021 בין ה-ENISA וה-CERT-EU, במטרה לבנות יכולות במרחב, שיתוף פעולה תפעולי ושיתוף ידע בין מדינות האיחוד. הוראות ההסכם נכללות בחוק הגנת הסייבר של האיחוד משנת 2019.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס וגיא פינקלשטיין.