דו״ח סייבר שבועי
עדכון שבועי 31.12.2020
עיקרי הדברים
-
קמפיין פישינג נרחב מתחזה לכרטיסי מתנה של Amazon.
-
שירות הענן Wasabi הפסיק את שירותו למשך 13 שעות עקב נוזקה.
-
חברת Whirpool נופלת קורבן לכופרת Neflim.
-
מערך הסייבר מפרסם את ממצאי חקירת גל התקיפות נגד ישראל.
-
קבוצת האקרים פרצה לקרן פיננסית של חיזבאללה.
-
סיכום 2020 הכפלה במספר אירועי דלף מידע בארה״ב.
-
אנו ממליצים לעדכן את המערכות הבאות:
התוסף Contact Form 7 לפלטפורמת WordPress, ואת המוצר SolarWinds Orion.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשה קריטית בתוסף נפוץ של WordPress
החלה חשיפת החולשות ב-SolarWinds
התקפות ואיומים
NetGalley מדווחת על פריצה למסד הנתונים שלה
קמפיין פישינג המתחזה לכרטיסי מתנה של Amazon מפיץ נוזקת Dridex
עקב נוזקה: הפסקה בת 13 שעות בפעילות ספק שירותי הענן Wasabi
השבוע בכופרה
Whirlpool נופלת קורבן למתקפת כופרה של Nefilim
סייבר בישראל
מערך הסייבר הלאומי מפרסם את ממצאי חקירת גל התקיפות נגד ישראל ודרכי התמודדות עמן
סייבר בעולם
ה-CISA מפרסמת כלי לזיהוי פעילות זדונית בסביבת Microsoft 365 ו-Azure
קבוצת האקרים פרצה לאחד מהבנקים של חיזבאללה
ה-DHS מזהירה: כל הציוד הדיגיטלי המקושר מרחוק לחברות סיניות מהווה סיכון לארגונים
סייבר ופרטיות - רגולציה ותקינה
סיכום 2020: הכפלה במספר אירועי דלף מידע בארה"ב
״ברקזיט״ וה-GDPR: בריטניה והאיחוד האירופי יקבעו הסדר של הלימה הדדית
הרשות להגנת הפרטיות ערכה כנס בנושא תפקיד ה-DPO בארגונים בישראל
The Economist ממפה את ההתפתחויות הרגולטוריות התומכות בצמיחה דיגיטלית
כנסים
הציטוט השבועי
״[דיווחים] מדברים על מתקפת הסייבר הרוסית המאסיבית נגד ארה״ב, אבל ההערכות אינן נכונות, בשני היבטים: לא מדובר במתקפת סייבר במונחים של יחסים בינלאומיים - אלא בריגול, וקורבן הריגול לא היה רק ארה"ב - אלא כל העולם. זה היה מאסיבי, וזה מסוכן.״
ברוס שנייר, מומחה בינלאומי לאבטחת מידע והגנת סייבר, Schneier on Security: Russia’s SolarWinds Attack 28/12/2020
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
חולשה קריטית בתוסף נפוץ של WordPress
החולשה, שפורסמה השבוע, נמצאה בתוסף המאפשר ניהול טפסי יצירת קשר בפלטפורמת אחסון האתרים הפופולרית, והיא מאפשרת העלאת קבצים והרצת קוד מרחוק באמצעות ביצוע מניפולציה על שם הקובץ. חולשה זו עלולה להוביל, כמובן, להשתלטות על השרת, והוענקה לה דרגת החומרה הגבוהה ביותר, CVSS 10.
אנו ממליצים למשתמשי WordPress לעדכן את התוסף באופן מיידי לגרסה 5.3.2, על מנת להגן על אתרם מפני החולשה, וכן לעבור על רשימת התוספים המותקנים ולהסיר את אלה שאינם רלוונטיים.
החלה חשיפת החולשות ב-SolarWinds
בעקבות גילוי הפגיעויות במוצר Orion, חושפת כעת החברה חולשה הנובעת מווידוי אותנטיקציה המתבצע באורח שגוי ב-API המוצר, ועשויה לאפשר לתוקף להריץ קוד מרחוק לאחר ששלח בקשה מסוימת ל-API. אנו ממליצים לבעלי המוצר SolarWinds Orion Platform לשדרגו לגרסתו האחרונה.
התקפות ואיומים
NetGalley מדווחת על פריצה למסד הנתונים שלה
ב-21 בדצמבר דיווחה החברה כי נפלה קורבן לאירוע שתחילה נראה כהשחתת אתרה, ואולם לאחר חקירה מעמיקה התגלה כי בוצעה חדירה לגיבוי של מאגר הנתונים שלה. במהלך התקיפה נחשפו שמות משתמשים וסיסמאות כניסה לאתר, כתובות מייל של משתמשים ואף פרטי גישה שלהם לחשבונות Kindle.
קמפיין פישינג המתחזה לכרטיסי מתנה של Amazon מפיץ נוזקת Dridex
הקמפיין, שזוהה לאחרונה על ידי חברת אבטחת המידע Cybereason, מתבסס על משלוח מיילים זדוניים, בהם לחצן לקבלת שובר מתנה, כביכול, אשר בלחיצה עליו מוריד אל המחשב קובץ Word המכיל Macro. הרצת ה-Macro מריצה על עמדת הקצה הנתקפת נוזקה מסוג Dridex, המאופיינת ביכולות של גניבת פרטי גישה, מעקב אחר היסטוריית הקלדות (keylogging), צילומי מסך ואף הורדת נוזקות נוספות למחשב.
אנו ממליצים לנקוט משנה זהירות בעת פתיחת מיילים חריגים, לא צפויים או כאלה שמקורם אינו ידוע.
עקב נוזקה: הפסקה בת 13 שעות בפעילות ספק שירותי הענן Wasabi
אי-הפעילות נרשמה באחד מהדומיינים של החברה, לאחר שלקוח המנוי על השירות השתמש בו לאחסון נוזקות. רשם הדומיינים (Registrar), אשר איתר את הנוזקה, שלח ל-Wasabi מייל, בו ביקש להסיר את הלקוח האמור לאלתר. ואולם, ההודעה נשלחה לכתובת מייל שגויה ולא הגיעה מעולם לידי החברה. אי לכך, הרשם הפיל את הדומיין, ובכך קטע את פעילותם של רבים משירותי Wasabi. עם תום האסקלציה, כעבור יותר מחצי יממה שבה החברה לפעילות מלאה.
השבוע בכופרה
Whirlpool נופלת קורבן למתקפת כופרה מסוג Nefilim
ככל הנראה, הקבוצה תקפה בשבוע הראשון של דצמבר את רשתות ענקית האלקטרוניקה, בדרך הפעולה האופיינית לה: גניבת מידע רב מהחברה לצורך הפעלת מכבש לחצים לתשלום דמי הכופר, ולאחר מכן הצפנת מכשירי הרשת הנתקפת. עד כה הדליפה Nefilim חלקים מהמידע שהצליחה לגנוב מהארגון, ובכלל זה מסמכים המכילים מידע אישי אודות עובדי החברה, לרבות מידע רפואי.
אנחנו ממליצים לבעלי חברות להתקין שכבות הגנה כנגד מתקפות מסוג זה, ולהגביר את הערנות בנוגע לקבצים הנכנסים אל רשתות הארגון בדרכים שונות.
סייבר בישראל
מערך הסייבר הלאומי מפרסם את ממצאי חקירת גל התקיפות נגד ישראל ודרכי התמודדות עמן
במהלך השבועות האחרונים, מערך הסייבר הלאומי נותן מענה למספר רב של ארגונים הנתקפים על ידי כופרת Pay2Key. מחקירת האירועים עולה כי מאפייני התקיפה העיקריים הם יצירת משתמש בעל הרשאות מנהלן, יצירת משימות מתוזמנות, ואף שימוש בטכניקה המתבססת על מנגנון Sticky Keys. בין הדרכים שפרסם המערך להתמודדות עם המתקפות מצויות הטמעת מזהים בכלל מערכות התשתית וההגנה של הארגון, ניטור פעולות חריגות ומעבר על משימות מתוזמנות לא מוכרות. עוד פרסם המערך ״שאלון ספקים״ אותו ניתן למלא לצורך זיהוי פערי אבטחה.
סייבר בעולם
ה-CISA מפרסמת כלי לזיהוי פעילות זדונית בסביבת Microsoft 365 ו-Azure
הכלי החינמי, שפורסם על ידי הסוכנות לאבטחת סייבר ותשתיות של ארה״ב בתחילת השבוע, מיועד לניהול אירועי סייבר ומכיל בתוכו מזהים (IOC) של תקיפות שונות, אשר התבצעו בתקופה האחרונה בסקטורים שונים.
אנחנו ממליצים למשתמשי הסביבות הרלוונטיות לבחון את הכלי ולהריצו על הדומיין שבבעלותם.
קבוצת האקרים פרצה לאחד מהבנקים של חיזבאללה
על פי ה״דיילי סטאר״, הקבוצה - המכונה SPIDERZ - פרצה לחשבונות בקרן הפיננסית ״אל-קרד אל-חסן״, שהוקמה על ידי ארגון הטרור. המסגרת המתקפה הודלפו עד כה צילומי אבטחה של אנשים הממתינים בתור להפקדה, ושמות ופרטי דרכונים של מפקידים. מקבוצת התקיפה נמסר כי תשחרר מידע נוסף בהמשך.
ה-DHS מזהירה: כל הציוד הדיגיטלי המקושר מרחוק לחברות סיניות מהווה סיכון לארגונים
בהודעת אזהרה לעסקים שפרסמה המחלקה לביטחון המולדת של ארה״ב ב-22 בדצמבר נמסר כי כל התחברות למערכות דיגיטליות בסין, שימוש בציוד שמיוצר בסין או שיתוף מידע רגיש עם חברות סיניות (או חברות שעל מנהליהן הבכירים נמנים בעלי אזרחות סינית) מהווה סיכון פוטנציאלי. ההודעה מדגישה את נושא שיתוף המידע, שעשוי להיות רגיש. בעוד שה-DHS טרם אסרה על התחברות ושיתוף כמפורט לעיל, היא קובעת המלצות לאימוץ על ידי בתי עסק, לשם מזעור חשיפות. בהקשר זה אמר אמר צ׳אד וולף, המכהן כראש ה-DHS בפועל, כי "במשך זמן רב מדי, רשתות ומידע אמריקאיים נחשפו לאיומי סייבר שמקורם בסין, והסינים משתמשים במידע זה על מנת להעניק לחברות הסיניות יתרון תחרותי בלתי הוגן בשוק העולמי".
סייבר ופרטיות - רגולציה ותקינה
סיכום 2020: הכפלה במספר אירועי דלף מידע בארה"ב
הנתון עולה ממאמר המסכם את השנה החולפת, שפורסם על ידי משרד עורכי הדין האמריקאי Squire Patton Boggs. עוד מצוין במאמר כי המגזרים המותקפים ביותר השנה היו רשויות ממשל, מוסדות בריאות, הסקטור הקמעונאי וענף הטכנולוגיה, וכי לצד העלייה במספר הפרצות נרשמה עלייה משמעותית במספר התביעות המשפטיות שהוגשו בנושא. מגמות נוספות שמסמן המאמר הן עלייה במספר התובענות הייצוגיות שהוגשו, עלייה ברמת המורכבות של התביעות ותחילת הטלת אחריות אישית על מנהלים בארגונים שהותקפו. עניין מיוחד שצוין במאמר הוא ההתפתחויות סביב פסק הדין שניתן בתביעה שהוגשה נגד Capital One Bank בעקבות פרצת נתונים. באופן ספציפי, המאמר דן באפשרות להשתמש בדוח פורנזי כראיה בבית משפט, אפילו אם הדוח הוכן בעקבות הנחיות של עורכי הדין של הבנק, נושא אשר נמצא עדיין בבירור במסגרת ההליך המתנהל נגד Capital One.
״ברקזיט״ וה-GDPR: בריטניה והאיחוד האירופי יקבעו הסדר של הלימה הדדית
במסגרת הסכמי הברקזיט שנחתמו בין בריטניה לאיחוד, הוסדרה סוגיית העברת המידע אישי בין השתיים בדרך המאפשרת להמשיך בהעברת המידע בחצי השנה הקרובה. על פי סעיף מספר 182 של הסכם ה-Trade and Cooperation, בעוד שישה חודשים הצדדים יגבשו הסדר של הלימה הדדית פורמלית. עד אז ימשיכו בריטניה והאיחוד האירופי להכיר ברמת הגנת המידע הקיימת כמספקת.
הרשות להגנת הפרטיות ערכה כנס בנושא תפקיד ה-DPO בארגונים בישראל
בכנס הציבורי הדיגיטלי, שנערך ב-14 בדצמבר, הוצגה טיוטה של מסמך המלצות שפרסמה הרשות בסוף אוקטובר, המכונה "מינוי ממונה הגנה על הפרטיות בארגונים, תפקידיו ותחומי אחריותו". בכנס פורטו המלצות הרשות (לחצו כאן למצגת) והתקיים דיון פתוח סביב מספר היבטים של המסמך. בעת פרסום ההמלצות אמרה ד"ר שלומית ווגמן, מ"מ ראש הרשות להגנת הפרטיות, כי "גישת האחריותיות (accountability) שמקדמת הרשות ביחס לניהול מידע אישי שנאסף על אזרחים ע"י ארגונים הינה חלק משינוי תפיסה מהותי וחשוב שמקדמת הרשות להגברת רמת ההגנה על מידע אישי במשק הישראלי".
The Economist ממפה את ההתפתחויות הרגולטוריות התומכות בצמיחה דיגיטלית
בדוח שפרסם כתב העת, בו הוא מסכם את הצמיחה בשוק הדיגיטל בשנת 2020, מזוהים המהלכים הרגולטוריים שיקדמו את צמיחת הסקטור גם בשנה הבאה. בהקשר זה יש לציין במיוחד את הצורך בחידוד הרגולציה החלה על פרטיות המידע ובהבהרת חובותיהם של ארגונים. להלן טבלה מסכמת.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי, גיא פינקלשטיין.