top of page
WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 23.03.2023

עיקרי הדברים

  1. ישראל: מערך הסייבר הלאומי מתריע מפני קמפיין OpIsrael שצפוי להתקיים ב 7 באפריל וממליץ לארגונים להיערך בהתאם.

  2.  סייבר בבריאות: שימוע בסנאט על רקע עלייה חדה במתקפות הסייבר על מערכת הבריאות בארה״ב; בלגיה: חשש בקרב בתי חולים לאחר מתקפת הסייבר בבית החולים Saint-Pierre; קבוצת התקיפה KillNet וקבוצות האקטיביסטיות קשורות תוקפות שירותי בריאות עם התקפות DDoS.

  3.  צרפת: חברות ביטוח בצרפת יכסו הוצאות של אירועי סייבר - בתנאי שהמבוטח מדווח את האירוע לרשויות.

  4.  השבוע בכופרה: Ferrari מדווחת על דלף מידע לאחר מתקפת כופר; Hitachi Energy מאשרת כי חוותה מתקפת כופרה. החברה ההולנדית Royal Dirkzwager המספקת שירותים לתעשיית הספנות  נפגעה ממתקפת כופרה.

  5.  *אנו ממליצים לעדכן את המוצרים הבאים:  ערכת השבבים Samsung Exynos (zero day); OpenShift Container פלטפורמת (גבוה); דפדפן Google Chrome (גבוה);  שרתי Jenkins (גבוה); פקודת Curl (אין ציון);*

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

התגלו 18 חולשות Zero-Day בערכת השבבים Samsung Exynos
עדכון אבטחה ל-OpenShift Container Platform נותן מענה ל-2 חולשות ברמת חומרה גבוהה
עדכון אבטחה ל-SSH נותן מענה ל2 חולשות שלא נוצלו
עדכוני אבטחה לחולשות ברמת חומרה גבוהה ב-Google Chrome
חולשות בשרתי Jenkins ברמת חומרה בינונית עד גבוהה
Microsoft תיקנה בעדכוני מרץ חולשה קריטית ב Outlook המאפשרת העלאה של הרשאו

התקפות ואיומים

האקרים מזריקים קוד זדוני לתוך רכיבי תשלום ברחבי הרשת לגניבת כרטיסי אשראי

השבוע בכופרה

FBI, CISA ו-MS-ISAC מפרסמים ניתוח כופרת LockBit 3.0 ודרכי התמודדות.
Hitachi Energy מאשרת כי חוותה מתקפת כופרה
צוות המחקר של Palo Alto מזהיר מפני קבוצת הכופרה Trigona
חברת Ferrari מדווחת על דלף מידע לאחר מתקפת כופרה

סייבר בעולם

שימוע בנושא סיכוני סייבר במגזר הבריאות בארה״ב: דיון בנושא עלייה בכמות המתקפות וקידום חוק הסייבר בתשתיות הקריטיות
התגלתה פריצת אבטחה מידע שמשפיעה על מעריצי ה- NBA
חברת Microsoft משתפת סקריפט הנותן מענה לפגם המאפשר עקיפה של מנגנון האבטחה של BitLocker ב-Windows Recovery Environment
הנוזקה Emotet חוזרת לאחר הפסקה ומופצת באמצעות OneNote
מעל ל 1.6 מיליון דולר בקריפטו נגנבו מכספומטים של היצרנית General Bytes
קבוצת תקיפה חדשה ״Bad Magic" נצפתה בין הקונפליקט של רוסיה-אוקראינה
BreachForums נסגר על ידי מנהל האתר

סייבר בגופי בריאות

בלגיה: חשש בקרב בתי חולים לאחר מתקפת הסייבר בבית החולים Saint-Pierre
KillNet וקבוצות אקטיביסטיות קשורות תוקפות שירותי בריאות באמצעות מתקפות DDo

סייבר בספנות ולוגיסטיקה

החברה ההולנדית Royal Dirkzwager המספקת שירותים לתעשיית הספנות נפגעה ממתקפת כופר

סייבר בישראל

מערך הסייבר הלאומי מפיץ המלצות להתגוננות לקראת OpIsrael2023

סייבר ופרטיות - רגולציה ותקינה

מערך הסייבר הלאומי מפיץ המלצות להתגוננות לקראת OpIsrael2023
סייבר ופרטיות- רגולציה ותקינה
מערך הסייבר הלאומי מפיץ המלצות להתגוננות לקראת OpIsrael202

כנסים

 
 

הציטוט השבועי

״השארת הזירה פנויה לפצחנים פרטיים באופן קבוע במהלך שבתות השנה תזמין בסופו של דבר גם את הפצחנים המדינתיים לפגיעה במרחב הקיברנטי כולו, לרבות במערכות שהשבתתן כרוכה בסכנת חיים ברורה. …] נראה שיש להתיר את הפעלת מערך הסייבר לשם הגנה על מערכות ענק הנותנות שירותים לכלל האוכלוסייה, גם כאשר מדובר בפעולות הגנה שגרתיות על עסקים פרטיים, ואף שלא זוהתה כל מתקפה פעילה.״ 

- הרב אורי סדן | אמונת עתיך 138 (תשפ"ג), עמ' 124-129 בנושא הפעלת מערך סייבר להגנה על תשתיות אזרחיות בשבת

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

התגלו 18 חולשות Zero-Day בערכת השבבים Samsung Exynos

צוות מחקר הסייבר של גוגל, Project Zero  חשף 18 חולשות Zero-Day ב Samsung Exynos ערכת שבבים של Samsung שנמצאת במכשירים סלולרים, שעונים ואוזניות (מכשירים לבישים) וכלי רכב. 4 מתוך ה-18 חולשות שהתגלו דורגו כחמורות במיוחד מבין החולשות ויכולות לאפשר לתוקף, בניצול מוצלח שלהם, לבצע הרצת קוד מרחוק ללא צורך בפעולה מצד המשתמש. על פי הפרסום על מנת לבצע תקיפה על מכשירים פגיעים, נדרש רק מספר הטלפון של הקורבן ובנוסף לזאת תוקפים יכולים לייצר ניצול לחולשה זו שתפעל ברקע מבלי שהמשתמש יעלה על פעולה זו. 14 החולשות הנוספות שהתגלו לא דורגו בשלב זה בדרגת חומרה קריטית ועל מנת לנצל אחת מחולשות אלו יש צורך בגישה לוקאלית למכשיר או תוקף שפועל מתוך הרשת של המפעיל הסלולרי. חולשות אלו משפיעות על מגוון מכשירים סלולרים מיצרנים שונים ונכון לעכשיו קיים עידכון שמופץ על ידי סמסונג אך לא יכול להיות מיושם על ידי כלל המשתמשים שפגיעים לחולשות אלו, עד שלב שיצא עידכון לחולשות אלו לכלל המכשירים הפגיעים משתמשים יכולים להימנע מפגיעות לחולשה זו על ידי ביטול של שיחות באמצעות WiFi וביטול של Voice-over-LTE (VoLTE). 


עדכון אבטחה ל-OpenShift Container Platform נותן מענה ל-2 חולשות ברמת חומרה גבוהה

החולשות (CVE-2021-4238, CVSS:7.0) ו-(CVE-2023-25725, CVSS:7.5)  שהתגלו ב-OpenShift Container מקבלות מענה בעדכון אבטחה האחרון שפורסם על ידי RedHat. אחת החולשות (CVE-2023-25725) היא פגם בעיבוד ה-Headers של HAProxy אשר כתוצאה מהפגם מתעלם  מ-Headers חשובים בבקשת ה-HTTP לאחר קבלתה, מה שעלול לאפשר לתוקפים לבצע מקתפת HTTP Smuggling ולעקוף את מערכת הסינון של HAProxy שנועדה להגן מפני מתקפות מסוג זה. הגרסה הפגיעה לחולשות אלה היא OpenShift Platform Container 4.12. צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסה העדכנית בהתאם להוראות היצרן.

עדכון אבטחה ל-SSH נותן מענה ל2 חולשות שלא נוצלו

Curl פירסמה עידכון אבטחה עבור שתי חולשות שהתגלו במערכת (CVE-2023-27538, CVE-2022-27782) החולשות נובעות מתוך שגיאה ב libcurl אשר מאפשרת לבצע שימוש חוזר בחיבור SSH שנוצר בעבר גם כאשר בוצעה שינוי בהגדרות של חיבור ה SSH דבר שהיה אמור לבטל אפשרות לשימוש חוזר בחיבור. החולשה (CVE-2023-27538) זהה בחלקה לחולשה קודמת (CVE-2022-27782) מכיוון שהתיקון אשר בוצע לחולשה זו לא בוצע בצורה טובה ולא פתר את השגיאה. Curl פרסמו שחולשה זאת קיימת בכל גרסה לפני הגרסה האחרונה (7.16.1-7.88.1). צוות קונפידס ממליץ למשתמשי המוצר לבצע עידכון ל SSH לגרסה האחרונה (8.0.0) כפי שפורסמה על ידי Curl  ובנוסף להימנע מהעברות SFTP ו SCP.

עדכוני אבטחה לחולשות ברמת חומרה גבוהה ב-Google Chrome

גוגל משחררת עדכוני אבטחה לדפדפן הכרום, העדכון כולל את הגרסאות 111.0.5563.110 עבור Mac ו- Linux, גרסה 111.0.5563.110/.111 עבור Windows וגירסה 111.0.5563.115.116 עבור Android.
העדכון מטפל ב-8 בעיות אבטחה,כאשר 7 מהן מדורגת עם ציון CVSS גבוה והן עלולות לאפשר לתוקף לבצע הרצה של קוד, מניעת שירות ולהקרסה של המערכת כתוצאה משימוש לא נכון בזיכרון דינאמי.
החולשות משפיעות על כל הגרסאות מתחת לגירסאות החדשות ביותר והן תהיינה זמינות בימים הקרובים.
צוות קונפידס ממליץ לעדכן לגרסאות החדשות עם שחרורן.

חולשות בשרתי Jenkins ברמת חומרה בינונית עד גבוהה 

Jenkins, שרת אוטומציה בקוד פתוח, הוציאה עדכוני אבטחה על פגיעויות במוצרים שונים הכוללים תוספים רבים כגון OctoPerf Load Testing Plugin, JaCoCo Plugin ו-Pipeline Aggregator View Plugin. החולשות נעות בין רמת חומרה בינונית לגבוהה ומשפיעות על פונקציונליות מרובות. מתוך ה-17 חולשות שנמצאו, 13 מהן ברמת חומרה גבוהה אשר הן עלולות לאפשר לתוקף לא מאומת לבצע הרצה של קוד זדוני בשרת של הקורבן. אנו בקונפידס ממליצים למשתמשי המוצרים לעדכונם בהקדם לגרסאותיהן האחרונות על מנת להפחית את סיכוני האבטחה. הסברים מפורטים על החולשות, הגרסאות המושפעות והעדכונים המומלצים מפורסמים  באתר היצרן.

Microsoft תיקנה בעדכוני מרץ חולשה קריטית ב Outlook המאפשרת העלאה של הרשאות

בהמשך לעדכוני מרץ ששיחררה החברה (ראו דו״ח סייבר שבועי 16.3.23), מיקרוסופט מדגישה על החולשה (CVE-2023-23397, CVSS 9.8) מסוג Elevation of Privilege (העלאת ההרשאות), אשר מאפשרת גניבה של אישורי NTLM לרשתות לא מהימנות, כמו למשל לרשת האינטרנט. כתוצאה מכך התוקף יכול להשיג גישה ליומן הקורבן (בו הוא יכול להשתיל קישורים זדוניים), ולמערכות נוספות התומכות באימות NTLM.
הפגיעות מתאפשרת כאשר התוקף שולח מייל בעל מבנה מיוחד לקורבן שעם פתיחתו הוא מאלץ את ה Outlook client של הקורבן לבצע אימות מול שרת בשליטתו באמצעות פרוטוקול האימות NTLM אשר נחשב ללא בטוח.
כל זאת ללא אינטראקציה מצד הקורבן מלבד לפתיחה של המייל שהתקבל מהתוקף.
החולשה תוקנה בעדכוני מרץ של Microsoft והיא משפיעה על כלל הגרסאות של Microsoft Outlook עבור Windows, ואינה משפיעה על Microsoft Outlook עבור Android, iOS, Mac, על Outlook ב web ועל M365.
אנו בקונפידס ממליצים למשתמשים לגשת ולעדכן בהקדם את עדכוני מרץ כפי שפורסם באתר היצרן ובפרט את המוצר Outlook.

התקפות ואיומים

האקרים מזריקים קוד זדוני לתוך רכיבי תשלום ברחבי הרשת לגניבת כרטיסי אשראי

עלה קמפיין חדש לגניבת כרטיסי אשראי אשר מתנהל בצורה שונה לגמרי ממה שנראה עד כה במתקפות מסוג זה. הקמפיין מתבצע על ידי הזרקת קוד זדוני לתוך תוסף עיבוד תשלומים של Authorize.net בשירותי WooCommerce. בעבר כאשר גורמים זדוניים השיגו גישה לשרתים מסוג WordPress הם הריצו שירות של WooCommerce וביצוע הזרקה של קוד JavaScript זדוני לעמודי התשלום של לקוחות על מנת לבצע את גניבת כרטיסי האשראי. השיטה החדשה מאפשרת לתוקפים להתחמק מזיהוי של מערכות הגנה וסריקה כאלה ואחרות. WooCommerce זוהי פלטפורמת eCommerce פופולארית לאתרי WordPress, המונה כ-40% מכל חנויות האונליין. על מנת לקבל תשלומים בכרטיסי אשראי, החנות משתמשת מערכת לעיבוד תשלומים לדוגמא: Authorize.net (מערכת עיבוד תשלומים פופולארית שנמצאת בשימוש של כ-40,000 חנויות אונליין).

בבלוג חדש שפורסם על ידי Sucuri מדווחים כי גורמים זדוניים אשר משיגים גישה לאתרי WooCommerce עורכים את קובץ ה-"class-wc-authorize-net-cim.php", אשר הינו אחד מהקבצי ה-Authorize.net התומכים באינטגרציה של מערכת  התשלום לסביבות WooCommerce. הקוד שמוזרק בודק אם בקשת ה-HTTP מכילה בגופה את הערך "wc-authorize-net-cim-credit-card-account-number", דבר המעיד כי הבקשה מכילה מידע אודות תשלום לאחר שמשתמש מבצע Checkout בחנות האונליין. במידה וכן, הקוד מייצר סיסמא רנדומלית ואיתה מצפין את המידע הרגיש של המשתמש (המכיל את כרטיס האשראי של הקורבן) באמצעות הצפנה מסוג AES-128-CBC ובאמצעות כך מסתיר מידע זה בתוך קובץ תמונה, אותו התוקף ימשוך אליו בשלב מאוחר יותר. מדובר במתקפה מתוחכמת ביותר שהושקעה בה מחשבה רבה ותכנון רב.

השבוע בכופרה

FBI, CISA ו-MS-ISAC מפרסמים ניתוח כופרת LockBit 3.0 ודרכי התמודדות.

הבולשת הפדרלית של ארצות הברית CISA, FBI, והמרכז שיתוף וניתוח מידע רב-מדינות (MS-ISAC) פרסמו מסמך משותף בנוגע לדרכי התמודדות עם כופרת לאבטחת סייבר בשם: StopRansomware: LockBit 3.0. מאז 2019, LockBit פועלת על בסיס מודל תוכנת הכופר כשירות (RaaS), מכוונת למגוון רחב של עסקים וגופי תשתית קריטיים. ל-LockBit 3.0, הידוע גם בשם LockBit Black, יש ארכיטקטורה מתקדמת יותר מהגרסאות הקודמות שלה (Lockbit ו- Lockbit 2.0), המאפשרים לשנות את התנהגותו לאחר הפריסה ובכך מקשה על יכולות צוותי ההגנה להתחקות אחריה. 

LockBit 3.0 משיגה גישה ראשונית לרשתות של קורבנות באמצעות ניצול פרוטוקול RDP, פישינג ושימוש בחשבונות מאומות. לאחר השגת גישה אם ההרשאות אינן מספיקות, LockBit 3.0 ינסה להסלים להרשאות הנדרשות בשביל לבצע פונקציות כגון: איסוף מידע במערכת, סיום תהליכים ושירותים, ביצוע פקודות זדוניות, הפעלת כניסה אוטומטית להתמדה, מחיקת קבצי הכוללים קבצים בתיקייה של סל המיחזור ותמונות אשר שנמצאות בדיסק.  

LockBit 3.0 עשוי לאפשר הפצה באמצעות Group Policy Objects ו-PsExec באמצעות פרוטוקול SMB. 

אחרי שהקבצים מוצפנים LockBit 3.0 משחרר פתק כופר עם שם הקובץ החדש: "Ransomware ID>.README.txt".

LockBit 3.0 עשוי למחוק את עצמו מהדיסק וכן כל עדכוני שבוצעו ב Group Policy Objects. 

שותפי LockBit 3.0 משתמשים בכלים שונים, כולל Stealbit, rclone ושירותי שיתוף קבצים כמו MEGA, כדי לסנן נתונים רגישים של החברה לפני הצפנתם. 

שיטות נוספות המזדות עם פעילותם של שותפי התוכנה היא שימוש בתוכנות חינמיות וכלי קוד פתוח, לרבות סקריפטים של PowerShell ו-Batch, עבור המתמקדות בגילוי מערכת, גישה מרחוק, הורדת קבצים ומחיקת פרטי משתמש (credential dumping). 

על פי ההמלצה לארגונים ולחברות, מומלץ ליישם שיטות אבטחה להפחתת הסיכונים הקשורים לתוכנת כופר, כגון 

שימוש בסיסמאות חזקות והטמעת אימות רב-גורמי

להשתמש בסיסמאות ארוכות יותר (8-64 תווים) להימנע משימוש חוזר בהן

הפעל נעילות לאחר ניסיונות כניסה כושלים

עדכונים וגיבויים של כל המערכות

שימוש בכלי ניטור 

 מחיקת חשבונות ושירותים שאינם בשימוש

 לשמור על גיבויים מוצפנים 

ניהול גישות אדמין לפי זמנים מוגדרים

 לקבלת הנחיות נוספות בנושא הגנה, זיהוי ותגובה של תוכנות כופר יש להיכנס ללינק הבא.

צוות קונפידס ממליץ להזין את מזהי התקיפה (IOCs) במערכות הניטור של הארגון.


Hitachi Energy מאשרת כי חוותה מתקפת כופרה

Hitachi Energy חברת בת של ענקית הטכנולוגיה היפנית Hitachi שעיקר עיסוקה הוא בתחום האנריגה וכולל פיתרונות אנרגיה פתרונות לתשתיות אנרגיה מאשרת כי עברה אירוע סייבר על ידי קבוצת התקיפה Clop ransomware. בהצהרה שמסרה החברה נאמר כי הפריצה התרחשה בעקבות חולשת Zero-Day בתוכנה GoAnywhere MFT מבית חברת Fortra, חולשת ה Zero-Day  בתוכנה (CVE-2023-0669 CVSS 7.2) נחשפה לראשונה ב 3 לפברואר השנה, בנוסף בהודעה שמסרה החברה נאמר כי בעקבות פריצה זו ייתכן וקבוצת התקיפה השיגה מידע על עובדי החברה וכי לא נמצאו ראיות לכך שמידע של לקוחות או מידע של לקוחות החברה נפגע במהלך התקיפה זו על פי חקירתם עד שלב זה. יש לציין שקבוצת התקיפה Clop ransomware דיווחה כי בין ה- 6 לפברואר בו החולשה ב GoAnywhere MFT דווחה ל 10 לפברואר השנה כי הצליחה לפרוץ ל 130 אירגונים על ידי שימוש בחולשה זו כאשר הקורבן המאומת הראשון הייתה חברת CHS המספקת שירותי רפואה ונפרצה ב 14 לפברואר השנה, הקורבן המאומת השני של קבוצת התקיפה הינו Hatch Bank שהוא פלטפורמה בנקאית ונפרץ ב 2 למרץ השנה.

צוות המחקר של Palo Alto מזהיר מפני קבוצת הכופרה Trigona

״יחידה 42״ של חברת Palo Alto מזהירים מפני קבוצת כופרה אשר מתחילה להראות נוכחות מדאיגה במרחב הסייבר. הקבוצה נצפתה לראשונה באוקטובר 2022 ועל פי דיווחים לא הרבה לאחר מכן בחודש דצמבר 2022 בלבד הצליחה למנות 15 קורבנות. צוות המחקר Unit42 של Palo Alto זיהה 2 מכתבי כופרה חדשים של הקבוצה בינואר 2023 ושתיים חדשים נוספים בפברואר 2023. מכתבי הכופרה של קבוצת התקיפה הם ייחודיים ולא זהים; במקום קובץ הכופרה הרגיל שלרוב נוצר על שולחן העבודה מסוג txt הכופרה של קבוצת התקיפה יוצרת קובץ HTML עם קוד JavaScript מוטמע המכיל מזהים ייחודים למערכת ולקורבן. מהניתוח האחרון של קבוצת התקיפה הצליחו החוקרים מ-Unit42 לזהות מספר מאפיינים ייחודיים המקשרים את התוקפים מאחורי הכופרה לתוקפים שהשתמשו בעבר בכופרה של CryLock. שתי הכופרות משאירות מכתב כופרה בפורמט של HTML ומציינות כי; 1. כל הקבצים, מאגרי המידע, גיבויים ועוד מידע קריטי אחר הוצפנו. 2. ההצפנה מבוססת על האלגוריתם של AES ו-3. המחיר יקבע על פי מהירות יצירת הקשר של הקורבן עם הקבוצה. בנוסף זיהו החוקרים כי הקבוצה משתמשת בשיטה קצת לא אופיינית לערפול הקבצים הזדוניים שלהם על ידי שימוש בקבצים בינאריים מוגני סיסמא. גילוי זה יכול להקל לצוותי הגנה לזהות ולחסום פעילות של קבוצת התקיפה Trigona. צוות קונפידס ממליץ לארגונים להזין את המזהים שניתנו בהתראה שפורסמה על ידי Unit42 במערכות ההגנה שלהם.

חברת Ferrari מדווחת על דלף מידע לאחר מתקפת כופר 

פרארי חשפה בפני הלקוחות את הפרת המידע בעקבות דרישת כופר שהתקבלה לאחר שתוקפים קיבלו גישה לכמה ממערכות ה-IT של החברה. בהודעה שפרסמה החברה היא מדווחת כי גורם בלתי מורשה השיג גישה לרשת החברה ומידע של לקוחות - שמות, כתובות, כתובות מייל ומספרי טלפון. יצרנית מכוניות הספורט האיטלקית אמרה כי התוקפים השיגו גישה לרשת שלה ודרשו כופר כדי לא להדליף נתונים שנגנבו מהמערכות שלה. לצד זאת, טרם נחשף אם מדובר במתקפת כופר או בניסיון סחיטה. 

בהצהרה של החברה נמסר כי "Ferrari N.V. מודיעה כי פרארי S.p.A., חברת הבת האיטלקית, קיבלה לאחרונה איום עם דרישת כופר הקשורה לפרטי יצירת קשר מסוימים של לקוחות". החברה דיווחה על התקרית לרשויות הרלוונטיות והצהירה כי "עם קבלת דרישת הכופר, התחלנו מיד בחקירה בשיתוף חברת אבטחת סייבר עולמית מובילה". עד כה, פרארי עדיין לא מצאה הוכחות לכך שתוקפים השיגו גישה או גנבו פרטי תשלום, מספרי חשבון בנק או מידע פיננסי רגיש אחר. החברה הודיעה בנוסף כי "כמדיניות, פרארי לא תוחזק בכופר מאחר שתשלום דרישות כאלה מממן פעילות פלילית ומאפשר לשחקני איומים להנציח את התקפותיהם". עוד הוסיפו ש"במקום זאת, האמנו שדרך הפעולה הטובה ביותר היא ליידע את לקוחותינו ולכן הודענו ללקוחותינו על חשיפת הנתונים הפוטנציאלית ועל אופי האירוע".

סייבר בעולם

 שימוע בנושא סיכוני סייבר במגזר הבריאות בארה״ב: דיון בנושא עלייה בכמות המתקפות וקידום חוק הסייבר בתשתיות הקריטיות

תקציר: ביום חמישי האחרון (ה-16 במרץ) העידו נציגים בכירים מטעם מערכת הבריאות האמריקנית בפני הוועדה לביטחון פנים ולענייני ממשל של הסנאט על סיכוני סייבר במגזר הבריאות במקרה של מתקפות כופרה. הדיון, שנערך בהובלת הסנטור גרי פיטרס, ראש ועדת הסנאט לביטחון פנים ועניינים ממשלתיים, נערך על רקע עלייה חדה במתקפות הסייבר על מערכת הבריאות, והעובדה שהיא מהווה יעד מבוקש ביותר להתקפות סייבר. לאורך הדיון המחוקקים דיברו על צעדים אפשריים שהקונגרס צריך לקדם כדי לשפר את אבטחת הסייבר של תעשיית הבריאות. כמו כן, לאורך הוועדה הודגשה חומרת האיום, הוצגו נתונים על מתקפות סייבר במערכת הבריאות לאורך השנה האחרונה ותואר בפירוט כיצד הן משפיעות על הטיפול בחולים ומסכנות מידע רפואי רגיש. בנוסף דנו באיום גבוה יותר של בתי חולים שנמצאים באזורים כפריים למתקפות כופרה פוטנציאליות בשל דלות משאבים והשקעה בסייבר.  

בפתיחת הדיון, סנאטור גרי פיטרס תיאר את חשיבות תעשיית הבריאות האמריקנית, שמונה 18 מיליון עובדים, ואת העובדה שהיא פגיעה יותר לתקיפות סייבר בשל הפוטנציאל הטכנולוגי הגבוה והרגישות הגבוהה של המידע המצוי במערכות. ההשלכות של מתקפת סייבר על בתי חולים, לטענת הסנטור, ״עלולות לגרום לשיבושים חמורים בפעילותם ולמנוע מהם לספק ביעילות טיפול קריטי ומציל חיים למטופליהם״. זאת בנוסף ל״איום על המידע האישי המטופלים והפרת הפרטיות שלהם״. בפתיחת הדיון הסנאטור הציג מתקפות סייבר מרכזיות שקרו לאחרונה בבתי חולים ברחבי ארה׳׳ב: השבתת בית חולים בפלורידה בשבוע שעבר, פטירה של פג בשל היעדר גישה למוניטורים בבית חולים באלבמה ועוד. לאחר מכן הוא תיאר את החשיבות של יישום חוק ׳דיווח תקריות סייבר לתשתיות קריטיות׳ שהוא יזם בתמיכה דו-מפלגתית. בבסיס החקיקה עומדת חובת דיווח על מתקפות כופרה מצדן של תשתיות קריטיות, כגון תעשיית הבריאות, ל-CISA (הסוכנות האמריקנית להגנת תשתיות וסייבר). לטענת הסנטור החוק חיוני בשל העובדה שהוא ״יאפשר למדינה פיקוח טוב יותר על התנהלות התשתיות הקריטיות במרחב הסייבר, יחזק את השקיפות ואת הנגשת המידע על איומי סייבר ויאפשר ל-CISA לסכל מתקפות סייבר אפשריות״. פיטרס הדגיש כיצד החוק שהוא יזם ״יבטיח שלממשלה הפדרלית יהיו את הכלים והמשאבים הדרושים כדי לעזור להפחית את ההשפעה של המתקפות אלו ולטפל בחולשות ברשת בצורה טובה יותר״. 

העדים בדיון הם בכירים בתעשיית הסייבר שתיארו, כל אחד מנקודת מבטו, את ההכרח ברגולציה ובמדיניות הגנת סייבר פדרלית, לרבות חקיקה, לצורך הפחתת מתקפות הסייבר על תעשיית הבריאות ויתר התשתיות הקריטיות. העדים ציינו שהחוק של סנטור פיטרס יעודד שקיפות והנגשה של הידע על איומי סייבר, נוסף על שיתוף פעולה של סוכנויות המודיעין השונות. שיתוף פעולה מסוג זה יהיה תחת האחריות של שלושה גופים: CISA (כמוביל לאומי ומוקד ידע טכני שמסייע למגזר הבריאות), HSCC (בתור הנציג של מגזר הבריאות) והתעשייה (בתור אחראים אופרטיביים). הממשלה, לטענתם של העדים, צריכה לעודד את התעשייה על ידי הענקת תמריצים, מתן גישה לטכנולוגיה להגנה מאיומים מתקדמים במחיר סביר ורפורמה בחקיקה כדי להתגונן מפני איומים בצורה הטובה ביותר, מבלי להעניש את קורבנות המתקפות. אחד העדים, Stirling Martin, המשיל את הצורך של התעשייה במטריית הגנת סייבר מצד הממשל בדומה להגנה על אזרחים מפני אסונות טבע: "התעשייה זקוקה לקבוצה אחת של נוהלי אבטחה מחייבים, בין אם מוגדרים על ידי סוכנויות פדרליות כמו NIST או CISA, חברות מובילות כמו HITRUST, או שיתופי פעולה כמו HSCC". מרטין ציין כי "זה יעלה את רמת האבטחה הכוללת של ארגוני שירותי בריאות על ידי עידוד שלהם לעמוד בנוהלי אבטחה מקובלים. לבסוף, בתגובה לאירועי סייבר, נחוצה תגובה דומה לאופן שבו FEMA מגיבה לאסון טבע, כאשר תמיכה מצד הממשלה יכולה לעזור לארגוני בריאות להתגבר על כל מתקפת סייבר". העדים ציינו לטובה את פרסום ׳המדריך ליישום מסגרת הגנת סייבר במגזר שירותי הבריאות ובריאות הציבור׳ שנכתב על ידי מועצת התיאום של מגזר הבריאות (HSCC) ומשרד הבריאות והשירותים האמריקני (HHS) בסיוע של מומחים מתעשיית הגנת הסייבר. הפרסום המשותף לתעשייה-ממשלה שואף לסייע לספקי בריאות וחברות ליישם את NIST CSF, מה שיאפשר לארגוני בריאות להעריך את נוהלי אבטחת הסייבר והסיכונים הנוכחיים שלהם, ולזהות פערים לתיקון.

העדה Kate Pierce סקרה בפני משתתפי הוועדה את איומי הסייבר המובילים עבור שירותי הבריאות בשנת 2022: פישינג, תוכנות כופר, פרצות נתונים והתקפות DDoS. "בעוד שהאיומים הללו היו נפוצים בכל רחבי התשתיות הקריטיות, בשנת 2022 המשיכה שירותי הבריאות להיות המגזר המוביל, עם 148 מתוך 649 התקפות הסייבר על תשתיות קריטיות ממוקדות לארגוני בריאות". בעדותה הוסיפה על איום ייחוס וחשיפה גבוהה יותר למתקפות סייבר בקרב בתי חולים קטנים ודלי משאבים שנמצאים לרוב באזורים כפריים. לטענתה, הקשיים של אותם מוסדות כוללים ״מגבלות תקציב, משאבים דלים ליישום הגנת סייבר והעסקת אנשי אבטחת מידע, קושי בגיוס כוח אדם מקצועי וחוב טכני (לפי ויקיפדיה, ׳חוב טכני׳ הוא ״עיקרון בפיתוח תוכנה, שמשקף את העלות המרומזת של תוספת עבודה. העלות הזו נוצרת כאשר בוחרים בפתרון קל ומיידי במקום בגישה טובה יותר שתדרוש זמן רב יותר״). 

סנאטור ג'קי רוזן הוסיפה נתונים בנושא מתקפות סייבר כשדיברה בדיון אמרה ש״מערכת הבריאות היא אחת מ-16 תשתיות קריטיות ואבטחת המידע שלהן הכרחית להבטחת הביטחון הלאומי של ארה״ב. ב-3 השנים האחרונות הוכפלה כמות פרצות נתונים במערכת הבריאות (Data Breaches) וחולשות אבטחה מופיעות חדשות לבקרים. לכן, נחוץ שיתוף פעולה בין הרשויות והמשך קידום החקיקה שתעודד ותייצר תמריצים להגנת סייבר במערכת הבריאות״.

רשימת העדים בדיון:

  • Scott Dresen, senior vice president for information security and chief information security officer at Corewell Health. 

  • Kate Pierce, senior virtual information security officer at Fortified Health Security.

  • Greg Garcia, executive director for cyber security at the Healthcare and Public Health Sector Coordinating Council

  • Stirling Martin, senior vice president and chief privacy and security officer at Epic Systems.

:קיצורים 

  • Health Sector Coordinating Council (HSCC)

  • U.S. Department of Health and Human Services (HHS)

  • National Institute for Standards and Technology (NIST)

  • Cybersecurity and Infrastructure Security Agency (CISA)

  • Federal Emergency Management Agency (FEMA)

התגלתה פריצת אבטחה מידע שמשפיעה על מעריצי ה- NBA 

ה-NBA, ארגון ספורט ומדיה עולמי המנהל חמש ליגות ספורט מקצועיות, כולל ה-NBA, WNBA, ליגת הכדורסל אפריקה, ליגת ה-NBA G וליגת ה-NBA 2K, ארגון ה NBA הודיע במייל ללקוחותיו כי: ״לאחרונה נודע לנו שצד שלישי לא מורשה השיג גישה לשמך וכתובת הדוא"ל שלך והשיג עותק של מידע זה, שהוחזקו על ידי ספק שירות צד שלישי שעוזר לנו לתקשר באמצעות דואר אלקטרוני עם מעריצים ששיתפו איתנו מידע זה״. בנוסף, צוין כי המערכות שלהם לא נפרצו והזהירו ממתקפות פישיניג המתחזות ל NBA. על פי Bleeping Computer ה-NBA עובדת עם ספק השירותים של הצד השלישי כחלק מחקירה מתמשכת ושכרה את שירותיהם של מומחי אבטחת סייבר חיצוניים כדי לנתח את היקף ההשפעה.

דובר  NBA מסר ל- Bleeping Computer  כי  ״צד שלישי לא מורשה השיג גישה למערכות ה IT של ספק שירותי NBA לתקשורת סלולרית ואימייל וכתוצאה מכך , נלכדו עותקים של שמות וכתובות דוא“ל של כמה אוהדי NBA. אין כל השפעה על מערכות ה-NBA או על הנכסים המוחזקים בצורה מאובטחת ב-NBA. הליגה נקטה מיד בפעולה כדי להכיל את הנושא, לזהות את אלו שנפגעו וחישוב הצעדים הבאים״.

חברת Microsoft משתפת סקריפט הנותן מענה לפגם המאפשר עקיפה של מנגנון האבטחה של BitLocker ב-Windows Recovery Environment 

חברת Microsoft מקלה על משתמשיה לאבטח Images של WinRE נגד נסיונות לניצול חולשת CVE-2022-41099, CVSS: 4.6, המאפשרת לעקוף את מנגנון האבטחה של BitLocker אשר ניצול מוצלח של החולשה מאפשר לגורמים זדוניים בעלי גישה פיזית למכשירים פגיעים לגשת למידע מוצפן על ידי שימוש בטכניקה לא מורכבת. הסקריפט כתוב בשפת PowerShell הפופולארית של Microsoft וכל מה שנדרש מן המשתמש הוא להריצו עם הרשאות Administrator לאחר מכן הסקריפט יבצע מספר פעולות אשר יאבטחו את תמונת ה-WinRE הנוכחית. בנוסף Microsoft משתפים כי לא ניתן לנצל את החולשה עם מבוצע שימוש ב-TPM + PIN Number. את הסקריפט יש להתאים לגרסה של מערכת ההפעלה בה משתמשים ולארכיטקטורת המעבד. את הרסאות השונות ניתן למצוא כאן. צוות קונפידס ממליץ למשתמשים להוריד את הגרסה התואמת למכשירכם ולעדכנו.

הנוזקה Emotet חוזרת לאחר הפסקה ומופצת באמצעות OneNote

Emotet הינה נוזקה טרויאנית שהתגלתה לראשונה ב 2014 ואשר ידועה בשיטת הפצתה באמצעות צרופות במיילי פישינג. לאחר כשלושה חודשים של הפוגה, Emotet חוזרת כאשר השינוי העיקרי בגרסה זו הינה בסוג הצרופה המשמשת לכניסה ראשונית לקורבן. הצרופה מסוג  Microsoft OneNote מכילה מאקרו זדוני אשר נשלח מהבוטנט Epoch 4. בגרסה החדשה הזו של Emotet, מוצגת למשתמש הודעה מזוייפת המדמה הודעה מתוך ה OneNote שאומרת שהמסמך מוגן, ומבקשת מהמשתמש ללחוץ פעמיים על כפתור ה ״הצג״ על מנת להציג את תוכן המסמך. ע״י לחיצה על הכפתור, מופעל סקריפט זדוני אשר בהמשך מאחזר את המטען הבינארי של הנוזקה Emotet מאתר מרוחק, והוא נשמר כקובץ DLL שמורץ באמצעות regsvr32.exe (תהליך לגיטימי של Windows).
לאחר ההתקנה, הנוזקה מתקשרת עם שרת C2 מרוחק על מנת לקבל פקודות נוספות.
אנו בקונפידס ממליצים לגלות עירנות לצרופות אשר נשלחות באמצעות מיילים וברשתות החברתיות, וכמו כן לא לפתוח צרופות המתקבלות מגורמים לא מוכרים ובמיוחד קבצי Office.

מעל ל 1.6 מיליון דולר בקריפטו נגנבו מכספומטים של היצרנית General Bytes

יצרנית כספומטי הקריפטו General Bytes הודיעה כי תוקף לא ידוע הצליח לגנוב מטבעות קריפטו באמצעות ניצול חולשת zero-day בתוכנה של הכספומטים. על פי הודעת החברה התוקף הצליח להעלות אפליקציית ג׳אווה (Java) זדונית מרחוק תוך שימוש בממשק המשמש להעלה של סירטונים והפעלה שלהם במכשירים, בנוסף השרת אליו הועלה הקובץ הזדוני הוגדר להפעיל כול אפליקצייה שנמצאת בתיקיית ״deployment״ בשרת, באמצעות זה  הצליח התוקף לגשת למאגר המידע של החברה, לקרוא ולפענח מפתחות API המשמשים לגישה לכספים ובנוסף לשלוח כספים מארנקים, להוריד שמות משתמש וסיסמאות, לכבות אימות דו שלבי ולגשת ללוגים של פעולות טרמינל (terminal). כחלק מפעולות מיטיגציה שהחברה הוציאה בהודעה ללקוחות החברה, הם מתבקשים לשמור את שרתי אפליקציית הקריפטו שלהם (crypto application servers (CASs)) מאחורי הגנה של Firewall ו VPN וגם לבצע החלפת סיסמאות ומפתחות API. חברת General Bytes  ביצעה תיקון לחולשה והדגישה כי הם מבצעים בדיקות אבטחה משנת 2021 ואף בדיקה חולשה זו לא נמצאה. תקיפה זו הינה התקיפה השנייה על החברה כאשר התקיפה הראשונה התרחשה באוגוסט 2022 תוך ניצול חולשת zero-day אחרת בשרתי הכספומטים של החברה.

קבוצת תקיפה חדשה ״Bad Magic" נצפתה בין הקונפליקט של רוסיה-אוקראינה

תחת המלחמה המתמשכת בין רוסיה לאוקראינה, מוסדות ממשלתיים וארגוני תחבורה הממוקמים בדונטסק לוגאנסק וקרימרה הותקפו כחלק מקמפיין העושה שימוש במערכת תקיפה שלא נראה כמותה בעבר אשר נקראה על ידי חוקרי אבטחת מידע ״CommonMagic". חברת Kaspersky מפרסמת דו״ח חדש המפרט את פעילות הקבוצה אשר עומדת מאחורי המתקפות האלו, לה ניתן השם Bad Magic. פעילות הקבוצה זוהתה לראשונה באוקטובר 2022 ושרשרת ההתקפה של הקבוצה עושה שימוש במלכודות מתוחכמות שנועדו להעביר קורבנות אל לינקים זדוניים המחזיקים קובצי ZIP של התוקפים. קובצי ה-ZIP מכילים בתוכם מסמך הטעיה וקובץ LNK זדוני שמתחיל את שרשרת הפעולות הזדונית שמטרתה להתקין Backdoor במערכת של הקורבן בשם "PowerMagic". הדלת האחורית הכתוב בשפת PowerShell הפופולארית של Microsoft יוצרת חיבור עם שרת מרוחק ומריצה קוד שרירותי על העמדה ואת כל המידע שנאסף מעבירה אל שירותים כמו Dropbox ו-OneDrive. ״PowerMagic" משמש גם לפריסת מערכת התקיפה "CommonMagic" אשר מורכבת ממספר קבצים בינאריים שמטרתם לבצע מספר פעולות מורכבות תוך כדי התקשרות עם שרת ה-C2 של התוקפים. יש לציין שכל התעבורה בין שרת ה-C2 אל העמדה הנתקפת מוצפנת על מנת להימנע מזיהוי של פעולות התוקפים על ידי מערכות הגנה. כמו כן, המערכת עושה שימוש בתוספים ״Plugins", שניים מהם מבצעים צילום מסך כל שלוש שניות ואף אסיפת קבצים בעלי עניין מרכיבי USB המחוברים לעמדה הנתקפת. חברת Kaspersky לא מצאה עדויות לכך שהכלים או פעילות הקבוצה קשורה לכל קבוצת תקיפה או גורם זדוני כזה או אחר. הדגימה הראשונה של קבצי ה-ZIP שמונגשים לקורבנות זוהתה בספטמבר 2021 מה שמעיד על כך שקמפיין התקיפה הזה רץ ככל הנראה מתחת לראדאר במשך כשנה וחצי נכון לעכשיו. לפרטים נוספים ופירוט של פעולות הנוזקות וקבוצת התקיפה יש לגשת לדו״ח המלא של Kaspersky כאן.


BreachForums נסגר על ידי מנהל האתר

בהודעה שפורסמה על ידי Baphomet המנהל הנוכחי של BreachForums ב 21 לחודש נמסר על ידו  כי הפורום נסגר עם דגש על כך שזה לא הסוף, בנוסף בהודעה שפירסם נאמר על ידי Baphomet כי מה שעתיד לבוא יהיה טוב יותר לכולם. BreachForums הינו אתר פורום פופלרי בקרב האקרים שפועל ב dark-web ונראה שהורדת האתר נעשתה בעקבות חשד שרשויות אכיפת חוק הצליחו להשיג גישה להגדרות האתר, קוד המקור שלו ומידע על משתמשים זאת ככול הנראה בעקבות מעצר של Conor Brian Fitzpatrick  שפועל כאדמין של האתר. במהלך החודשים האחרונים הפופלריות של האתר עלתה בעקבות הסגירה של RaidForums בשנה שעברה דבר שגרם ל BreachForums להיות יעד פופולרי למכירה וקנייה של מידע גנוב ממגון חברות ואירגונים. עם הסגירה של BreachForums האקרים ככול הנראה יעבירו את פעולות הקנייה והמכירה לפורומים מחתרתיים או יבצעו שימוש בטלגרם שממשיכה להיות פלטפורמה פופולרית בשימוש של האקרים וקבוצות תקיפה.

 

סייבר בגופי בריאות

 

בלגיה: חשש בקרב בתי חולים לאחר מתקפת הסייבר בבית החולים Saint-Pierre

בשבוע שעבר, בית החולים Saint-Pierre בבריסל היה קורבן למתקפת סייבר שגרמה לחסימת גישה לרשת המחשוב בו ולהאטה בפעילות השרתים. המתקפה הביאה לעיכובים ושיבוש של חלק ניכר ממחלקות בית החולים, לרבות חדר המיון, שהעבודה השוטפת בו נעצרה למספר שעות. בעקבות המתקפה החליטו בבית החולים לנתק את רשת המחשוב כדי למנוע התפשטות אפשרית של הנוזקה. בנוסף, בתי החולים הציבוריים האחרים בעיר בריסל חששו מפני ההשלכות של מתקפה דומה עליהם. טרם נחשף אם מדובר במתקפת כופרה או בניסיון סחיטה.

בכתבה מרואיינים מומחים להגנת סייבר, ביניהם Michele Rignanese מהמרכז הבלגי לאבטחת סייבר (CCB), שהרחיבה על אופן הפעולה של התוקפים. מרואיין נוסף הוא פרופ׳ Nicolas van Zeebroek, מומחה לכלכלה דיגיטלית באוניברסיטת בריסל, והוא מונה את הסיבות מדוע מגזר הבריאות נחשב לפגיע יותר למתקפות סייבר זאת כי הנתונים שנמצאים בבתי החולים נחשבים אטרקטיביים לתוקפים: בתי חולים הם מאגרים יקרי ערך של נתונים אישיים. בנוסף, משטח תקיפה נגיש יחסית: מיקוד ניהולי באתגר הרפואי ולעיתים השקעה שולית בהגנת סייבר ובכוח אדם מיומן. וכן, פוטנציאל טכנולוגי גבוה: המכשור הרפואי ליד המיטות וכל הטלמטריה מחוברים לרשת ולעיתים קרובות הם מאוד פגיעים. עוד נאמר כי "במעבדה אפשר למצוא גם מכשירים שאינם בהכרח מאובטחים היטב".

התמקדות התוקפים בטכניקות של הנדסה חברתית ושיטות פסיכולוגיות משמשות אותם כדי לתמרן ולהונות את המטרות שלהם, כמו פישינג. מרכז הסייבר הבלגי ממליץ שלא לשלם כופר, ללא קשר למי שמבצע אותו, מכיוון שלעולם אין ערובה לשחזור נתונים והוא גורם לפעולה הפוכה ומשמש כתמריץ להאקרים להמשיך בפעילותם.


KillNet וקבוצות אקטיביסטיות קשורות תוקפות שירותי בריאות באמצעות מתקפות DDoS

לפי דיווח של מייקרוסופט, KillNet, קבוצת תקיפה שמשרד הבריאות ושירותי האנוש האמריקאי (DHHS) כינה אקטיביסטים פרו-רוסים, פתחה בגלי התקפות נגד מדינות מערביות, במיקוד על ממשלות וחברות המתמקדות במגזר הבריאות. DHHS פרסם ניתוח בנושא האיום של KillNet על מגזר הבריאות, והזכיר כי הקבוצה כיוונה את המתקפה שלה על ארגון בריאות אמריקאי התומך באנשי צבא ארה"ב. המתקפה העיקרית של קבוצת התקיפה KillNet היא התקפת מניעת שירות (DDoS). התקפות DDoS הן שיטה יחסית קלה וזולה לשיבוש שירותים ואתרי אינטרנט מקוונים. קבוצות פוליטיות משתמשות במתקפת DDoS כדרך למשוך תשומת לב, לשבש שירותים ולהשפיע על התודעה של מושא התקיפה. בנוסף, ניתן לבצע התקפות DDoS באופן אנונימי, מה שעלול להקשות על הרשויות במעקב אחר מבצעים. המחקר של מייקרוסופט, שמבוסס על סטטיסטיקות שנאספו על ארגוני בריאות שמשתמשים בשירותי הענן של Azure, מספר כי מרבית הניסיונות למתקפות DDoS נכשלו. היו מספר התקפות שפגעו ב-5M פקטות לשנייה (pps), אך רוב ההתקפות היו מתחת ל-2M pps. התקפות אלו, שנפחי התקיפה שלהן אינם גבוהים במיוחד, יכולות להפיל אתרים שאינם ממוגנים בכלי הגנת רשת מתקדמים. לפי מייקרוסופט, שלושת המדינות העיקריות שמהן הגיעו התוקפים היו ארה"ב, רוסיה ואוקראינה. החברה ציינה את הפילוח של סוגי ארגוני הבריאות שהותקפו: מדעי הפארמה ומדעי החיים עם 31% מכלל ההתקפות, בתי חולים עם 26%, ביטוחי בריאות עם 16%, ושירותי בריאות וטיפול גם הם עם 16%. 

 

סייבר בספנות ולוגיסטיקה

החברה ההולנדית Royal Dirkzwager המספקת שירותים לתעשיית הספנות נפגעה ממתקפת כופר 

החברה ההולנדית Royal Dirkzwager פרסמה באתר האינטרנט שלה ביום שני ה 13 למרץ כי נפגעה ממתקפת כופר שהתבצעה על ידי קבוצת התקיפה Play.
החברה שנוסדה בשנת 1872 מספקת שירותי ניטור, דיווח, איתור ותקשורת ליותר מ-800 ארגונים בתעשייה הימית ויותר מ200,000 אניות בשנה. מערכות החברה מאפשרות לנמלים לדעת את מועד הגעת הספינות ואת השירותים אשר יהיו זמינים בהגעתה לנמל.
מנכ״ל החברה Joan Blaas שרכש את החברה באוקטובר 2022 לאחר שפשטה רגל, דיווח ל-The Record  שלמתקפה לא הייתה השפעה על הפעילות השוטפת, אך התרחשה גניבת מידע הכוללת חוזים אל מול לקוחות ומידע אישי. כמו כן, שיתף המנכ״ל כי לתקיפה שהתרחשה לאחר פשיטת הרגל וגלי פיטורין, הייתה השפעה עצומה על עובדי החברה וכי הרשות להגנת המידע ההולנדית נמצאת במו״מ עם התוקפים. 

על פי Trend Micro, קבוצת התקיפה Play הופיעה לראשונה ביולי 2022 במטרה לתקוף ארגונים ממשלתיים באמריקה הלטינית ולאחרונה הייתה אחראית למתקפה על עיריית Oakland, מתקפה שגררה שבועות של התאוששות. בשנים האחרונות תעשיית הספנות היוותה קרבן תדיר של מתקפות כופרה. בינואר 2023 כ-1000 ספינות הושפעו על ידי מתקפת הכופרה כנגד חברת DNV. בעקבות המתקפה החברה השביתה את השרתים שלה ואת מערכת Ship Manager. בעדכון שפורסם לאחרונה הצהירה החברה כי בנתה מחדש את סביבת המערכת Shipmanager, המשתמשים יכולים להתחבר למערכת, אך חזרת המערכת לשירותים מלאים ושגרה מלאה היא תהליך מתמשך. בנוסף, פרסם דובר DNV כי סביבות אחרות בתשתית DNV או שירותים אחרים לא נפגעו במתקפה.

סייבר בישראל

 

מערך הסייבר הלאומי מפיץ המלצות להתגוננות לקראת OpIsrael2023

קמפיין OpIsrael הינו קמפיין התקפי במרחב הסייבר הפועל כנגד ארגונים ישראלים ומזוהה עם ארגון האקרים Anonymous. כבכל שנה ב 7 לאפריל, נערך קמפיין בו האקטיביסטים וקבוצות תקיפה פרו-פליסטינאיות מטרגטות ארגונים ואתרים ישראלים במטרה לשבש את פעילות החברות וליצור הד תקשורתי בניסיון להעביר את מסרייהם הפוליטיים. מערך הסייבר הלאומי הפיץ השבוע מס׳ המלצות להתגוננות:

  1. עדכוני אבטחה - סגירה בהקדם האפשרי של פגיעויות שכיחות המנוצלות לרעה. בהקשר זה מומלץ לעקוב אחר התרעות המתפרסמות באתר מערך הסייבר. כמו כן הסרה של רכיבי תוכנה ללא תמיכת יצרן (End-Of-Life).

  2. הגנה על אתרי אינטרנט - הפעלת הגנות WAF וחסימת פעילות ׳בוטים׳, יישום גיבויים איכותיים ושמירתם בסביבה נפרדת, יישום אמצעי זיהוי כפול בכניסה לממשקי הניהול ועדכון רכיבי המערכת.

  3. הגנה מבפני מתקפת השבתת שירות (DOS) - הפעלת שירותי חסימות ״בוטים״, חסימת תעבורה על פי Geolocation, הפעלת מסנני מוניטין כתובות (IP Reputation), וחסימת כתובות TOR. 
    צוות קונפידס זמין לחברות 24/7 בטלפון *8272 ויפעל לסיוע בטיפול באירועי אבטחת מידע בחברות.

סייבר ופרטיות - רגולציה ותקינה

 

הרגולטור הצרפתי של הגנת הפרטיות קובע יעדים לשנת 2023: מצלמות חכמות, יישומונים בטלפונים סלולריים, מידע אישי פיננסי ורפואי

בשנת 2023 יתמקד הרגולטור הצפרתי של הגנת פרטיות המידע, ה-CNIL, בצעדי אכיפה בארבעה תחומים ספציפיים: השימוש במצלמות "חכמות" על ידי רשויות המדינה (למשל, באירועי ספורט); מעקב אחרי יחידים באמצעות יישומונים בטלפון הסלולרי; ומידע פיננסי ורפואי. בכל שנה, עורך ה-CNIL מאות חקירות פיקוח, שמתבססות על תלונות של יחידים, דיווחים על הפרות מידע, ואירועים בחדשות. במהלך שנת 2022 התקיימו 345 חקירות כאלה. בתוכנית האסטרטגית של ה-CNIL שפורסמה בשנת 2022, נקבעו יעדים נוספים של הארגון, כולל תחומים נוספים שבהם נוא יערוך הליכי פיקוח. 


ה-EDPB: תיפקוד ה-DPO בארגון הוא יהווה נושא פיקוח מוביל של המפקח האירופאי על הגנת פרטיות המידע השנה

מועצת הגנת המידע האישי האירופאית (ה-European Data Protection Board) הודיעה ביום 15.3.2023 כי הסוגיה של תפקוד הממונה על הגנת מידע בארגון, ה- Data Protection Officer ("ממונה"), יהיה במוקד של הפיקוח הכלל-אירופאי בשנת 2023. הרגולטורים ב-26 מדינות ישתתפו במהלך הפיקוחי, כדי לבחון את השאלה אם תפקוד ה-DPO בארגונים עומד בנדרש על פי סעיפים 37-39 של ה-General Data Protection Regulation. ובאיזו מידה ארגונים מעמידים להם את המשאבים הדרושים לביצוע משימותיהם. במסגרת ההליך הפיקוחי, יישלחו שאלונים לממונים; ותיתכנו חקירות פורמליות במקרים של ספק בעמידה בדרישות הדין. תחת ה-GDPR, יותר מ-500,000 ארגונים אירופאיים רשמו עד כה את הממונה בארגונים אצל הרגולטורים הלאומיים. סגן ראש המועצה, גוונדאל לה גרנד, אמר כי "הרעיון [בהליך הפיקוחי] הוא לא להקשות על חיי ה-DPO, אלא להבטיח שיש להם את האמצעים לעבוד כמו שצריך בארגון שלהם". 


חברות ביטוח בצרפת יכסו הוצאות של אירועי סייבר - בתנאי שהמבוטח מדווח את האירוע לרשויות

ביום 25.1.2023 פורסם תיקון לחוק הביטוח של צרפת, לפיו מותר לחברות ביטוח צרפתיות לשפות לקוחות שרכשו פוליסה לביטוח סייבר, כולל תשלומי כופרה -  אך ורק בתנאי שהארגון שהותקף מדווח לרשויות על כך תוך 72 שעות מקרות האירוע. הגשת תלונה ל"רשויות המוסמכות" משמע, ככל הנראה, המשטרה ומשרד המשפטים. מגבלת הזמן נועדה לאפשר חקירות מהירות, ולהקל על זיהוי התוקפים. תיקון החוק חל על ארגונים ואנשים שרכשו פוליסת ביטוח סייבר בצרפת: מדובר בכ- 84% מהחברות הגדולות במדינה, 9% מהחברות הבינוניות, ו- 0.2% מהחברות הקטנות. התיקון ייכנס לתוקף ב-24.4.2023. היישום בפועל של התיקון יחייב הבהרות לגבי, למשל, תחולתו על סניפים של חברות צרפתיות שנמצאות בחו"ל וכפופות גם למערכות דינים נוספות. 

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, יובל אוחנה, רוני עזורי, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, דלית אלנטר, מיתר בן אבו, תמר מרדיקס, שירי מס ברזילי ואורי וייס.

 
bottom of page