מערך הסייבר הלאומי:

פגיעויות בבקרי סימנס.

שלום רב,

חברת קלארוטי פרסמה מחקר לגבי פגיעות בבקרים מסדרה 1200 ו-1500 של חברת סימנס.

הפגיעות, שמקורה במעקף של ההגנות על זיכרון הבקר, עלולה לאפשר לתוקף בעל גישה רשתית לפורט 102 בבקר,

קריאה של אזורים רגישים בזיכרון או כתיבה של מידע וקוד לזיכרון, כך שתתאפשר הרצת קוד מרחוק על הבקר, ללא הזדהות.

הפגיעות מזוהה כ-CVE-2020-15782. ציון CVSS 8.1.

הבקרים הפגיעים הם מסדרת SIMATIC S7-1200 and S7-1500 CPU.

פרטים מלאים על הגרסאות הפגיעות, עדכוני האבטחה שפרסמה החברה, ודרכים נוספות לצמצום הסיכון מפגיעות זו ניתן למצוא כאן

פרטים נוספים בבלוג של חברת קלארוטי

https://news.1rj.ru/str/CyberSecurityIL/1050

(עדכון) בהודעה שפירסם הבית הלבן נמסר כי המתקפה על חברת JBS היא אכן מתקפת כופר שבוצעה ע"י גורמים מרוסיה.

לפי הדיווח דרישת כופר הועברה ל-JBS כשבמקביל ה-FBI מנסה לסייע, כמו כן פנייה רשמית בנושא הועברה מהבית הלבן לגורמים ממשלתיים ברוסיה.

https://news.1rj.ru/str/CyberSecurityIL/1051

האקר רוסי נשפט בארה"ב ל-30 חודשי מאסר בפועל בשל מכירה של מידע רגיש.

ההאקר, קיריל ויקטורוביץ' פירסוב, מואשם כי הקים ותיחזק ברשת האפילה אתר למכירת מידע רגיש של אזרחי ארה"ב.

ה-FBI עקב אחרי קיריל תקופה ארוכה, כשבשנה שעברה החקירה הפכה להיות פעילה יותר כאשר ה-FBI רכש מהאתר של קיריל מידע רב בשביל לאמת שאכן מדובר במידע השייך לאזרחי ארה"ב.

בין המידע שנמכר באתר של קיריל ניתן למצוא חשבונות לאתרים שונים, מספרי כרטיסי אשראי, מספרי ביטוח לאומי ועוד.

כאמור, בשל האישומים, בית המשפט המחוזי בקליפורניה גזר על קיריל 30 חודשי מאסר בפועל.

לאחר גזר הדין נציגת ה-FBI, סוזן טרנר מסרה כי:
"ה- FBI ימשיך לרדוף אחרי פושעי סייבר ברחבי העולם, המשפט של היום מעביר מסר - ניהול פעילות פלילית מחוץ לארצות הברית אינה אומרת שאתה מחוץ להישג ידינו.
ה- FBI יזהה וירדוף אחרי גורמים עבריינים בתחום הסייבר, ללא קשר למקום בו הם פועלים, ויפעל להביא אותם לדין בבתי משפט בארצות הברית."

https://news.1rj.ru/str/CyberSecurityIL/1052

https://www.justice.gov/usao-sdca/pr/russian-hacker-sentenced-30-months-running-website-selling-stolen-counterfeit-and

שירות המעבורות Steamship Authority הותקף במתקפת כופר הגורמת לשיבושים נרחבים בפעילות.

בהודעה שמסרה החברה נאמר כי בשל מתקפת סייבר אתר החברה והמוקד הטלפוני מושבתים, כמו כן נוסעים חווים עיכובים בזמני השירות.

בשלב זה אין פרטים נוספים על דרישת הכופר וקבוצת התקיפה.

חברת Steamship Authority מספקת את שירות המעבורות הגדול ביותר שמשנע נוסעים לאיי מסצ'וסטס והיא היחידה שמשנעת גם רכבים לאיים.

https://news.1rj.ru/str/CyberSecurityIL/1053

https://www.securityweek.com/ransomware-attack-hits-nantucket-marthas-vineyard-ferry-service

חברת FireEye מוכרת את קו המוצרים העסקי לחברת Symphony תמורת 1.2 מיליארד דולר.

המכירה תיצור הפרדה בין מוצרי FireEye לשירותים של חברת Mandiant השייכת ל-FireEye ועוסקת במתן תגובה לאירועי סייבר וביצוע מבדקי אבטחת מידע.
מנכ"ל FireEye, קווין מנדיה, מסר כי העסקה תאפשר את הצמיחה המואצת של Mandiant בצורה הטובה ביותר.

העסקה תתבצע ככל הנראה לקראת סוף השנה.

https://news.1rj.ru/str/CyberSecurityIL/1054

https://techcrunch.com/2021/06/02/fireeye-to-sell-products-unit-for-1-2b-to-symphony-led-group/

שני האקרים מקבוצת Coblat נשפטו בקזחסטן ל-8 שנות מאסר באשמת פריצה וגניבה מבנקים במדינה.

לפי כתב האישום, השניים מואשמים כי פרצו למערכות בנקאיות וגנבו סכומים של 4.6 מיליון דולר כאשר לאחר הגניבה הם העבירו את הכסף לאירופה וביצעו משיכת מזומנים מכספומטים הממקומים ב-12 מדינות שונות.

https://news.1rj.ru/str/CyberSecurityIL/1055

https://therecord.media/two-carbanak-hackers-sentenced-to-eight-years-in-prison-in-kazakhstan/

שני בתי חולים של רשת UF Health שבארה"ב השביתו את מערך המחשוב בשל מתקפת כופר.

בית החולים The Villages Hospital וכן ביץ החולים Leesburg Hospital השייכים לרשת UF Health השביתו את מערך המחשוב וחזרו לעבוד עם "עט ונייר" בשל מתקפת כופר שהשביתה את רשת המחשוב.

בתי החולים מדווחים כי הם ממשיכים להעניק טיפול רפואי למרות המצב.

https://news.1rj.ru/str/CyberSecurityIL/1056

https://www.villages-news.com/2021/06/02/the-villages-hospital-crippled-by-ransomware-attack/

האקרים, שככל הנראה קשורים לממשלת סין, פרצו למערכות המחשוב של המטרו בניו יורק.

הפריצה התבצעה באמצעות ניצול חולשה במוצר Pulse Secure VPN, ואיפשרה לתוקפים לגשת ל-3 מערכות בשירות המטרו.
חברת M.T.A שאחראית על ניהול המטרו מוסרת כי לתוקפים לא הייתה גישה למערכות השליטה והבקרה של הרכבות.

עם זיהוי המתקפה הזעיקו ב-M.T.A את חברת Mandiant לתחקור האירוע ועם סיום האירוע איפסו סיסמאות ל-3,700 עובדים והחליפו את מוצר ה-VPN.

https://news.1rj.ru/str/CyberSecurityIL/1057

https://www.nytimes.com/2021/06/02/nyregion/mta-cyber-attack.html

אשמח לשמוע מה דעתכם 💬

אתר Threat Post מפרסם מאמר בו הוא טוען כי מתקפות הכופרה התגברו בעקבות ביטוחי הסייבר.

במאמר שפורסם (ומתבסס על ספר דיגיטלי שפירסמו Threat Post ועוסק בנושא כופרה) נכתב כי חברות רבות מסתמכות על ביטוחי הסייבר כמענה למתקפות כופר, הדבר גורר תשלומים מהירים למתקפות כופר ומאיץ את קצב מתקפות הכופר על ארגונים שונים.

אולי לא יהיה מוגזם להניח שקבוצות תקיפה יעדיפו לתקוף ארגון שוודאי מחזיק בביטוח סייבר...(?) 🧐🤔

במתקפה על Colonial Pipeline שולמו לתוקפים דמי כופר של 4.4 מיליון דולר כשהביטוח של החברה עבור תשלום כופר עמד על 15 מיליון דולר. (לא פורסם אם התשלום כוסה ע"י חברת הביטוח).

מה דעתכם? האם ביטוחי סייבר גורמים להזנחה כלשהי בהגנה על הארגון כי "יש מי שישלם"?

(מוזמנים להגיב בסקר או כתגובה לפוסט)

פירצה במערכות של סינאל חשפה מידע רגיש על החברות הגדולות במשק

פרצת אבטחה חמורה במערכות סינאל (Synel) הישראלית, שמספקת שירותי ניהול שכר וכוח אדם לכמה מהחברות הגדולות במשק, חשפו מידע רגיש של לקוחות. המידע שנחשף כולל פרטי גישה והתחברות למערכות שמנהלת סינאל בעבור החברות, ומידע אישי מזהה על מאות אלפי עובדים – כך גילה ההאקר והאקטיביסט נעם רותם.

הפרצה נחשפת רק אחרי שתוקנה, קרוב לשבועיים אחרי ש"כלכליסט" העביר לחברה דיווח ראשון על קיומה. מוקדם יותר היום יצא מטעם החברה דיווח לבורסה על הפירצה.

https://news.1rj.ru/str/CyberSecurityIL/1060

https://m.calcalist.co.il/Article.aspx?guid=39092480

ארה"ב מודיעה באופן רשמי: מתקפות כופרה יקבלו תיעדוף כמו מתקפות טרור.

אחרי המתקפות על Colonial Pipeline ו-JBS, משרד המשפטים האמריקאי מודיע כי מעתה מתקפות כופרה יקבלו תיעדוף כמו מתקפות טרור.

מה זה אומר בתכלס?

הממשל מצפה כי חוקרים ממשרד התובע הכללי, המטפלים במתקפות כופר, יישתפו בפרטי האירוע והן במידע הטכני את הצוות מטעם הממשל שעוסק במתקפות כופר.

המטרה היא שאותו צוות יוכל לראות את התמונה הכוללת של המתקפות ולזהות הקשרים בין המתקפות השונות ולהוביל בסופו של דבר לפגיעה בכל השרשרת הארגונית של התוקפים.
(סביר להניח שהנחיות נוספות יפורסמו בהמשך)

(הזדמנות להזכיר את עינת מירון שכבר מזה זמן רב טוענת שיש להתייחס להאקרים כטרוריסטים)

https://news.1rj.ru/str/CyberSecurityIL/1061

https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

חברת Fujifilm מאשרת כי היא סובלת ממתקפת כופרה.

החברה מעדכנת כי בימים האחרונים היא סובלת ממתקפת כופרה המשבשת את הפעילות העסקית כשבעקבותיה השביתה החברה חלק מרשת המחשוב הארגונית.

למרות שלא פורסם באופן רשמי נראה כי קבוצת REvil היא זו שאחראית למתקפה.

בהודעה שמפרסמת Fujifilm היא מדווחת כי המתקפה פגעה גם במערכת הדוא"ל ובמרכז הטלפוני של החברה.

https://news.1rj.ru/str/CyberSecurityIL/1062

https://www.bleepingcomputer.com/news/security/fujifilm-confirms-ransomware-attack-disrupted-business-operations/

הגיע הזמן: גיטהאב מעדכנת את מדיניות האתר ומודיעה כי לא תאפשר העלאת קוד זדוני המשמש האקרים במתקפות פעילות.

קצת רקע על השינוי שמבצעת גיטהאב:

במרץ 2021 העלה חוקר אבטחת מידע לגיטהאב קוד המציג הוכחת יכולת (POC) לחולשת ProxyLogon המאפשרת לתוקפים לנצל חולשה בשרתי Microsoft Exchange.
מייקרוסופט בתגובה הסירה את הקוד שהעלה החוקר בטענה כי הקוד מפר את מדיניות החברה וכי הוא מנוצל לגרימת נזק ע"י האקרים.
החוקר כמובן הגיב למייקרוסופט וטען כי העלאת הקוד משמשת למחקר וכי בהסרתו לא מאפשרת מייקרוסופט לחוקרי אבט"מ לבצע חקירה של הקוד אך ורק משום שהוא פוגע במוצרי מייקרוסופט.

כעת, גיטהאב, שבבעלות מייקרוסופט, מעדכנת את מדיניות האתר ומצהירה כי היא תמשיך לאשר קוד המשמש כ-POC לנוזקות למרות שייתכן והוא באותה עת מנוצל לגרימת נזק ע"י האקרים (Dual-use),
עם זאת החברה מעדכנת כי היא משאירה לעצמה את הזכות לנקוט צעדים כנגד תוכן זדוני שיועלה לאתר כאשר ייתכן והוא מנוצל למתקפות או משתמש בפלטפורמת גיטהאב כשרת C&C, הצעדים יכולים לכלול הסרה/נעילה של התוכן וכדו'.

https://news.1rj.ru/str/CyberSecurityIL/1063

חברת Nucleus Software שבהודו סובלת ממתקפת כופר.

החברה, שנסחרת בבורסה בהודו ומספקת שירותים לבנקים ולחברות, הותקפה ע"י קבוצת RedEpsilon שהצפינה חלק מהשרתים של החברה.

בהודעה שפירסמה החברה היא מוסרת כי מידע רגיש של לקוחות לא נחשף וכי הם עובדים מסביב לשעון כדי לחזור לשגרה מלאה (בינתיים המניה של החברה מגיבה בירידה של 5%).

https://news.1rj.ru/str/CyberSecurityIL/1064

https://therecord.media/epsilonred-ransomware-group-hits-one-of-indias-financial-software-powerhouses/

בראיון קצר שביצע הדובר של קבוצת REvil הוא מתייחס למתקפה על JBS ועל ההשלכות השונות.
הראיון פורסם בערוץ הטלגרם Russian Osint ובוצע ע"י בלוגר שפנה בשאלות לדובר של קבוצת REvil.

הראיון מפורסם בשפה הרוסית אבל ניסיתי לתרגם בעזרת גוגל את תוכן השיחה בכדי להנגיש זאת בעברית, אם יש כאן חברים דוברי השפה הרוסית שיכולים להצביע על דיוקים/תיקונים וכו' אז דברו איתי ואתקן.

https://news.1rj.ru/str/CyberSecurityIL/1065

תוכן הראיון:

שאלה: למה בחרתם לתקוף את חברת JBS?

תשובה: רווחים כספיים, חברת האם שוכנת בברזיל, לא התכוונו לפגוע בסניף שבארה"ב.

שאלה: מהן התוצאות של המתקפה?

תשובה: ארה"ב שייכה את המתקפה לרוסיה ולפוטין ואנו לא מבינים מהיכן הביטחון לבצע החלטה שכזו, בכל מקרה לא התכוונו לתקוף את ארה"ב אלא את ברזיל, אבל בדיעבד אנחנו בסדר עם זה גם אם זה מתקשר לפוליטיקה.
כמו כן, אפילו אם ארה"ב תאסור על תשלום דמי כופר ואפילו שהם ישימו אותנו באותה רשימה יחד עם טרוריסטים הדבר לא משפיע על הפעילות שלנו.
נתוני הגישה לחברות אמריקאיות יהיו זולים יותר, איסור תשלום דמי כופר יגרום לחברות לשלם בכל זאת בצורה לא רשמית ויגרור כנראה ירידה בהכנסות של השותפים, אנו נדע לתגמל את השותפים שלנו בהתאם.
מי יפצה את כל החברות שנפגעו? ממשלת ארה"ב או שהחברות יצטרכו לדאוג לעצמן? אנחנו לא הולכים לשום מקום ונמשיך לעבוד קשה יותר יותר.

שאלה: מה יהיו ההשלכות של הפעולות שאתם מבצעים?

תשובה: אנו לא מתכננים להימנע מלתקוף חברות בארה"ב, כל המגבלות שלנו הוסרו, השרתים שלנו עדיין עובדים ואף אחד לא חילט לנו את דמי הכופר שקיבלנו.

שאלה: לאחרונה פורומים שונים מחקו פוסטים הקשורים למתקפות כופר והשעו משתמשים שעסקו בנושא, מה תעשו עכשיו?

תשובה: עכשיו אנחנו קובעים בעצמנו את החוקים, אנו לא זקוקים לפורומים כדי ליצור לעצמנו שת"פ ויחסי ציבור, הדברים עוברים מפה לאוזן ויש לנו כבר מספר מועמדים המעוניינים להצטרף אלינו. (לכל משרה פנויה יש כ-8 מועמדים)

יום לאחר הראיון פירסם המראיין כמה פרטים על הראיון, לטענתו הוא כבר כמה חודשים מנסה להשיג את הדובר של REvil כשמספר גדול של ראיונות שכבר נקבעו נכשלו לבסוף מסיבות שונות, לא נשאלו הרבה שאלות ובפרט לא על התחרות בין קבוצות התקיפה מאחר והדבר יכול לגרום לדובר להתעלם או לסיים את השיחה 🤷🏻‍♂

https://news.1rj.ru/str/CyberSecurityIL/1066

חברת Navistar, העוסקת בייצור משאיות וכלי רכב צבאיים, מדווחת על מתקפת סייבר

בהודעה שהועברה לבורסה החברה מדווחת כי במהלך מתקפת סייבר האקרים הצליחו להוציא מידע מרשת החברה.
עם זאת החברה מציינת כי הפעילות העסקת ומערך המחשוב לא נפגעו.

בשלב זה לא ידוע על דרישת תשלום כנגד אי פרסום המידע אך ההערכה היא כי מדובר במתקפת כופר.

https://news.1rj.ru/str/CyberSecurityIL/1067

https://www.bleepingcomputer.com/news/security/us-truck-and-military-vehicle-maker-navistar-discloses-data-breach/

בהמשך לדיווח הקודם בדבר השבתת הפעילות של חברת Darkside וחילוט חלק מדמי הכופר ששולמו במתקפה על Colonial Pipeline מפרסמים משרד המשפטים האמריקאי וה-FBI הודעה משותפת.

🔸 "השגנו בחזרה 2.3 מיליון דולר (63.7 ביטקוין) ששולמו לקבוצת Darkside במסגרת המתקפה על Colonial Pipeline"

🔸 ה-FBI עקבו אחרי המטבעות מרגע התשלום לקבוצת Darkside ועד שהוא הגיע לארנק מסויים, ל-FBI יש את המפתח הפרטי של אותו ארנק ובכך התאפשרה משיכת המטבעות בחזרה ע"י ה-FBI.

🔸 "אנו נמשיך לשים למטרה את כל קבוצות התקיפה ונהפוך את העסק שלהם ללא משתלם"

🔸 "הדיווח המהיר של החברות לגורמי האכיפה מסייע בכל שלבי החקירה"

🔸סגן מנהל ה-FBI: "אין מקום הנמצא מחוץ להישג היד של ה- FBI בו האקרים יוכלו להסתיר כספים לא חוקיים מבלי שנפריע ונשבש להם את הפעילות, אנו נמשיך להשתמש בכל המשאבים הזמינים שלנו ולמנף את השותפויות המקומיות והבינלאומיות שלנו כדי לשבש התקפות כופר ולהגן על שותפינו במגזר הפרטי ועל הציבור האמריקאי."

https://news.1rj.ru/str/CyberSecurityIL/1068

חברת ExaGrid המציעה רכיבי גיבוי כנגד מתקפות כופר הותקפה במתקפת כופר ושילמה 2.6 מיליון דולר לתוקפים.

חברת ExaGrid מציעה ללקוחות רכיבי גיבוי המסייעים כנגד מתקפות כופר והצפנת המידע הנמצא בגיבוי.

כעת מפורסם כי קבוצת Conti פרצה לרשת החברה, הצפינה שרתים וגנבה מידע רגיש הכולל חוזים עם לקוחות, מידע עסקי על מוצרים ועוד.
הקבוצה דרשה מ-ExaGrid סכום של 7.5 מיליון דולר אך לאחר משא ומתן בין הצדדים שילמה ExaGrid דמי כופר של 2.6 מיליון דולר.

חברת ExaGrid לא מוכנה לשתף מידע בנושא, לשאלות שהתקבלו ענה מנכ"ל החברה כי " החברה לא דנה בנושא אבטחת הרשת עם גורמים זרים, מה שאנו יכולים לומר זה שהרשת שלנו פועלת והעסקים כרגיל ". 🤦🏻‍♂

https://news.1rj.ru/str/CyberSecurityIL/1069

https://blocksandfiles.com/2021/06/01/exagrid-dismisses-report-it-paid-ransomware-attack-extortion-demand/