שני בתי חולים של רשת UF Health שבארה"ב השביתו את מערך המחשוב בשל מתקפת כופר.

בית החולים The Villages Hospital וכן ביץ החולים Leesburg Hospital השייכים לרשת UF Health השביתו את מערך המחשוב וחזרו לעבוד עם "עט ונייר" בשל מתקפת כופר שהשביתה את רשת המחשוב.

בתי החולים מדווחים כי הם ממשיכים להעניק טיפול רפואי למרות המצב.

https://news.1rj.ru/str/CyberSecurityIL/1056

https://www.villages-news.com/2021/06/02/the-villages-hospital-crippled-by-ransomware-attack/

האקרים, שככל הנראה קשורים לממשלת סין, פרצו למערכות המחשוב של המטרו בניו יורק.

הפריצה התבצעה באמצעות ניצול חולשה במוצר Pulse Secure VPN, ואיפשרה לתוקפים לגשת ל-3 מערכות בשירות המטרו.
חברת M.T.A שאחראית על ניהול המטרו מוסרת כי לתוקפים לא הייתה גישה למערכות השליטה והבקרה של הרכבות.

עם זיהוי המתקפה הזעיקו ב-M.T.A את חברת Mandiant לתחקור האירוע ועם סיום האירוע איפסו סיסמאות ל-3,700 עובדים והחליפו את מוצר ה-VPN.

https://news.1rj.ru/str/CyberSecurityIL/1057

https://www.nytimes.com/2021/06/02/nyregion/mta-cyber-attack.html

אשמח לשמוע מה דעתכם 💬

אתר Threat Post מפרסם מאמר בו הוא טוען כי מתקפות הכופרה התגברו בעקבות ביטוחי הסייבר.

במאמר שפורסם (ומתבסס על ספר דיגיטלי שפירסמו Threat Post ועוסק בנושא כופרה) נכתב כי חברות רבות מסתמכות על ביטוחי הסייבר כמענה למתקפות כופר, הדבר גורר תשלומים מהירים למתקפות כופר ומאיץ את קצב מתקפות הכופר על ארגונים שונים.

אולי לא יהיה מוגזם להניח שקבוצות תקיפה יעדיפו לתקוף ארגון שוודאי מחזיק בביטוח סייבר...(?) 🧐🤔

במתקפה על Colonial Pipeline שולמו לתוקפים דמי כופר של 4.4 מיליון דולר כשהביטוח של החברה עבור תשלום כופר עמד על 15 מיליון דולר. (לא פורסם אם התשלום כוסה ע"י חברת הביטוח).

מה דעתכם? האם ביטוחי סייבר גורמים להזנחה כלשהי בהגנה על הארגון כי "יש מי שישלם"?

(מוזמנים להגיב בסקר או כתגובה לפוסט)

פירצה במערכות של סינאל חשפה מידע רגיש על החברות הגדולות במשק

פרצת אבטחה חמורה במערכות סינאל (Synel) הישראלית, שמספקת שירותי ניהול שכר וכוח אדם לכמה מהחברות הגדולות במשק, חשפו מידע רגיש של לקוחות. המידע שנחשף כולל פרטי גישה והתחברות למערכות שמנהלת סינאל בעבור החברות, ומידע אישי מזהה על מאות אלפי עובדים – כך גילה ההאקר והאקטיביסט נעם רותם.

הפרצה נחשפת רק אחרי שתוקנה, קרוב לשבועיים אחרי ש"כלכליסט" העביר לחברה דיווח ראשון על קיומה. מוקדם יותר היום יצא מטעם החברה דיווח לבורסה על הפירצה.

https://news.1rj.ru/str/CyberSecurityIL/1060

https://m.calcalist.co.il/Article.aspx?guid=39092480

ארה"ב מודיעה באופן רשמי: מתקפות כופרה יקבלו תיעדוף כמו מתקפות טרור.

אחרי המתקפות על Colonial Pipeline ו-JBS, משרד המשפטים האמריקאי מודיע כי מעתה מתקפות כופרה יקבלו תיעדוף כמו מתקפות טרור.

מה זה אומר בתכלס?

הממשל מצפה כי חוקרים ממשרד התובע הכללי, המטפלים במתקפות כופר, יישתפו בפרטי האירוע והן במידע הטכני את הצוות מטעם הממשל שעוסק במתקפות כופר.

המטרה היא שאותו צוות יוכל לראות את התמונה הכוללת של המתקפות ולזהות הקשרים בין המתקפות השונות ולהוביל בסופו של דבר לפגיעה בכל השרשרת הארגונית של התוקפים.
(סביר להניח שהנחיות נוספות יפורסמו בהמשך)

(הזדמנות להזכיר את עינת מירון שכבר מזה זמן רב טוענת שיש להתייחס להאקרים כטרוריסטים)

https://news.1rj.ru/str/CyberSecurityIL/1061

https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

חברת Fujifilm מאשרת כי היא סובלת ממתקפת כופרה.

החברה מעדכנת כי בימים האחרונים היא סובלת ממתקפת כופרה המשבשת את הפעילות העסקית כשבעקבותיה השביתה החברה חלק מרשת המחשוב הארגונית.

למרות שלא פורסם באופן רשמי נראה כי קבוצת REvil היא זו שאחראית למתקפה.

בהודעה שמפרסמת Fujifilm היא מדווחת כי המתקפה פגעה גם במערכת הדוא"ל ובמרכז הטלפוני של החברה.

https://news.1rj.ru/str/CyberSecurityIL/1062

https://www.bleepingcomputer.com/news/security/fujifilm-confirms-ransomware-attack-disrupted-business-operations/

הגיע הזמן: גיטהאב מעדכנת את מדיניות האתר ומודיעה כי לא תאפשר העלאת קוד זדוני המשמש האקרים במתקפות פעילות.

קצת רקע על השינוי שמבצעת גיטהאב:

במרץ 2021 העלה חוקר אבטחת מידע לגיטהאב קוד המציג הוכחת יכולת (POC) לחולשת ProxyLogon המאפשרת לתוקפים לנצל חולשה בשרתי Microsoft Exchange.
מייקרוסופט בתגובה הסירה את הקוד שהעלה החוקר בטענה כי הקוד מפר את מדיניות החברה וכי הוא מנוצל לגרימת נזק ע"י האקרים.
החוקר כמובן הגיב למייקרוסופט וטען כי העלאת הקוד משמשת למחקר וכי בהסרתו לא מאפשרת מייקרוסופט לחוקרי אבט"מ לבצע חקירה של הקוד אך ורק משום שהוא פוגע במוצרי מייקרוסופט.

כעת, גיטהאב, שבבעלות מייקרוסופט, מעדכנת את מדיניות האתר ומצהירה כי היא תמשיך לאשר קוד המשמש כ-POC לנוזקות למרות שייתכן והוא באותה עת מנוצל לגרימת נזק ע"י האקרים (Dual-use),
עם זאת החברה מעדכנת כי היא משאירה לעצמה את הזכות לנקוט צעדים כנגד תוכן זדוני שיועלה לאתר כאשר ייתכן והוא מנוצל למתקפות או משתמש בפלטפורמת גיטהאב כשרת C&C, הצעדים יכולים לכלול הסרה/נעילה של התוכן וכדו'.

https://news.1rj.ru/str/CyberSecurityIL/1063

חברת Nucleus Software שבהודו סובלת ממתקפת כופר.

החברה, שנסחרת בבורסה בהודו ומספקת שירותים לבנקים ולחברות, הותקפה ע"י קבוצת RedEpsilon שהצפינה חלק מהשרתים של החברה.

בהודעה שפירסמה החברה היא מוסרת כי מידע רגיש של לקוחות לא נחשף וכי הם עובדים מסביב לשעון כדי לחזור לשגרה מלאה (בינתיים המניה של החברה מגיבה בירידה של 5%).

https://news.1rj.ru/str/CyberSecurityIL/1064

https://therecord.media/epsilonred-ransomware-group-hits-one-of-indias-financial-software-powerhouses/

בראיון קצר שביצע הדובר של קבוצת REvil הוא מתייחס למתקפה על JBS ועל ההשלכות השונות.
הראיון פורסם בערוץ הטלגרם Russian Osint ובוצע ע"י בלוגר שפנה בשאלות לדובר של קבוצת REvil.

הראיון מפורסם בשפה הרוסית אבל ניסיתי לתרגם בעזרת גוגל את תוכן השיחה בכדי להנגיש זאת בעברית, אם יש כאן חברים דוברי השפה הרוסית שיכולים להצביע על דיוקים/תיקונים וכו' אז דברו איתי ואתקן.

https://news.1rj.ru/str/CyberSecurityIL/1065

תוכן הראיון:

שאלה: למה בחרתם לתקוף את חברת JBS?

תשובה: רווחים כספיים, חברת האם שוכנת בברזיל, לא התכוונו לפגוע בסניף שבארה"ב.

שאלה: מהן התוצאות של המתקפה?

תשובה: ארה"ב שייכה את המתקפה לרוסיה ולפוטין ואנו לא מבינים מהיכן הביטחון לבצע החלטה שכזו, בכל מקרה לא התכוונו לתקוף את ארה"ב אלא את ברזיל, אבל בדיעבד אנחנו בסדר עם זה גם אם זה מתקשר לפוליטיקה.
כמו כן, אפילו אם ארה"ב תאסור על תשלום דמי כופר ואפילו שהם ישימו אותנו באותה רשימה יחד עם טרוריסטים הדבר לא משפיע על הפעילות שלנו.
נתוני הגישה לחברות אמריקאיות יהיו זולים יותר, איסור תשלום דמי כופר יגרום לחברות לשלם בכל זאת בצורה לא רשמית ויגרור כנראה ירידה בהכנסות של השותפים, אנו נדע לתגמל את השותפים שלנו בהתאם.
מי יפצה את כל החברות שנפגעו? ממשלת ארה"ב או שהחברות יצטרכו לדאוג לעצמן? אנחנו לא הולכים לשום מקום ונמשיך לעבוד קשה יותר יותר.

שאלה: מה יהיו ההשלכות של הפעולות שאתם מבצעים?

תשובה: אנו לא מתכננים להימנע מלתקוף חברות בארה"ב, כל המגבלות שלנו הוסרו, השרתים שלנו עדיין עובדים ואף אחד לא חילט לנו את דמי הכופר שקיבלנו.

שאלה: לאחרונה פורומים שונים מחקו פוסטים הקשורים למתקפות כופר והשעו משתמשים שעסקו בנושא, מה תעשו עכשיו?

תשובה: עכשיו אנחנו קובעים בעצמנו את החוקים, אנו לא זקוקים לפורומים כדי ליצור לעצמנו שת"פ ויחסי ציבור, הדברים עוברים מפה לאוזן ויש לנו כבר מספר מועמדים המעוניינים להצטרף אלינו. (לכל משרה פנויה יש כ-8 מועמדים)

יום לאחר הראיון פירסם המראיין כמה פרטים על הראיון, לטענתו הוא כבר כמה חודשים מנסה להשיג את הדובר של REvil כשמספר גדול של ראיונות שכבר נקבעו נכשלו לבסוף מסיבות שונות, לא נשאלו הרבה שאלות ובפרט לא על התחרות בין קבוצות התקיפה מאחר והדבר יכול לגרום לדובר להתעלם או לסיים את השיחה 🤷🏻‍♂

https://news.1rj.ru/str/CyberSecurityIL/1066

חברת Navistar, העוסקת בייצור משאיות וכלי רכב צבאיים, מדווחת על מתקפת סייבר

בהודעה שהועברה לבורסה החברה מדווחת כי במהלך מתקפת סייבר האקרים הצליחו להוציא מידע מרשת החברה.
עם זאת החברה מציינת כי הפעילות העסקת ומערך המחשוב לא נפגעו.

בשלב זה לא ידוע על דרישת תשלום כנגד אי פרסום המידע אך ההערכה היא כי מדובר במתקפת כופר.

https://news.1rj.ru/str/CyberSecurityIL/1067

https://www.bleepingcomputer.com/news/security/us-truck-and-military-vehicle-maker-navistar-discloses-data-breach/

בהמשך לדיווח הקודם בדבר השבתת הפעילות של חברת Darkside וחילוט חלק מדמי הכופר ששולמו במתקפה על Colonial Pipeline מפרסמים משרד המשפטים האמריקאי וה-FBI הודעה משותפת.

🔸 "השגנו בחזרה 2.3 מיליון דולר (63.7 ביטקוין) ששולמו לקבוצת Darkside במסגרת המתקפה על Colonial Pipeline"

🔸 ה-FBI עקבו אחרי המטבעות מרגע התשלום לקבוצת Darkside ועד שהוא הגיע לארנק מסויים, ל-FBI יש את המפתח הפרטי של אותו ארנק ובכך התאפשרה משיכת המטבעות בחזרה ע"י ה-FBI.

🔸 "אנו נמשיך לשים למטרה את כל קבוצות התקיפה ונהפוך את העסק שלהם ללא משתלם"

🔸 "הדיווח המהיר של החברות לגורמי האכיפה מסייע בכל שלבי החקירה"

🔸סגן מנהל ה-FBI: "אין מקום הנמצא מחוץ להישג היד של ה- FBI בו האקרים יוכלו להסתיר כספים לא חוקיים מבלי שנפריע ונשבש להם את הפעילות, אנו נמשיך להשתמש בכל המשאבים הזמינים שלנו ולמנף את השותפויות המקומיות והבינלאומיות שלנו כדי לשבש התקפות כופר ולהגן על שותפינו במגזר הפרטי ועל הציבור האמריקאי."

https://news.1rj.ru/str/CyberSecurityIL/1068

חברת ExaGrid המציעה רכיבי גיבוי כנגד מתקפות כופר הותקפה במתקפת כופר ושילמה 2.6 מיליון דולר לתוקפים.

חברת ExaGrid מציעה ללקוחות רכיבי גיבוי המסייעים כנגד מתקפות כופר והצפנת המידע הנמצא בגיבוי.

כעת מפורסם כי קבוצת Conti פרצה לרשת החברה, הצפינה שרתים וגנבה מידע רגיש הכולל חוזים עם לקוחות, מידע עסקי על מוצרים ועוד.
הקבוצה דרשה מ-ExaGrid סכום של 7.5 מיליון דולר אך לאחר משא ומתן בין הצדדים שילמה ExaGrid דמי כופר של 2.6 מיליון דולר.

חברת ExaGrid לא מוכנה לשתף מידע בנושא, לשאלות שהתקבלו ענה מנכ"ל החברה כי " החברה לא דנה בנושא אבטחת הרשת עם גורמים זרים, מה שאנו יכולים לומר זה שהרשת שלנו פועלת והעסקים כרגיל ". 🤦🏻‍♂

https://news.1rj.ru/str/CyberSecurityIL/1069

https://blocksandfiles.com/2021/06/01/exagrid-dismisses-report-it-paid-ransomware-attack-extortion-demand/

חברת iConstituent, המספקת שירותים לנבחרי ציבור בארה"ב, הותקפה במתקפת כופר.

המערכת, שמציעה פלטפורמה לחיבור ויצירת קשר בין נבחרי ציבור לבוחרים, הותקפה במתקפת כופר שגרמה לשיבוש חלקי של הפעילות אצל הלקוחות.

בשלב זה לא פורסם מי קבוצת התקיפה ומה דרישת הכופר.

https://news.1rj.ru/str/CyberSecurityIL/1072

https://therecord.media/ransomware-hits-capitol-hill-contractor/

(עדכון) חברת JBS, שהותקפה ע"י קבוצת REvil, שילמה דמי כופר של 11 מיליון דולר.

התשלום בוצע בביטקוין, ולפי הדיווח הועבר לתוקפים גם לאחר שהתוקפים סירבו להוכיח שהמידע נמצא אצלם במהלך המשא ומתן.

הדרישה של התוקפים הייתה 22.5 מיליון דולר אך לאחר משא ומתן חברת JBS שילמה 11 מיליון דולר עבור אי פרסום המידע ומפתח הפיענוח.

לטענת JBS מפתח הפיענוח נדרש רק עבור 2 מאגרי מידע אותם לא הצליחו לשחזר מהגיבויים.

במהלך המשא ומתן איימו התוקפים כי יפרסמו את המידע תוך 3 ימים.
"תחשבו על הנזק הכספי שייגרם למניה שלכם אם המידע יפורסם".

https://news.1rj.ru/str/CyberSecurityIL/1073

https://www.bleepingcomputer.com/news/security/jbs-paid-11-million-to-revil-ransomware-225m-first-demanded/

האם לדעתכם אנו צפויים לראות בקרוב שינוי בכמות ובאופי של מתקפות הכופר?

בתקופה האחרונה, ובעיקר לאחר המתקפות על Colonial Pipeline ו-JBS נראה שממשלת ארה"ב החליטה ללחוץ על דוושת הגז בכל הקשור למתקפות כופר.

נסכם בקצרה את הצעדים המרכזיים שננקטו ע"י הממשל בארה"ב:

- אזהרה מפני סנקציות כנגד מי שישלם דמי כופר

- צו חירום נשיאותי להעלאת רמת הגנת הסייבר במדינה.

- תיעדוף של מתקפות כופר כפי שמתעדפים מתקפות טרור, והקמת צוות ייעוד למתקפות כופר.

- פעולה חריגה בה ה-FBI משיב חזרה 2.3 מיליון דולר ישירות מהארנק של התוקפים.

האם לדעתכם המשך הפעילות האינטנסיבית של ארה"ב בנושא תשפיע על היקף ואופי מתקפות הכופר בעולם?

מוזמנים להגיב כתגובה לפוסט או בסקר.

האקרים פרצו לחברת Electronic Arts וגנבו קוד מקור של משחקים.

לפי הדיווח, האקרים הצליחו לחדור לרשת של EA וגנבו את קוד המקור של מספר משחקים כגון FIFA 21 וכדו'.

המידע שנגנב, בנפח כולל של 780GB מוצע למכירה בפורומים שונים.

חברת EA מאשרת כי היא אכן סובלת מגישה של גורמים בלתי מורשים וגניבת מידע, לטענת דובר החברה מידע אישי של משתמשים לא נחשף.

https://news.1rj.ru/str/CyberSecurityIL/1076

https://www.vice.com/en/article/wx5xpx/hackers-steal-data-electronic-arts-ea-fifa-source-code