דו״ח סייבר שבועי
עדכון שבועי 23.09.2021
עיקרי הדברים
-
תקדימי: משרד האוצר האמריקאי מטיל סנקציות על פלטפורמת SUEX שמשמשת לתשלומי כופרה ומפרסם הנחיות חדשות בנושא.
-
תוקפי כופרה מזהירים: אם תפנו ליועצי מו״מ או לרשויות החוק - נדליף מידע.
-
חברת הספנות השלישית בגודלה בעולם CMA CMG חוותה עוד אירוע סייבר, השני בתוך שנה.
-
ה-CISA, ה-FBI וה-NSA פרסמו מסמך ייעוץ בנוגע לכופרה Conti שתקפה יותר מ-400 ארגונים בארצות הברית.
-
אנו ממליצים לעדכן את המוצרים הבאים: מוצרי אפל (קריטי); עדכוני אבטחה של VMware ל-vCenter Server ול-Cloud Foundation (קריטי); בנתבים ביתיים מבית Netgear (קריטי); עדכוני אבטחה לחולשות ב-Drupal (גבוה); גוגל Chrome (גבוה);
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכוני אבטחה לחולשות ברמת חומרה גבוהה שהתגלו ב-Drupal
עדכוני אבטחה קריטיים של VMware ל-vCenter Server ול-Cloud Foundation
עדכון אבטחה לחולשת ״הרצת קוד מרחוק״ בנתבים ביתיים מבית Netgear
עדכוני אבטחה רבים למוצרי Apple
עדכוני אבטחה למוצרים רבים של חברת Cisco
עדכוני אבטחה לדפדפן Google Chrome
התקפות ואיומים
כשהשקט מהווה קרקע פוריה לאיסוף מידע: על קמפיין תקיפת סייבר נגד תעשיית התעופה
כנופיית הסייבר Hive תוקפת בית חולים במיזורי ומפרסמת מידע רגיש אודות מטופלים
נוזקת Numando תוקפת משתמשים בדרום אמריקה
איך שההיסטוריה חוזרת על עצמה: חברת הספנות השלישית בגודלה בעולם CMA CMG חווה דלף מידע
התקפה חדשה מכוונת נגד שירות מערכת הפעלה משנית של Windows
Anonymous הדליפה 180GB של מידע אודות יותר מ-15 מיליון נושאי מידע שפרטיהם נשמרו בשרתי Epik, חלקם אינם לקוחות החברה
השבוע בכופרה
ענקית התמיכה הטכנית TTEC מדווחת על אירוע כופרה
תוקפי כופרה מזהירים: אם תפנו ליועצי מו״מ או לרשויות החוק - נדליף מידע
כנופיית BlackMatter תוקפת את חברת Marketron וגורמת להשבתת רוב מערכותיה
שני ספקים אמריקאיים לענף החקלאות נתקפו בכופרה במהלך סוף שבוע אחד
סייבר בישראל
נמל אשדוד משתף פעולה עם איגוד הנמלים של אזרבייג'ן לצורך התמודדות עם איומי סייבר
קבוצת ההאקרים Deus תקפה בכופרה את חברת Voicenter הישראלית
סייבר בעולם
מיקרוסופט מציגה: העתיד כבר כאן - התחברות לחשבון ללא סיסמה
מפענח הצפנה של נוזקת REvil שוחרר לקורבנותיה לאחר שפרסומו עוכב על ידי ה-FBI משך שלושה שבועות
ה-CISA, ה-FBI וה-NSA פרסמו מסמך ייעוץ בנוגע לכופרה Conti
106 חשודים בפעולות סייבר והונאה מהמאפיה האיטלקית נעצרו בספרד ובאיטליה
סייבר ופרטיות - רגולציה ותקינה
ארה״ב: אכיפה מוגברת של המדיניות הפדרלית בנושא מידע אישי בריאותי
נשיאת נציבות האיחוד האירופי שמה במרכז את דיגיטציית האיחוד
תקדימי: משרד האוצר האמריקאי מטיל סנקציות על פלטפורמת SUEX להעברת מטבעות דיגיטליים ומפרסם הנחיות חדשות בנושא תשלומי כופר
הוועדה הגלובלית ליציבות מרחב הסייבר מפרסמת פרשנות חדשה בנוגע לנורמות סייבר
כנסים
הציטוט השבועי
״אנו מקשיחים את התשתית הקריטית שלנו נגד מתקפות סייבר, פוגעים ברשתות כופרה ופועלים לקביעת כללים ברורים עבור כל המדינות בכל הקשור למרחב הסייבר. אנו שומרים לעצמנו את הזכות להגיב באופן נחרץ למתקפות סייבר המאיימות על עמנו, על בנות הברית שלנו או על האינטרסים שלנו.״
נשיא ארה״ב ג׳ו ביידן בנאומו לעצרת הכללית של האו"ם, 21.9.2021
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכוני אבטחה לחולשות ברמת חומרה גבוהה שהתגלו ב-Drupal
העדכונים רלוונטיים לשלוש גרסאות של המוצר - Drupal 9.2, Drupal 9.1 ו-Drupal 8.9, והם נותנים מענה לחולשה (CVE-2020-13676, CVSS 7.5) במודול QuickEdit, שתפקידו לאפשר לאחראי תוכן במערכת לערוך בה ישויות. החולשה שהתגלתה מאפשרת לתוקף מרוחק לעקוף הגבלות גישה על ידי שליחת קובץ זדוני.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסאות הבאות:
Drupal 9.2.6 (למשתמשי Drupal 9.2)
Drupal 9.1.13 (למשתמשי Drupal 9.1)
Drupal 8.9.19 (למשתמשי Drupal 8.9)
עדכוני אבטחה קריטיים של VMware ל-vCenter Server ול-Cloud Foundation
החברה קוראת למשתמשי המוצרים להטמיע בדחיפות את עדכוני האבטחה, הנותנים מענה לכ-19 חולשות, החמורה שבהן (CVE-2021-22005, CVSS 9.8) מצויה ב-Analytics Services. מקור החולשה בתהליך האימות של סיומות קבצים המועלים לשרת, והיא מאפשרת לתוקף מרוחק בעל גישה לפורט 443 להעלות קובץ זדוני המריץ קוד PHP על המערכת. חולשות נוספות ברמת חומרה גבוהה הנסגרות בעדכונים הנוכחיים מאפשרות הסלמת הרשאות, גישה לא מאומתת, XSS ו-Path Traversal.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכון אבטחה לחולשת ״הרצת קוד מרחוק״ בנתבים ביתיים מבית Netgear
עדכון התוכנה שפרסמה השבוע החברה רלוונטי לעשרות נתבי (SOHO (Small Office/Home Office המיועדים לבתים ולעסקים קטנים, ונותן מענה לחולשה שפורסמה בבלוג של חוקר אבטחת מידע, לצד תיאור טכני מפורט המסביר את שיטת התקיפה באמצעותה מנוצלת החולשה. להלן גרסאות המוצרים הפגיעות, לצד הגרסאות המתקנות אותם:
המוצר R6400v2 מתוקן באמצעות גרסה 1.0.4.120
המוצר R6700 מתוקן באמצעות גרסה 1.0.2.26
המוצר R6700v3 מתוקן באמצעות גרסה 1.0.4.120
המוצר R6900 מתוקן באמצעות גרסה 1.0.2.26
המוצר R6900P מתוקן באמצעות גרסה 3.3.142_HOTFIX
המוצר R7000 מתוקן באמצעות גרסה 1.0.11.128
המוצר R7000P מתוקן באמצעות גרסה 1.3.3.142_HOTFIX
המוצר R7850 מתוקן באמצעות גרסה 1.0.5.76
המוצר R7900 מתוקן באמצעות גרסה 1.0.4.46
המוצר R8000 מתוקן באמצעות גרסה 1.0.4.76
המוצר RS400 מתוקן באמצעות גרסה 1.5.1.80
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.
עדכוני אבטחה רבים למוצרי Apple
ב-20 בספטמבר פרסמה החברה את עדכוני האבטחה הבאים, הכוללים מענה ליותר מ-10 חולשות קריטיות שהתגלו במוצריה:
iTunes 12.12 עבור Windows מגרסה 10 ומעלה
Safari 15 עבור macOS Big Sur ו-macOS Catalina
Xcode 13 עבור macOS Big Sur 11.3 ומעלה
tvOS 15 עבור Apple TV 4K ו-Apple TV HD
watchOS 8 עבור Apple Watch Series 3 ומעלה
iOS 15 ו-iPadOS 15
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכוני אבטחה למוצרים רבים של חברת Cisco
העדכונים נותנים מענה לחולשות ברמת חומרה בינונית, שניצולן עשוי להעניק לתוקף הרשאות גבוהות ולאפשר לו להפעיל קוד מרחוק, לגשת למידע ולשנותו ולבצע מתקפת מניעת שירות (DoS).
צוות קונפידס ממליץ למשתמשי המוצרים הבאים לעדכנם לגרסאותיהם האחרונות:
Cisco SD-WAN vManage
Cisco IOS XE SD-WAN
Cisco IOS Software
Cisco IOS XE Software
Cisco IOS XR Software
Cisco FXOS Software
Cisco NX-OS Software
Cisco ASR 900 Series
Cisco ASR 920 Series
עדכוני אבטחה לדפדפן Google Chrome
העדכון רלוונטי למערכות ההפעלה Windows, Mac ו-Linux ונותן מענה ל-19 חולשות, בהן 5 ברמת חומרה גבוהה (לכולן הוענק הציון CVSS 8.8). החולשות ניתנות לניצול על ידי פיתוי הקורבן לעמוד זדוני, דרכו התוקף מריץ מרחוק פקודת קוד או גורם למניעת שירות (DoS) במערכת המותקפת. כמו כן, פורסם עדכון לדפדפן למערכות ההפעלה של מכשירים ניידים Android ו-iOS.
צוות קונפידס ממליץ למשתמשי הדפדפן בפלטפורמות הרלוונטיות לעדכנו לגרסתו האחרונה:
Windows, Mac, Linux - 94.0.4606.54
iOS - 94.0.4606.52
Android - 94.0.4606.50
התקפות ואיומים
כשהשקט מהווה קרקע פוריה לאיסוף מידע: על קמפיין תקיפת סייבר נגד תעשיית התעופה
במהלך חודש מאי האחרון פרסמה חברת מיקרוסופט בחשבון הטוויטר שלה מידע אודות קמפיין רחב היקף המתמקד בתעשיית התעופה והחלל ומתבסס על שימוש באמצעים מוכרים לשם השתלטות מרחוק (RevengeRAT, AsyncRAT), שליחת מיילים מכתובות המתחזות לכתובות לגיטימיות ושליחת מיילים המכילים קישורים שמובילים לאתרים זדוניים או צרופות אשר שותלות במחשב הקורבן אמצעי מעקב אחר קורבנות הקמפיין על ידי צילומי מסך, גניבת נתוני משתמשים וגניבת מידע ממצלמת האינטרנט של המחשב. בעקבות המידע שנמסר ממיקרוספט, חברת Cisco פרסמה פרטים אודות הקמפיין בבלוג צוות ה-Threat Intelligence שלה, והסבירה כי בקמפיינים מסוג זה בעייתית במיוחד העובדה שהתוקף יכול לחדור למערכות שונות בארגונים ללא ידיעתם ומבלי להתגלות משך זמן רב. מחקירת האירועים עולה הסברה כי התוקפים האחראיים להם הינם מניגריה.
כנופיית הסייבר Hive תוקפת בית חולים במיזורי ומפרסמת מידע רגיש אודות מטופלים
ב-9 בספטמבר החלה הכנופייה להדליף מידע אודות מטופלים של בית החולים, לרבות שמות, מספרי ביטוח לאומי ומידע רפואי. בהצהרה מטעם המוסד שבעיר סיקסטון, אשר היוותה מוקד להתפרצות נגיף הקורונה, נמסר כי גורם שאינו מורשה גנב מידע מאחד השרתים, וכי הצוות עובד ביחד עם חברת סייבר חיצונית לחקירת המתקפה. עוד נמסר כי המידע שהודלף לא נגנב ממערכת התיעוד הראשית של בית החולים, ועל כן המתקפה אינה משפיעה על יכולת הטיפול במטופלים. באוגוסט השנה פרסמה יחידת הסייבר של ה-FBI התרעה מפני מגוון טכניקות הסתננות לרשתות שבהן משתמשת Hive, ובכללן פישינג באמצעות מיילים הנושאים קבצים זדוניים. תקיפת בית החולים בסיקסטון אינה הפעם הראשונה בה הכנופייה פוגעת בשירותי בריאות בארה״ב: באוגוסט השנה נתקף על ידה בית חולים באוהיו, אירוע שבעקבותיו בוטלו כל הניתוחים הדחופים והבדיקות הרדיולוגיות שנקבעו במוסד.
נוזקת Numando תוקפת משתמשים בדרום אמריקה
הנוזקה, שנצפתה לראשונה בשנת 2018, מצטרפת לשורת נוזקות שיעדן משתמשים באמריקה הלטינית, בעיקר בברזיל ובמקסיקו. התקיפה מתבצעת באמצעות טכניקה חדשה, העושה שימוש בפלטפורמות מוכרות (יוטיוב, Pastebin ואחרות) להסוואת מיילי פישינג המכילים נוזקה שמוצפנת בקובץ ZIP, המצורף למייל. בתוך קובץ ה-ZIP מצוי קובץ התקנה מסוג MSI, בו שוכנת הנוזקה. לחלופין, הנוזקה עשויה להיות מוצפנת בתמונות BPM המצורפות למייל. עם התקנת הנוזקה נפתחת דלת אחורית המעניקה לתוקפים גישה למחשב הקורבן, לרבות יכולת לכבות ולהדליק את העמדה מרחוק, לשלוט בפעולות המקלדת והעכבר, להציג חלונות, לצלם תמונות מסך ולסיים תהליכים שרצים ברקע. חוקרי הנוזקה טוענים כי היא מתוחכמת מאוד וכתובה בשפת Delphi, אך עושה שימוש באלמנטים שאינם כתובים ב-Delphi, מה שמאפשר את זיהויה כ-Numando.
איך שההיסטוריה חוזרת על עצמה: חברת הספנות השלישית בגודלה בעולם CMA CMG חווה דלף מידע
לאחר שחוותה אירוע כופרה אשתקד, השבוע ספגה חברת הספנות הצרפתית מתקפת סייבר נוספת, אשר במהלכה נחשפו פרטים רגישים של לקוחותיה (שמות פרטיים, שמות משפחה, שמות מעסיקים, תפקידים, כתובות מייל ומספרי טלפון). מחברת הענק נמסר כי צוות ה-IT שלה פועל במרץ להטמעת עדכוני אבטחה במערכות הארגון במהירות האפשרית. בתוך כך, החברה המליצה ללקוחותיה שלא לשתף עם אחרים את שם המשתמש והסיסמה שלהם, או כל נתון אישי אחר הקשור לחשבונם בחברה. זאת ועוד, על מנת שלא ליפול קורבן למתקפת פישינג, CMA CGM המליצה ללקוחותיה לבחון היטב כל מייל שיקבלו, בייחוד כאלה הכוללים בקשה להתחברות לפלטפורמת החברה או לאיפוס סיסמת הכניסה אליה.
התקפה חדשה מכוונת נגד שירות מערכת הפעלה משנית של Windows
ב-2016 הציגה מיקרוסופט יכולת חדשה ב-Windows, המאפשרת להקים בתחנה מערכת הפעלה מסוג Linux, כמערכת הפעלה משנית. מחד גיסא, יכולת זו שיפרה את ״איכות החיים״ של צוותי פיתוח ברחבי העולם, הנוהגים לעבוד בסביבות הנשלטות על ידי Linux, אך מאידך היא הרחיבה את משטח התקיפה של מערכות Windows. כעת, חברת Black Lotus זיהתה קבצי ELF (קבצי הרצה ב-Linux) אשר נכתבו בשפת פייתון, נוצרו במערכות חינמיות ופתוחות, כגון MSFvenom, ומתפקדים כ-Loader (קובץ הרצה קל-משקל שמטרתו לבצע הורדה של כלי תקיפה כבד יותר). Black Lotus ממליצה למשתמשי פונקציית ה-WSL של ה-Windows לוודא שבמערכת ההפעלה קיימים הלוגים המתאימים לזיהוי פעולות חשודות המבוצעות על ידי תהליכים וקבצים, וכן ליישם את ה-Best Practice של מיקרוסופט הרלוונטיות לפלטפורמה.
Anonymous הדליפה 180GB של מידע אודות יותר מ-15 מיליון נושאי מידע שפרטיהם נשמרו בשרתי Epik, חלקם אינם לקוחות החברה
בין פרטי המידע שהפיצה קבוצת האקטיבסטים אשר פרצה לשרתי החברה המספקת דומיינים לאתרי קבוצות ימין קיצוני, מצויים כתובות מייל, כתובות IP, שמות, מספרי טלפון וסיסמאות. בתוך כך, Epik טרם שללה את האפשרות שהודלפו גם פרטי כרטיסי אשראי, אך ציינה בהודעה לתקשורת ש״על הלקוחות ליצור קשר עם חברת האשראי ולהודיע לה על חשש לדליפת מידע אישי״. מבדיקת המידע שהודלף עלה כי Epik החזיקה בשרתיה לא רק בפרטים של לקוחותיה, אלא גם בפרטי WHOIS שקצרה מאתרים אחרים ושייכים למשתמשים שמעולם לא יצרו עמה קשר.
השבוע בכופרה
ענקית התמיכה הטכנית TTEC מדווחת על אירוע כופרה
החברה, המעסיקה יותר מ-60 אלף עובדים ברחבי העולם ומספקת שירותים למאות חברות מסחר, הושבתה כליל לאחר שמערכותיה הוצפנו, ככל הנראה על ידי נוזקת Ragnar Locker או קבוצת תקיפה המתחזה למפעילת נוזקה זו. לטענת החברה, מחקירת האירוע עולה כי מידע של לקוחות לא נפגע וכי לא בוצעה אליו גישה. עוד נמסר מ-TTEC כי האירוע הסתיים לאחר ששוחזרו המערכות שנפגעו במהלכו, ללא נזק נוסף.
תוקפי כופרה מזהירים: אם תפנו ליועצי מו״מ או לרשויות החוק - נדליף מידע
בפוסטי האזהרה שפרסמו פושעי סייבר מקבוצות הכופרה Grief ו-Ragnar Locker נטען כי כל טקטיקות המשא ומתן מוכרות להם, וכי בסופו של דבר הן פוגעות בחברה המותקפת. עוד הוסיפו כי חברות הייעוץ מתיימרות לשלוט במשא ומתן, כאשר בפועל אין ביכולתן לעשות זאת. לטענתן של כנופיות הכופרה, על הלקוח לשלם לתוקף ישירות, כך שהמידע השייך לו ישוב לקדמותו, במקום להשתמש בשירותיה של חברת ייעוץ, ה״מעכבת״ את התהליך ועלולה לגרום לנזק לחברה הנתקפת, הן בשל דליפת מידע והן עקב תשלום סכומי עתק עבור הייעוץ וניהול המשא ומתן. בתוך כך, לאחר שלפני כשבוע איימה Ragnar Locker לחשוף מידע של חברות השוכרות מנהלי משא ומתן להתמודדות עם מתקפות סייבר, Grief עולה מדרגה ומאיימת כעת כי תשמיד את מפתחות פענוח הקבצים של ארגונים שישכרו שירותים כאלה, דבר אשר יחסל כל אפשרות לשחזור המידע המוצפן.
כנופיית BlackMatter תוקפת את חברת Marketron וגורמת להשבתת רוב מערכותיה
Marketron, המציעה פתרונות תוכנה לעסקים, בהם ניהול הכנסות ותעבורה, עדכנה את לקוחותיה במייל בדבר הפריצה. לדברי מנכ״ל החברה ג׳ים הווארד טרם התברר כיצד הצליחו התוקפים לחדור לרשת הארגון, במיוחד לאור העובדה שלאחרונה החברה השקיעה, לטענתו, משאבים רבים לשיפור יכולות ההגנה שלה. עוד נמסר כי החברה משתפת פעולה עם ה-FBI ועומדת בקשר עם התוקפים בניסיון לשחזר את המערכות המושבתות. ההשערה היא ש-BlackMatter, אשר מקורה ברוסיה, אינה אלא מיתוג מחדש של כנופיית הכופרה DarkSide, שהושבתה לאחר תקיפת מובילת הנפט Colonial Pipeline במאי השנה.
שני ספקים אמריקאיים לענף החקלאות נתקפו בכופרה במהלך סוף שבוע אחד
מן הארגון הראשון, NEW Cooperative (ראו ידיעה לעיל), דורשת כנופיית BlackMatter הרוסית דמי כופר בסך 5.9 מיליון דולר, לאחר שגנבה, לטענתה, מידע בהיקף של 1000GB מהחברה האמריקאית. New Cooperative, החולשת על יותר מ-60 שלוחות באיווה, השביתה את כל מערכותיה לשם הכלת המתקפה. מספר ימים לאחר מכן הכריזה ספקית החקלאות ממינסוטה Crystal Valley כי היא חווה מתקפת כופרה אשר גרמה לה להשבית את כלל מערכותיה, וכי היא עומלת על שחזור המערכות. בשונה מהמקרה הראשון, לא ידוע מי עומד מאחורי תקיפתה של Crystal Valley. בחודש יולי האחרון נשיא ארה״ב ג׳ו ביידן הזהיר את נשיא רוסיה ולדימיר פוטין שאם מדינתו לא תטפל בפושעי הסייבר הפועלים בתחומה, ארה״ב תפעל בכל דרך שתדרש על מנת להגן על האינטרסים שלה.
סייבר בישראל
נמל אשדוד משתף פעולה עם איגוד הנמלים של אזרבייג'ן לצורך התמודדות עם איומי סייבר
במהלך ביקורו בישראל של יו״ר האיגוד האזרבייג׳ני, ד״ר אטלה זיאדוב, נחתם בין הצדדים הסכם בנושא ביטחון סייבר, שבמסגרתו יספק מערך ביטחון הסייבר של נמל אשדוד הכשרה וידע מקצועיים לעובדי הנמל החדש באזרבייג׳ן, אשר בנייתו הושלמה לאחרונה.
קבוצת ההאקרים Deus תקפה בכופרה את חברת Voicenter הישראלית
החברה, המספקת שירותי טלפוניה ליותר מ-8,000 חברות, בהן Check Point, Gett ו-Mobileye, הודיעה ב-18 בספטמבר בעמוד הפייסבוק שלה כי חוותה מתקפת סייבר על ידי קבוצת תקיפה מחו״ל. ב-19 בספטמבר פרסמה Deus באתר RaidForums, המשמש למכירת מאגרי מידע שהודלפו, כי Voicenter נפרצה וכי בידי הכנופייה מידע על לקוחות והקלטות בנפח של 15TB. באותו יום פתחו התוקפים עמוד טלגרם ייעודי, בו הם מפרסמים מדי יום חלקים מהמידע שבידיהם, והוכחות להמשך נוכחותם בתוך רשת הקורבן. בין פרסומי הכנופייה בערוץ הטלגרם ניתן למצוא צילומי מסך ממחשבי עובדים, צילומים ממצלמות רשת של מחשבי עובדים, תעודות זהות, הקלטות של שיחות טלפון ממאגרי החברה ועוד. בתצלום ששיתפה Voicenter ניתן לראות מכתב כופרה מה-19 בספטמבר ובו דרישה לתשלום של 15 ביטקוין, לצד הטענה כי בכל 12 שעות יתווספו 10 ביטקוין לסכום הכופר הנדרש.
סייבר בעולם
מיקרוסופט מציגה: העתיד כבר כאן - התחברות לחשבון ללא סיסמה
אופציות ההתחברות החדשות לחשבון ולשירותי החברה הוצגו במאמר שפרסמה ואסו ג׳אקל, סגנית נשיא מיקרוסופט לענייני אבטחה, ציות וזהות, שטענה כי למרות ש״איש אינו אוהב סיסמאות״ ולמרות שהן אינן נוחות לשימוש ומהוות יעד עיקרי לתקיפות סייבר - משך שנים הן שימשו כשכבת האבטחה החשובה ביותר לכל אמצעי דיגיטלי בחיינו. לדברי ג׳אקל, במקום הסיסמאות המסובכות שלמגינת לבנו אנו נדרשים ליצור, לזכור ולהחליף בתדירות גבוהה, מעתה ניתן יהיה להתחבר לפלטפורמות בדרכים אחרות, שאינן כוללות הזנת סיסמה, בהן אפליקציית ה-Authenticator, מפתח פיזי, Windows Hello או שליחת קוד אימות לנייד או למייל. מנהל אבטחת המידע של מיקרוסופט (CISO), ברט ארסנו, הוסיף כי ״האקרים אינם פורצים לחשבונות, אלה פשוט מתחברים אליהם״, כאשר סיסמה היא נתיב הכניסה הראשוני לאחוז גבוה מאוד מתקיפות הסייבר. מדי שנייה מתבצעות בעולם 579 כניסות לא מורשות לחשבונות באמצעות סיסמה, כ-18 מיליארד בשנה.
מפענח הצפנה של נוזקת REvil שוחרר לקורבנותיה לאחר שפרסומו עוכב על ידי ה-FBI משך שלושה שבועות
המפענח, אשר פותח על ידי חברת Bitdefender בסיוע מפתח שהושג על ידי ה-FBI, מאפשר לכל מי שנפגע מהנוזקה לפני ה-13 ביולי השנה לשחזר את קבציו בחינם, אך במגזין אבטחת המידע BleepingComputer פורסמה התרעה על באג שנמצא במפענח, אשר בנסיבות מסוימות עלול להוביל להשחתת קבצים. אי לכך, לפני הורדת קובץ הפענוח המצוי בקישור זה מומלץ לבדוק אם ההתרעה הוסרה. סוכנות ה-FBI הצליחה לשים את ידה על המפענח כבר לפני שלושה שבועות על ידי גישה שביצעה לשרתי הכנופייה, אך המפתח לא שוחרר לקורבנות בשל בדיקות שבוצעו בו, כמו גם בעטיו של מבצע שתכננה הסוכנות לשם השבתת כנופיית REvil. ואולם, המבצע כשל עקב השבתת שרתים ושירותים בה נקטה הכנופייה בעצמה על מנת לחמוק מהרשויות. אירועים אלה הגיעו על רקע חקירה ממושכת של רשויות אכיפה בינלאומיות ומתח פוליטי בין רוסיה לארה״ב, וכן לאחר שחברת Kaseya, שנתקפה על ידי REvil ביולי תוך ניצול חולשת Zero-day, קיבלה במפתיע מה-FBI מפענח עבור קבציה המוצפנים בחינם. החודש חזרה הכנופייה לפעול וההנחה היא שתפגע בשרתים אליהם עדיין יש לה גישה ותמחק אותם.
ה-CISA, ה-FBI וה-NSA פרסמו מסמך ייעוץ בנוגע לכופרה Conti
מטרת המסמך המשותף של הסוכנות לאבטחת סייבר ותשתיות, לשכת החקירות הפדרלית והסוכנות לביטחון לאומי של ארה״ב היא העלאת המודעות למתקפות הכופרה מבית Conti, הגוברות בקרב ארגוני פנים וארגונים בינלאומיים כאחד. עוד נועד המסמך לספק פתרונות ודרכי פעולה להתגוננות מפני הכופרה, בהן הטמעת שיטות לסינון תעבורת רשת וחלוקה לסגמנטים, ביצוע סריקות קבועות והסרת תוכנות שאינן בשימוש. למסמך אף מצורף ״צ׳ק-ליסט״ מטעם ה-CISA המסייע לתגובה נכונה למתקפות כופרה, ומסופקים בו אינדיקטורים ומזהי תקיפה מוכרים של Conti. לדברי שלוש הסוכנויות, נצפתה עלייה של יותר מ-400 מתקפות כנגד ארגונים אמריקאיים ובינלאומיים באמצעות כופרה זו, והכלים, דרכי הפעולה והשיטות המשמשים את התוקפים הסלימו אף הם. Conti משמשת כמערכת ״כופרה כשירות״ (RaaS) לגניבת מידע ומסמכים רגישים, להצפנת שרתים ועמדות ולדרישת תשלום כופר מהקורבנות, אך נקודה מעניינת העולה מפרסום הסוכנויות היא העובדה לפיה מסתמן כי מבנה הרווח בין המפתחים של Conti למשתמשי השירות אינו מתבסס על תשלום אחוזים מרווחי מתקפה מוצלחת, אלא על תשלום קבוע, בדומה למשכורת.
106 חשודים בפעולות סייבר והונאה מהמאפיה האיטלקית נעצרו בספרד ובאיטליה
המעצרים התבצעו במסגרת מבצע עוקץ משותף בו לקחו חלק משטרת ספרד, משטרת איטליה, היורופול והיורוג'אסט, ואשר התמקד בקבוצת תקיפה המקושרת למאפיה האיטלקית ועוסקת בהונאות אינטרנטיות, בהלבנת כספים, בהברחת סמים ובפעילות פלילית נוספת. על העצורים נמנים, בין היתר, מומחי מחשוב שעסקו בתחומים כמו פישינג, הלבנת כספים, ו-Business Email Compromise.
סייבר ופרטיות - רגולציה ותקינה
ארה״ב: אכיפה מוגברת של המדיניות הפדרלית בנושא מידע אישי בריאותי
חידוש הגברת האכיפה של המדיניות הנוגעת לחשיפת מידע רפואי אישי (PHP) עקב פריצת סייבר מדגיש הפעם את המידע הנאסף על ידי מכשירים ואפליקציות. הדבר נמסר בהצהרה של הוועדה הפדרלית למסחר (FTC) של ארה"ב, שנועדה להבהיר את פרשנות ההנחיה שפורסמה במקור בשנת 2009, המחייבת חברות האוספות מידע רפואי להודיע ללקוחותיהן במידה והתבצעה כל גישה למידע ללא ידיעתן, למשל במקרים של חדירה ופריצה או שיתוף מידע ללא הרשאה. אל ההרחבה הנוכחית של חובת הדיווח ל-FTC, המתמקדת במכשירים אלקטרוניים ובאפליקציות, התייחסה יו"ר הוועדה לינה חאן, באמרה כי ״לעתים קרובות [האפליקציות] נכשלות בהשקעה באבטחת מידע ובפרטיות [...] ומותירות מידע רפואי רגיש של משתמשים חשוף לפריצות ולדליפות״.
נשיאת נציבות האיחוד האירופי שמה במרכז את דיגיטציית האיחוד
בנאום השנתי שנשאה ב-15 בספטמבר, טענה הנשיאה אורסולה פון דר ליין כי נושא זה הוא הסוגייה שתכריע את עתיד האיחוד. נושאים נוספים אליהם התייחסה בנאומה הם הובלת האיחוד במישור הגלובלי בכל הנוגע להגנת סייבר ולאמידות סייבר, כולל דירקטיבה חדשה בנושאים אלה, וכן ״חוק שבבים" אירופי חדש, שיקשר בין מו"פ לבין יצירת שבבים ברחבי היבשת ויהפוך את האיחוד לעצמאי ותחרותי במגזר זה, עם יעד של 20% מתוצרת השבבים העולמית עד 2030. עוד התייחסה פון דר ליין להשקעות בתחומי ה-5G, הבלוקצ'יין, תשתיות הסיבים האופטיים והכשרת כוח אדם. לסיכום המאמץ האירופי הנדרש אמרה הנשיאה כי "עלינו להכפיל את מאמצינו על מנת לעצב את השינוי הדיגיטלי בהתאם לחוקינו ולערכינו״.
תקדימי: משרד האוצר האמריקאי מטיל סנקציות על פלטפורמת SUEX להעברת מטבעות דיגיטליים ומפרסם הנחיות חדשות בנושא תשלומי כופר
ב-21 בספטמבר המשרד לפיקוח על נכסים זרים (OFAC) הגדיר את חברת SUEX כשחקן סייבר זדוני. בהודעה לעיתונות מטעם משרד האוצר של ארה"ב נמסר כי יותר מ-40% מהעסקאות המוכרות של SUEX קשורות לשחקנים בלתי-חוקיים, וכי החברה חשופה כעת לסנקציות עקב מתן תמיכה חומרית לאיום מצד מפעילי תוכנות כופר פליליות. מערכת הסנקציות של OFAC הורתה על חסימת כל נכסיה של SEUX הכפופים למערכת השיפוט ארה"ב ומשרד הפיקוח צירף את החברה לרשימת הגופים הפסולים על ידו להעברת כספים וביצוע עסקאות. לדברי שרת האוצר של ארה"ב, ג׳נט ילן, "ככל שפושעי הסייבר משתמשים בשיטות ובטכנולוגיה מתוחכמות יותר, כך אנו מחויבים להשתמש במכלול האמצעים, כולל סנקציות וכלים רגולטוריים, על מנת להפריע, להרתיע ולמנוע מתקפות כופר". בתוך כך, באותו היום פרסם ה-OFAC הנחיה מעודכנת בנוגע לאיסור על שיתוף פעולה עם גורמים פסולים בכל הנוגע לפריצות סייבר. הנחייה זו מעדכנת פרסום דומה מה-1.10.2020.
הוועדה הגלובלית ליציבות מרחב הסייבר מפרסמת פרשנות חדשה בנוגע לנורמות סייבר
ב-22 בספטמבר פרסמה ה-GCSC הודעה לעיתונות בדבר התקדמות בגיבוש הבינלאומי של נורמה המקדמת רמה גבוהה של הגנת סייבר לרכיבי הליבה של האינטרנט. הנורמה קובעת כי "גורמים מדינתיים ולא-מדינתיים אינם צריכים לקיים או לאפשר ביודעין פעילות הפוגעת במתכוון ובאופן מהותי בזמינות הכללית או בשלמותה של התשתית הציבורית של האינטרנט". תהליך אימוץ ואשרור הנורמה כולל מספר פורומים בין-מדינתיים, לרבות הצהרת פריז בנוגע לאמון ולביטחון במרחב הסייבר משנת 2018 ומסגרת הגנת הסייבר של האיחוד האירופי משנת 2019. ה-GCSC מצפה להמשך חידוד ויישום הנורמה במסגרת עבודתם של שני צוותי האו"ם העוסקים כעת בפיתוח נורמות במרחב הסייבר, ה-OEWG וה-GGE, לצד גופים בינלאומיים נוספים.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רחל ביניאשוילי, רז ראש, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, רוני עזורי, עמית מוזס וגיא פינקלשטיין.