הגיע הזמן: גיטהאב מעדכנת את מדיניות האתר ומודיעה כי לא תאפשר העלאת קוד זדוני המשמש האקרים במתקפות פעילות.
קצת רקע על השינוי שמבצעת גיטהאב:
במרץ 2021 העלה חוקר אבטחת מידע לגיטהאב קוד המציג הוכחת יכולת (POC) לחולשת ProxyLogon המאפשרת לתוקפים לנצל חולשה בשרתי Microsoft Exchange.
מייקרוסופט בתגובה הסירה את הקוד שהעלה החוקר בטענה כי הקוד מפר את מדיניות החברה וכי הוא מנוצל לגרימת נזק ע"י האקרים.
החוקר כמובן הגיב למייקרוסופט וטען כי העלאת הקוד משמשת למחקר וכי בהסרתו לא מאפשרת מייקרוסופט לחוקרי אבט"מ לבצע חקירה של הקוד אך ורק משום שהוא פוגע במוצרי מייקרוסופט.
כעת, גיטהאב, שבבעלות מייקרוסופט, מעדכנת את מדיניות האתר ומצהירה כי היא תמשיך לאשר קוד המשמש כ-POC לנוזקות למרות שייתכן והוא באותה עת מנוצל לגרימת נזק ע"י האקרים (Dual-use),
עם זאת החברה מעדכנת כי היא משאירה לעצמה את הזכות לנקוט צעדים כנגד תוכן זדוני שיועלה לאתר כאשר ייתכן והוא מנוצל למתקפות או משתמש בפלטפורמת גיטהאב כשרת C&C, הצעדים יכולים לכלול הסרה/נעילה של התוכן וכדו'.
https://news.1rj.ru/str/CyberSecurityIL/1063
קצת רקע על השינוי שמבצעת גיטהאב:
במרץ 2021 העלה חוקר אבטחת מידע לגיטהאב קוד המציג הוכחת יכולת (POC) לחולשת ProxyLogon המאפשרת לתוקפים לנצל חולשה בשרתי Microsoft Exchange.
מייקרוסופט בתגובה הסירה את הקוד שהעלה החוקר בטענה כי הקוד מפר את מדיניות החברה וכי הוא מנוצל לגרימת נזק ע"י האקרים.
החוקר כמובן הגיב למייקרוסופט וטען כי העלאת הקוד משמשת למחקר וכי בהסרתו לא מאפשרת מייקרוסופט לחוקרי אבט"מ לבצע חקירה של הקוד אך ורק משום שהוא פוגע במוצרי מייקרוסופט.
כעת, גיטהאב, שבבעלות מייקרוסופט, מעדכנת את מדיניות האתר ומצהירה כי היא תמשיך לאשר קוד המשמש כ-POC לנוזקות למרות שייתכן והוא באותה עת מנוצל לגרימת נזק ע"י האקרים (Dual-use),
עם זאת החברה מעדכנת כי היא משאירה לעצמה את הזכות לנקוט צעדים כנגד תוכן זדוני שיועלה לאתר כאשר ייתכן והוא מנוצל למתקפות או משתמש בפלטפורמת גיטהאב כשרת C&C, הצעדים יכולים לכלול הסרה/נעילה של התוכן וכדו'.
https://news.1rj.ru/str/CyberSecurityIL/1063
חברת Nucleus Software שבהודו סובלת ממתקפת כופר.
החברה, שנסחרת בבורסה בהודו ומספקת שירותים לבנקים ולחברות, הותקפה ע"י קבוצת RedEpsilon שהצפינה חלק מהשרתים של החברה.
בהודעה שפירסמה החברה היא מוסרת כי מידע רגיש של לקוחות לא נחשף וכי הם עובדים מסביב לשעון כדי לחזור לשגרה מלאה (בינתיים המניה של החברה מגיבה בירידה של 5%).
https://news.1rj.ru/str/CyberSecurityIL/1064
https://therecord.media/epsilonred-ransomware-group-hits-one-of-indias-financial-software-powerhouses/
החברה, שנסחרת בבורסה בהודו ומספקת שירותים לבנקים ולחברות, הותקפה ע"י קבוצת RedEpsilon שהצפינה חלק מהשרתים של החברה.
בהודעה שפירסמה החברה היא מוסרת כי מידע רגיש של לקוחות לא נחשף וכי הם עובדים מסביב לשעון כדי לחזור לשגרה מלאה (בינתיים המניה של החברה מגיבה בירידה של 5%).
https://news.1rj.ru/str/CyberSecurityIL/1064
https://therecord.media/epsilonred-ransomware-group-hits-one-of-indias-financial-software-powerhouses/
בראיון קצר שביצע הדובר של קבוצת REvil הוא מתייחס למתקפה על JBS ועל ההשלכות השונות.
הראיון פורסם בערוץ הטלגרם Russian Osint ובוצע ע"י בלוגר שפנה בשאלות לדובר של קבוצת REvil.
הראיון מפורסם בשפה הרוסית אבל ניסיתי לתרגם בעזרת גוגל את תוכן השיחה בכדי להנגיש זאת בעברית, אם יש כאן חברים דוברי השפה הרוסית שיכולים להצביע על דיוקים/תיקונים וכו' אז דברו איתי ואתקן.
https://news.1rj.ru/str/CyberSecurityIL/1065
הראיון פורסם בערוץ הטלגרם Russian Osint ובוצע ע"י בלוגר שפנה בשאלות לדובר של קבוצת REvil.
הראיון מפורסם בשפה הרוסית אבל ניסיתי לתרגם בעזרת גוגל את תוכן השיחה בכדי להנגיש זאת בעברית, אם יש כאן חברים דוברי השפה הרוסית שיכולים להצביע על דיוקים/תיקונים וכו' אז דברו איתי ואתקן.
https://news.1rj.ru/str/CyberSecurityIL/1065
תוכן הראיון:
שאלה: למה בחרתם לתקוף את חברת JBS?
תשובה: רווחים כספיים, חברת האם שוכנת בברזיל, לא התכוונו לפגוע בסניף שבארה"ב.
שאלה: מהן התוצאות של המתקפה?
תשובה: ארה"ב שייכה את המתקפה לרוסיה ולפוטין ואנו לא מבינים מהיכן הביטחון לבצע החלטה שכזו, בכל מקרה לא התכוונו לתקוף את ארה"ב אלא את ברזיל, אבל בדיעבד אנחנו בסדר עם זה גם אם זה מתקשר לפוליטיקה.
כמו כן, אפילו אם ארה"ב תאסור על תשלום דמי כופר ואפילו שהם ישימו אותנו באותה רשימה יחד עם טרוריסטים הדבר לא משפיע על הפעילות שלנו.
נתוני הגישה לחברות אמריקאיות יהיו זולים יותר, איסור תשלום דמי כופר יגרום לחברות לשלם בכל זאת בצורה לא רשמית ויגרור כנראה ירידה בהכנסות של השותפים, אנו נדע לתגמל את השותפים שלנו בהתאם.
מי יפצה את כל החברות שנפגעו? ממשלת ארה"ב או שהחברות יצטרכו לדאוג לעצמן? אנחנו לא הולכים לשום מקום ונמשיך לעבוד קשה יותר יותר.
שאלה: מה יהיו ההשלכות של הפעולות שאתם מבצעים?
תשובה: אנו לא מתכננים להימנע מלתקוף חברות בארה"ב, כל המגבלות שלנו הוסרו, השרתים שלנו עדיין עובדים ואף אחד לא חילט לנו את דמי הכופר שקיבלנו.
שאלה: לאחרונה פורומים שונים מחקו פוסטים הקשורים למתקפות כופר והשעו משתמשים שעסקו בנושא, מה תעשו עכשיו?
תשובה: עכשיו אנחנו קובעים בעצמנו את החוקים, אנו לא זקוקים לפורומים כדי ליצור לעצמנו שת"פ ויחסי ציבור, הדברים עוברים מפה לאוזן ויש לנו כבר מספר מועמדים המעוניינים להצטרף אלינו. (לכל משרה פנויה יש כ-8 מועמדים)
יום לאחר הראיון פירסם המראיין כמה פרטים על הראיון, לטענתו הוא כבר כמה חודשים מנסה להשיג את הדובר של REvil כשמספר גדול של ראיונות שכבר נקבעו נכשלו לבסוף מסיבות שונות, לא נשאלו הרבה שאלות ובפרט לא על התחרות בין קבוצות התקיפה מאחר והדבר יכול לגרום לדובר להתעלם או לסיים את השיחה 🤷🏻♂
https://news.1rj.ru/str/CyberSecurityIL/1066
שאלה: למה בחרתם לתקוף את חברת JBS?
תשובה: רווחים כספיים, חברת האם שוכנת בברזיל, לא התכוונו לפגוע בסניף שבארה"ב.
שאלה: מהן התוצאות של המתקפה?
תשובה: ארה"ב שייכה את המתקפה לרוסיה ולפוטין ואנו לא מבינים מהיכן הביטחון לבצע החלטה שכזו, בכל מקרה לא התכוונו לתקוף את ארה"ב אלא את ברזיל, אבל בדיעבד אנחנו בסדר עם זה גם אם זה מתקשר לפוליטיקה.
כמו כן, אפילו אם ארה"ב תאסור על תשלום דמי כופר ואפילו שהם ישימו אותנו באותה רשימה יחד עם טרוריסטים הדבר לא משפיע על הפעילות שלנו.
נתוני הגישה לחברות אמריקאיות יהיו זולים יותר, איסור תשלום דמי כופר יגרום לחברות לשלם בכל זאת בצורה לא רשמית ויגרור כנראה ירידה בהכנסות של השותפים, אנו נדע לתגמל את השותפים שלנו בהתאם.
מי יפצה את כל החברות שנפגעו? ממשלת ארה"ב או שהחברות יצטרכו לדאוג לעצמן? אנחנו לא הולכים לשום מקום ונמשיך לעבוד קשה יותר יותר.
שאלה: מה יהיו ההשלכות של הפעולות שאתם מבצעים?
תשובה: אנו לא מתכננים להימנע מלתקוף חברות בארה"ב, כל המגבלות שלנו הוסרו, השרתים שלנו עדיין עובדים ואף אחד לא חילט לנו את דמי הכופר שקיבלנו.
שאלה: לאחרונה פורומים שונים מחקו פוסטים הקשורים למתקפות כופר והשעו משתמשים שעסקו בנושא, מה תעשו עכשיו?
תשובה: עכשיו אנחנו קובעים בעצמנו את החוקים, אנו לא זקוקים לפורומים כדי ליצור לעצמנו שת"פ ויחסי ציבור, הדברים עוברים מפה לאוזן ויש לנו כבר מספר מועמדים המעוניינים להצטרף אלינו. (לכל משרה פנויה יש כ-8 מועמדים)
יום לאחר הראיון פירסם המראיין כמה פרטים על הראיון, לטענתו הוא כבר כמה חודשים מנסה להשיג את הדובר של REvil כשמספר גדול של ראיונות שכבר נקבעו נכשלו לבסוף מסיבות שונות, לא נשאלו הרבה שאלות ובפרט לא על התחרות בין קבוצות התקיפה מאחר והדבר יכול לגרום לדובר להתעלם או לסיים את השיחה 🤷🏻♂
https://news.1rj.ru/str/CyberSecurityIL/1066
חברת Navistar, העוסקת בייצור משאיות וכלי רכב צבאיים, מדווחת על מתקפת סייבר
בהודעה שהועברה לבורסה החברה מדווחת כי במהלך מתקפת סייבר האקרים הצליחו להוציא מידע מרשת החברה.
עם זאת החברה מציינת כי הפעילות העסקת ומערך המחשוב לא נפגעו.
בשלב זה לא ידוע על דרישת תשלום כנגד אי פרסום המידע אך ההערכה היא כי מדובר במתקפת כופר.
https://news.1rj.ru/str/CyberSecurityIL/1067
https://www.bleepingcomputer.com/news/security/us-truck-and-military-vehicle-maker-navistar-discloses-data-breach/
בהודעה שהועברה לבורסה החברה מדווחת כי במהלך מתקפת סייבר האקרים הצליחו להוציא מידע מרשת החברה.
עם זאת החברה מציינת כי הפעילות העסקת ומערך המחשוב לא נפגעו.
בשלב זה לא ידוע על דרישת תשלום כנגד אי פרסום המידע אך ההערכה היא כי מדובר במתקפת כופר.
https://news.1rj.ru/str/CyberSecurityIL/1067
https://www.bleepingcomputer.com/news/security/us-truck-and-military-vehicle-maker-navistar-discloses-data-breach/
בהמשך לדיווח הקודם בדבר השבתת הפעילות של חברת Darkside וחילוט חלק מדמי הכופר ששולמו במתקפה על Colonial Pipeline מפרסמים משרד המשפטים האמריקאי וה-FBI הודעה משותפת.
🔸 "השגנו בחזרה 2.3 מיליון דולר (63.7 ביטקוין) ששולמו לקבוצת Darkside במסגרת המתקפה על Colonial Pipeline"
🔸 ה-FBI עקבו אחרי המטבעות מרגע התשלום לקבוצת Darkside ועד שהוא הגיע לארנק מסויים, ל-FBI יש את המפתח הפרטי של אותו ארנק ובכך התאפשרה משיכת המטבעות בחזרה ע"י ה-FBI.
🔸 "אנו נמשיך לשים למטרה את כל קבוצות התקיפה ונהפוך את העסק שלהם ללא משתלם"
🔸 "הדיווח המהיר של החברות לגורמי האכיפה מסייע בכל שלבי החקירה"
🔸סגן מנהל ה-FBI: "אין מקום הנמצא מחוץ להישג היד של ה- FBI בו האקרים יוכלו להסתיר כספים לא חוקיים מבלי שנפריע ונשבש להם את הפעילות, אנו נמשיך להשתמש בכל המשאבים הזמינים שלנו ולמנף את השותפויות המקומיות והבינלאומיות שלנו כדי לשבש התקפות כופר ולהגן על שותפינו במגזר הפרטי ועל הציבור האמריקאי."
https://news.1rj.ru/str/CyberSecurityIL/1068
🔸 "השגנו בחזרה 2.3 מיליון דולר (63.7 ביטקוין) ששולמו לקבוצת Darkside במסגרת המתקפה על Colonial Pipeline"
🔸 ה-FBI עקבו אחרי המטבעות מרגע התשלום לקבוצת Darkside ועד שהוא הגיע לארנק מסויים, ל-FBI יש את המפתח הפרטי של אותו ארנק ובכך התאפשרה משיכת המטבעות בחזרה ע"י ה-FBI.
🔸 "אנו נמשיך לשים למטרה את כל קבוצות התקיפה ונהפוך את העסק שלהם ללא משתלם"
🔸 "הדיווח המהיר של החברות לגורמי האכיפה מסייע בכל שלבי החקירה"
🔸סגן מנהל ה-FBI: "אין מקום הנמצא מחוץ להישג היד של ה- FBI בו האקרים יוכלו להסתיר כספים לא חוקיים מבלי שנפריע ונשבש להם את הפעילות, אנו נמשיך להשתמש בכל המשאבים הזמינים שלנו ולמנף את השותפויות המקומיות והבינלאומיות שלנו כדי לשבש התקפות כופר ולהגן על שותפינו במגזר הפרטי ועל הציבור האמריקאי."
https://news.1rj.ru/str/CyberSecurityIL/1068
חברת ExaGrid המציעה רכיבי גיבוי כנגד מתקפות כופר הותקפה במתקפת כופר ושילמה 2.6 מיליון דולר לתוקפים.
חברת ExaGrid מציעה ללקוחות רכיבי גיבוי המסייעים כנגד מתקפות כופר והצפנת המידע הנמצא בגיבוי.
כעת מפורסם כי קבוצת Conti פרצה לרשת החברה, הצפינה שרתים וגנבה מידע רגיש הכולל חוזים עם לקוחות, מידע עסקי על מוצרים ועוד.
הקבוצה דרשה מ-ExaGrid סכום של 7.5 מיליון דולר אך לאחר משא ומתן בין הצדדים שילמה ExaGrid דמי כופר של 2.6 מיליון דולר.
חברת ExaGrid לא מוכנה לשתף מידע בנושא, לשאלות שהתקבלו ענה מנכ"ל החברה כי " החברה לא דנה בנושא אבטחת הרשת עם גורמים זרים, מה שאנו יכולים לומר זה שהרשת שלנו פועלת והעסקים כרגיל ". 🤦🏻♂
https://news.1rj.ru/str/CyberSecurityIL/1069
https://blocksandfiles.com/2021/06/01/exagrid-dismisses-report-it-paid-ransomware-attack-extortion-demand/
חברת ExaGrid מציעה ללקוחות רכיבי גיבוי המסייעים כנגד מתקפות כופר והצפנת המידע הנמצא בגיבוי.
כעת מפורסם כי קבוצת Conti פרצה לרשת החברה, הצפינה שרתים וגנבה מידע רגיש הכולל חוזים עם לקוחות, מידע עסקי על מוצרים ועוד.
הקבוצה דרשה מ-ExaGrid סכום של 7.5 מיליון דולר אך לאחר משא ומתן בין הצדדים שילמה ExaGrid דמי כופר של 2.6 מיליון דולר.
חברת ExaGrid לא מוכנה לשתף מידע בנושא, לשאלות שהתקבלו ענה מנכ"ל החברה כי " החברה לא דנה בנושא אבטחת הרשת עם גורמים זרים, מה שאנו יכולים לומר זה שהרשת שלנו פועלת והעסקים כרגיל ". 🤦🏻♂
https://news.1rj.ru/str/CyberSecurityIL/1069
https://blocksandfiles.com/2021/06/01/exagrid-dismisses-report-it-paid-ransomware-attack-extortion-demand/
MICROSOFTJUN21-CERT-IL-W-1339.pdf
362.4 KB
מערך הסייבר הלאומי:
עדכון האבטחה החודשי של מיקרוסופט - יוני 2021
שלום רב,
ב-8 לחודש פרסמה מיקרוסופט כ-50 עדכוני אבטחה לפגיעויות בתוכנות נתמכות. 5 פגיעויות מסווגות כקריטיות.
6 פגיעויות מנוצלות בפועל על ידי תוקפים בעולם (Zero Day).
מומלץ מאד לבחון העדכונים בסביבת ניסוי, ולהתקינם בהקדם האפשרי.
https://news.1rj.ru/str/CyberSecurityIL/1070
עדכון האבטחה החודשי של מיקרוסופט - יוני 2021
שלום רב,
ב-8 לחודש פרסמה מיקרוסופט כ-50 עדכוני אבטחה לפגיעויות בתוכנות נתמכות. 5 פגיעויות מסווגות כקריטיות.
6 פגיעויות מנוצלות בפועל על ידי תוקפים בעולם (Zero Day).
מומלץ מאד לבחון העדכונים בסביבת ניסוי, ולהתקינם בהקדם האפשרי.
https://news.1rj.ru/str/CyberSecurityIL/1070
חברת iConstituent, המספקת שירותים לנבחרי ציבור בארה"ב, הותקפה במתקפת כופר.
המערכת, שמציעה פלטפורמה לחיבור ויצירת קשר בין נבחרי ציבור לבוחרים, הותקפה במתקפת כופר שגרמה לשיבוש חלקי של הפעילות אצל הלקוחות.
בשלב זה לא פורסם מי קבוצת התקיפה ומה דרישת הכופר.
https://news.1rj.ru/str/CyberSecurityIL/1072
https://therecord.media/ransomware-hits-capitol-hill-contractor/
המערכת, שמציעה פלטפורמה לחיבור ויצירת קשר בין נבחרי ציבור לבוחרים, הותקפה במתקפת כופר שגרמה לשיבוש חלקי של הפעילות אצל הלקוחות.
בשלב זה לא פורסם מי קבוצת התקיפה ומה דרישת הכופר.
https://news.1rj.ru/str/CyberSecurityIL/1072
https://therecord.media/ransomware-hits-capitol-hill-contractor/
(עדכון) חברת JBS, שהותקפה ע"י קבוצת REvil, שילמה דמי כופר של 11 מיליון דולר.
התשלום בוצע בביטקוין, ולפי הדיווח הועבר לתוקפים גם לאחר שהתוקפים סירבו להוכיח שהמידע נמצא אצלם במהלך המשא ומתן.
הדרישה של התוקפים הייתה 22.5 מיליון דולר אך לאחר משא ומתן חברת JBS שילמה 11 מיליון דולר עבור אי פרסום המידע ומפתח הפיענוח.
לטענת JBS מפתח הפיענוח נדרש רק עבור 2 מאגרי מידע אותם לא הצליחו לשחזר מהגיבויים.
במהלך המשא ומתן איימו התוקפים כי יפרסמו את המידע תוך 3 ימים.
"תחשבו על הנזק הכספי שייגרם למניה שלכם אם המידע יפורסם".
https://news.1rj.ru/str/CyberSecurityIL/1073
https://www.bleepingcomputer.com/news/security/jbs-paid-11-million-to-revil-ransomware-225m-first-demanded/
התשלום בוצע בביטקוין, ולפי הדיווח הועבר לתוקפים גם לאחר שהתוקפים סירבו להוכיח שהמידע נמצא אצלם במהלך המשא ומתן.
הדרישה של התוקפים הייתה 22.5 מיליון דולר אך לאחר משא ומתן חברת JBS שילמה 11 מיליון דולר עבור אי פרסום המידע ומפתח הפיענוח.
לטענת JBS מפתח הפיענוח נדרש רק עבור 2 מאגרי מידע אותם לא הצליחו לשחזר מהגיבויים.
במהלך המשא ומתן איימו התוקפים כי יפרסמו את המידע תוך 3 ימים.
"תחשבו על הנזק הכספי שייגרם למניה שלכם אם המידע יפורסם".
https://news.1rj.ru/str/CyberSecurityIL/1073
https://www.bleepingcomputer.com/news/security/jbs-paid-11-million-to-revil-ransomware-225m-first-demanded/
האם לדעתכם אנו צפויים לראות בקרוב שינוי בכמות ובאופי של מתקפות הכופר?
בתקופה האחרונה, ובעיקר לאחר המתקפות על Colonial Pipeline ו-JBS נראה שממשלת ארה"ב החליטה ללחוץ על דוושת הגז בכל הקשור למתקפות כופר.
נסכם בקצרה את הצעדים המרכזיים שננקטו ע"י הממשל בארה"ב:
- אזהרה מפני סנקציות כנגד מי שישלם דמי כופר
- צו חירום נשיאותי להעלאת רמת הגנת הסייבר במדינה.
- תיעדוף של מתקפות כופר כפי שמתעדפים מתקפות טרור, והקמת צוות ייעוד למתקפות כופר.
- פעולה חריגה בה ה-FBI משיב חזרה 2.3 מיליון דולר ישירות מהארנק של התוקפים.
האם לדעתכם המשך הפעילות האינטנסיבית של ארה"ב בנושא תשפיע על היקף ואופי מתקפות הכופר בעולם?
מוזמנים להגיב כתגובה לפוסט או בסקר.
בתקופה האחרונה, ובעיקר לאחר המתקפות על Colonial Pipeline ו-JBS נראה שממשלת ארה"ב החליטה ללחוץ על דוושת הגז בכל הקשור למתקפות כופר.
נסכם בקצרה את הצעדים המרכזיים שננקטו ע"י הממשל בארה"ב:
- אזהרה מפני סנקציות כנגד מי שישלם דמי כופר
- צו חירום נשיאותי להעלאת רמת הגנת הסייבר במדינה.
- תיעדוף של מתקפות כופר כפי שמתעדפים מתקפות טרור, והקמת צוות ייעוד למתקפות כופר.
- פעולה חריגה בה ה-FBI משיב חזרה 2.3 מיליון דולר ישירות מהארנק של התוקפים.
האם לדעתכם המשך הפעילות האינטנסיבית של ארה"ב בנושא תשפיע על היקף ואופי מתקפות הכופר בעולם?
מוזמנים להגיב כתגובה לפוסט או בסקר.
האם לדעתכם המשך הפעילות האינטנסיבית של ארה"ב בנושא תשפיע על היקף ואופי מתקפות הכופר בעולם?
Final Results
50%
לא, כל עוד חברות ישלמו תוקפים ימשיכו לתקוף, קבוצת אחת תפסיק וקבוצה חדשה תקום
11%
כן, היקף המתקפות יירד, התוקפים יתחילו להבין שזה לא משתלם.
39%
קבוצות התקיפה ימשיכו אך יתמקדו בארגונים מחוץ לארה"ב
האקרים פרצו לחברת Electronic Arts וגנבו קוד מקור של משחקים.
לפי הדיווח, האקרים הצליחו לחדור לרשת של EA וגנבו את קוד המקור של מספר משחקים כגון FIFA 21 וכדו'.
המידע שנגנב, בנפח כולל של 780GB מוצע למכירה בפורומים שונים.
חברת EA מאשרת כי היא אכן סובלת מגישה של גורמים בלתי מורשים וגניבת מידע, לטענת דובר החברה מידע אישי של משתמשים לא נחשף.
https://news.1rj.ru/str/CyberSecurityIL/1076
https://www.vice.com/en/article/wx5xpx/hackers-steal-data-electronic-arts-ea-fifa-source-code
לפי הדיווח, האקרים הצליחו לחדור לרשת של EA וגנבו את קוד המקור של מספר משחקים כגון FIFA 21 וכדו'.
המידע שנגנב, בנפח כולל של 780GB מוצע למכירה בפורומים שונים.
חברת EA מאשרת כי היא אכן סובלת מגישה של גורמים בלתי מורשים וגניבת מידע, לטענת דובר החברה מידע אישי של משתמשים לא נחשף.
https://news.1rj.ru/str/CyberSecurityIL/1076
https://www.vice.com/en/article/wx5xpx/hackers-steal-data-electronic-arts-ea-fifa-source-code
חברת Edward Don, העוסקת בהפצה של מוצרי מזון וציוד מטבחים, נפלה קרבן למתקפת כופר.
החברה, שמעסיקה 1,100 עובדים ומשרתת 56,000 לקוחות ברחבי העולם השביתה חלק מרשת המחשוב ואינה יכולה לקבל הזמנות חדשות.
בשלב זה לא ידוע מי קבוצת התקיפה ומה גובה דמי הכופר (ההשערה היא שקבוצת Egregor היא זו שאחראית למתקפה).
https://news.1rj.ru/str/CyberSecurityIL/1078
https://www.bleepingcomputer.com/news/security/foodservice-supplier-edward-don-hit-by-a-ransomware-attack/
החברה, שמעסיקה 1,100 עובדים ומשרתת 56,000 לקוחות ברחבי העולם השביתה חלק מרשת המחשוב ואינה יכולה לקבל הזמנות חדשות.
בשלב זה לא ידוע מי קבוצת התקיפה ומה גובה דמי הכופר (ההשערה היא שקבוצת Egregor היא זו שאחראית למתקפה).
https://news.1rj.ru/str/CyberSecurityIL/1078
https://www.bleepingcomputer.com/news/security/foodservice-supplier-edward-don-hit-by-a-ransomware-attack/
מערך הסייבר הלאומי:
פעילות של כופרה בשם CUBA בישראל
שלום רב,
ב-24 השעות האחרונות דווח למערך הסייבר הלאומי על מספר אירועי כופרה, בארגונים שונים.
המכנה המשותף לכל האירועים הוא שימוש בכופרה בשם Cuba.
להלן מספר קישורים לדוחות שפורסמו על תקיפות קודמות באמצעות כופרה זו. דוחות אלו כוללים מזהים שונים וחוקי YARA.
https://shared-public-reports.s3-eu-west-1.amazonaws.com/Cuba+Ransomware+Group+-+on+a+roll.pdf
https://www.mcafee.com/enterprise/en-us/assets/reports/rp-cuba-ransomware.pdf
https://digital.nhs.uk/cyber-alerts/2021/cc-3855#indicators-of-compromise
https://blogs.blackberry.com/en/2021/04/threat-thursday-blackberry-protect-vs-cuba-ransomware
דוחות אלו פורסמו בחודשים האחרונים. ייתכן כי באירועים הנוכחיים מאפייני הכופרה יהיו שונים.
https://news.1rj.ru/str/CyberSecurityIL/1079
פעילות של כופרה בשם CUBA בישראל
שלום רב,
ב-24 השעות האחרונות דווח למערך הסייבר הלאומי על מספר אירועי כופרה, בארגונים שונים.
המכנה המשותף לכל האירועים הוא שימוש בכופרה בשם Cuba.
להלן מספר קישורים לדוחות שפורסמו על תקיפות קודמות באמצעות כופרה זו. דוחות אלו כוללים מזהים שונים וחוקי YARA.
https://shared-public-reports.s3-eu-west-1.amazonaws.com/Cuba+Ransomware+Group+-+on+a+roll.pdf
https://www.mcafee.com/enterprise/en-us/assets/reports/rp-cuba-ransomware.pdf
https://digital.nhs.uk/cyber-alerts/2021/cc-3855#indicators-of-compromise
https://blogs.blackberry.com/en/2021/04/threat-thursday-blackberry-protect-vs-cuba-ransomware
דוחות אלו פורסמו בחודשים האחרונים. ייתכן כי באירועים הנוכחיים מאפייני הכופרה יהיו שונים.
https://news.1rj.ru/str/CyberSecurityIL/1079
מתקפות סייבר על מקדונלדס ופולקסווגן, פרטי לקוחות נחשפו.
ענקית המזון המהיר דיווחה כי האקרים השיגו גישה לפרטי מידע של לקוחות בדרום קוריאה ובטייוואן.
גם יצרנית הרכב הגרמנית פולקסווגן דיווחה כי פריצה למחשבים פגעה ביותר מ-3.3 מיליון לקוחות בצפון אמריקה. מדובר בעיקר בלקוחות נוכחיים או פוטנציאליים של מותג אאודי.
לפי הודעת החברה, צד שלישי לא מאושר השיג מידע אישי מוגבל על הלקוחות וקונים פוטנציאליים מספק שבו משתמשים מותגי אאודי וחלק מסוכני הרכב בארה"ב ובקנדה עבור שירותי מכירות דיגיטליות ושיווק. המידע שנחשף נוגע למכירות שבוצעו בשנים 2014-2019.
לפי ההודעה שמסרה החברה לרגולטורים, מדובר בעיקר במספרי טלפון ובכתובות מייל, אך בחלק מהמקרים המידע כלל גם את סוג הרכב שרכשו הלקוחות או התעניינו בו. לפי ההערכות, המידע הושג בין אוגוסט 2019 ומאי 2021, אז התגלתה התקרית.
https://news.1rj.ru/str/CyberSecurityIL/1080
https://m.calcalist.co.il/Article.aspx?guid=39097320
ענקית המזון המהיר דיווחה כי האקרים השיגו גישה לפרטי מידע של לקוחות בדרום קוריאה ובטייוואן.
גם יצרנית הרכב הגרמנית פולקסווגן דיווחה כי פריצה למחשבים פגעה ביותר מ-3.3 מיליון לקוחות בצפון אמריקה. מדובר בעיקר בלקוחות נוכחיים או פוטנציאליים של מותג אאודי.
לפי הודעת החברה, צד שלישי לא מאושר השיג מידע אישי מוגבל על הלקוחות וקונים פוטנציאליים מספק שבו משתמשים מותגי אאודי וחלק מסוכני הרכב בארה"ב ובקנדה עבור שירותי מכירות דיגיטליות ושיווק. המידע שנחשף נוגע למכירות שבוצעו בשנים 2014-2019.
לפי ההודעה שמסרה החברה לרגולטורים, מדובר בעיקר במספרי טלפון ובכתובות מייל, אך בחלק מהמקרים המידע כלל גם את סוג הרכב שרכשו הלקוחות או התעניינו בו. לפי ההערכות, המידע הושג בין אוגוסט 2019 ומאי 2021, אז התגלתה התקרית.
https://news.1rj.ru/str/CyberSecurityIL/1080
https://m.calcalist.co.il/Article.aspx?guid=39097320
ש: באיזה שלב חברות שנתקפו ומקיימות משא ומתן מול התוקפים מחליטות לשלם את דמי הכופר?
ת: קבוצות התקיפה מתחילות עם דרישות כופר גבוהות של 10, 20 ואף 50 מיליון דולר, הם רוצים להרגיש את השטח ולהישמע נדיבים כשהם נותנים הנחה של 50%, בסוף כל חברה צריכה לעשות את החשבון כמה עולה לי השבתה לשעה/ליום ולהחליט מתי תשלום הכופר הופך לאלטרנטיבה הפיננסית הפחות גרועה, ישנן חברות שצריכות כמה ימים רק כדי לדעת מה מצב הגיבויים ומה אפשרויות השחזור שבפניהן, זה גם חלק מהשיקולים של האם לשלם ומתי, חברות שיודעות שאין להם כלום בגיבוי משלמות בד"כ במהירות.
ש: הזכרת את תקינות ואיכות הגיבויים...
ת: נכון, כשיש לך גיבוי איכותי שמוגדר כראוי אתה תהיה בסדר, הבעיה, ברוב החברות, היא שאין גיבוי איכותי או שהגיבוי לא נבדק תקופה ארוכה בבדיקה שגרתית או בתרגיל של מתקפת כופר.
ש: למה אתה מתכוון בגיבויים שלא הוגדרו כראוי?
ת: לדוג' יש לך גיבוי של אלפי GB במרחק של עשרות ק"מ מהאתר הראשי, בזמן אירוע אתה מתחיל לשחזר ומגלה שזה איטי מאד, אתה מוציא מחשבון ומגלה שיקח לך 69 שנים לשחזר את הכל....
איך לא חשבת על זה? כי לא תירגלת את זה..
דוגמא נוספת, יש לך המון מידע בגיבוי אבל האפליקציה שמבצעת את השחזור נמצאת ברשת המקומית והחברה מגלה שהאפליקציה הזו הוצפנה...
בנוסף יש המון לחץ על שחזור מהיר, כולם רוצים שכל המידע ישוחזר תוך כמה שעות אבל האמת שבחברות גדולות שחזור מלא יכול לקחת ימים ואף שבועות, אז כדי לזרז את התהליך חברות מניחות את הגיבוי ברשת המקומית ואז התוקפים מצפינים גם את הגיבוי.
אחת הסיבות שחברות אירופאיות משלמות פחות היא שהן לא מפעילות לחץ על צוותי השחזור, הם מבינות שזה לוקח זמן והן בסדר עם שחזור מקלטות.
בארה"ב קלטות נתפסות כעתיקות ואיטיות אבל חברות רבות היו מוכנות להרוג רק בשביל שיהיו להן קלטות גיבוי בזמן אירוע.
ש: דיברתי עם חבר שעובד בתחום השחזור לאחר מתקפות כופר והוא אמר שההמלצה לאחר מתקפה היא לעבור לרשת אחרת לגמרי כי סביר להניח שהרשת הנגועה תישאר נגועה.
ת: המצב האידאלי הוא ששרת נגוע ימודר לחלוטין ולא ישוחזר לעולם, הדבר הנכון הוא שלחברות יהיה "אזור ירוק" שם הם יוכלו לבנות מחדש את כל השרתים והאפליקציות ואת המידע להביא מהגיבוי, חברות לא משלמות דמי כופר בשביל לשחזר שרתים אלא בשביל לשחזר מידע קריטי.
ש: כמה פעמים נתקלת במקרה בו מפתח הפיענוח שהתקבל לאחר תשלום היה לא יעיל?
לא יעיל? הייתי אומר שבערך ב-5% מהמקרים, לרוב המפתח עובד ומאפשר שחזור.
עם זאת לפעמים יש בעיות עם מפתח הפיענוח, בד"כ כשיהיו בעיות זה בגלל שבתהליך ההצפנה התוקפים פגמו את הקבצים ולכן לא ניתן לשחזר בצורה תקינה.
ש: אם גיליתם שהמידע נדפק בזמן ההצפנה אז זה קרב אבוד מראש?
ברוב הפעמים כן.
בנוסף, התוכנה ששולחים התוקפים, שעוטפת את מפתח הפיענוח, היא בד"כ גרועה, והחשש מוירוס המושתל בתוכה הוא חשש הגיוני, ולכן ההמלצה שלנו היא לשלוף את המפתח מתוך התוכנה ולהטמיע אותו בתוכנה שלנו.
ש: מה שהיה מעניין באירוע של Colonial Pipeline הוא שהיו לו השפעות שלא הייתה לחברה שליטה ישירה עליהם - כלומר, התגובה של האנשים שהחלו לאגור דלק. למרות שלא היה ממש מחסור בדלק, אנשים יצרו מחסור בדלק מבהלה. אז יש את כל ההשפעות שאתה לא יכול לצפות מראש שיכולות להפעיל עליך לחץ לשלם את הכופר.
ת: זה מקרה מיוחד מכיוון שמחירי הדלק הם ללא ספק טריגר כלכלי מרכזי, מה שאומר שהם טריגר פוליטי מרכזי. מקרים כאלה הם נדירים מכיוון שאין הרבה חברות שיש להן יכולת להשפיע בצורה כזו על הצרכנים.
בסופו של יום, ככל שהאירוע היה מפחיד, במבט לאחור זו הייתה תקרית חשובה שגרמה לקריאת השכמה בנושא.
https://news.1rj.ru/str/CyberSecurityIL/1082
ת: קבוצות התקיפה מתחילות עם דרישות כופר גבוהות של 10, 20 ואף 50 מיליון דולר, הם רוצים להרגיש את השטח ולהישמע נדיבים כשהם נותנים הנחה של 50%, בסוף כל חברה צריכה לעשות את החשבון כמה עולה לי השבתה לשעה/ליום ולהחליט מתי תשלום הכופר הופך לאלטרנטיבה הפיננסית הפחות גרועה, ישנן חברות שצריכות כמה ימים רק כדי לדעת מה מצב הגיבויים ומה אפשרויות השחזור שבפניהן, זה גם חלק מהשיקולים של האם לשלם ומתי, חברות שיודעות שאין להם כלום בגיבוי משלמות בד"כ במהירות.
ש: הזכרת את תקינות ואיכות הגיבויים...
ת: נכון, כשיש לך גיבוי איכותי שמוגדר כראוי אתה תהיה בסדר, הבעיה, ברוב החברות, היא שאין גיבוי איכותי או שהגיבוי לא נבדק תקופה ארוכה בבדיקה שגרתית או בתרגיל של מתקפת כופר.
ש: למה אתה מתכוון בגיבויים שלא הוגדרו כראוי?
ת: לדוג' יש לך גיבוי של אלפי GB במרחק של עשרות ק"מ מהאתר הראשי, בזמן אירוע אתה מתחיל לשחזר ומגלה שזה איטי מאד, אתה מוציא מחשבון ומגלה שיקח לך 69 שנים לשחזר את הכל....
איך לא חשבת על זה? כי לא תירגלת את זה..
דוגמא נוספת, יש לך המון מידע בגיבוי אבל האפליקציה שמבצעת את השחזור נמצאת ברשת המקומית והחברה מגלה שהאפליקציה הזו הוצפנה...
בנוסף יש המון לחץ על שחזור מהיר, כולם רוצים שכל המידע ישוחזר תוך כמה שעות אבל האמת שבחברות גדולות שחזור מלא יכול לקחת ימים ואף שבועות, אז כדי לזרז את התהליך חברות מניחות את הגיבוי ברשת המקומית ואז התוקפים מצפינים גם את הגיבוי.
אחת הסיבות שחברות אירופאיות משלמות פחות היא שהן לא מפעילות לחץ על צוותי השחזור, הם מבינות שזה לוקח זמן והן בסדר עם שחזור מקלטות.
בארה"ב קלטות נתפסות כעתיקות ואיטיות אבל חברות רבות היו מוכנות להרוג רק בשביל שיהיו להן קלטות גיבוי בזמן אירוע.
ש: דיברתי עם חבר שעובד בתחום השחזור לאחר מתקפות כופר והוא אמר שההמלצה לאחר מתקפה היא לעבור לרשת אחרת לגמרי כי סביר להניח שהרשת הנגועה תישאר נגועה.
ת: המצב האידאלי הוא ששרת נגוע ימודר לחלוטין ולא ישוחזר לעולם, הדבר הנכון הוא שלחברות יהיה "אזור ירוק" שם הם יוכלו לבנות מחדש את כל השרתים והאפליקציות ואת המידע להביא מהגיבוי, חברות לא משלמות דמי כופר בשביל לשחזר שרתים אלא בשביל לשחזר מידע קריטי.
ש: כמה פעמים נתקלת במקרה בו מפתח הפיענוח שהתקבל לאחר תשלום היה לא יעיל?
לא יעיל? הייתי אומר שבערך ב-5% מהמקרים, לרוב המפתח עובד ומאפשר שחזור.
עם זאת לפעמים יש בעיות עם מפתח הפיענוח, בד"כ כשיהיו בעיות זה בגלל שבתהליך ההצפנה התוקפים פגמו את הקבצים ולכן לא ניתן לשחזר בצורה תקינה.
ש: אם גיליתם שהמידע נדפק בזמן ההצפנה אז זה קרב אבוד מראש?
ברוב הפעמים כן.
בנוסף, התוכנה ששולחים התוקפים, שעוטפת את מפתח הפיענוח, היא בד"כ גרועה, והחשש מוירוס המושתל בתוכה הוא חשש הגיוני, ולכן ההמלצה שלנו היא לשלוף את המפתח מתוך התוכנה ולהטמיע אותו בתוכנה שלנו.
ש: מה שהיה מעניין באירוע של Colonial Pipeline הוא שהיו לו השפעות שלא הייתה לחברה שליטה ישירה עליהם - כלומר, התגובה של האנשים שהחלו לאגור דלק. למרות שלא היה ממש מחסור בדלק, אנשים יצרו מחסור בדלק מבהלה. אז יש את כל ההשפעות שאתה לא יכול לצפות מראש שיכולות להפעיל עליך לחץ לשלם את הכופר.
ת: זה מקרה מיוחד מכיוון שמחירי הדלק הם ללא ספק טריגר כלכלי מרכזי, מה שאומר שהם טריגר פוליטי מרכזי. מקרים כאלה הם נדירים מכיוון שאין הרבה חברות שיש להן יכולת להשפיע בצורה כזו על הצרכנים.
בסופו של יום, ככל שהאירוע היה מפחיד, במבט לאחור זו הייתה תקרית חשובה שגרמה לקריאת השכמה בנושא.
https://news.1rj.ru/str/CyberSecurityIL/1082
קבוצת התקיפה Avaddon משביתה את הפעילות ומשחררת מפתחות פיענוח.
אולי זה הלחץ הגובר מצד הממשל בארה"ב ואולי סיבות אחרות אבל קבוצת Avaddon שהייתה אחראית לכמה אירועי כופרה וגבתה סכומים של מאות אלפי דולרים מארגונים משביתה את הפעילות.
בשלב זה האתרים של החברה ברשת האפילה אינם נגישים, הקבוצה שחררה מפתח פיענוח (ליתר דיוק 2,934 מפתחות) בעזרתם חברות שנפגעו יכולות כעת לשחזר את המידע המוצפן.
קבוצת Avaddon הייתה פעילה מחודש יוני 2020, סכום הכופר הממוצע שגבתה עמד על 600,000 דולר.
https://news.1rj.ru/str/CyberSecurityIL/1083
https://www.bleepingcomputer.com/news/security/avaddon-ransomware-shuts-down-and-releases-decryption-keys/
אולי זה הלחץ הגובר מצד הממשל בארה"ב ואולי סיבות אחרות אבל קבוצת Avaddon שהייתה אחראית לכמה אירועי כופרה וגבתה סכומים של מאות אלפי דולרים מארגונים משביתה את הפעילות.
בשלב זה האתרים של החברה ברשת האפילה אינם נגישים, הקבוצה שחררה מפתח פיענוח (ליתר דיוק 2,934 מפתחות) בעזרתם חברות שנפגעו יכולות כעת לשחזר את המידע המוצפן.
קבוצת Avaddon הייתה פעילה מחודש יוני 2020, סכום הכופר הממוצע שגבתה עמד על 600,000 דולר.
https://news.1rj.ru/str/CyberSecurityIL/1083
https://www.bleepingcomputer.com/news/security/avaddon-ransomware-shuts-down-and-releases-decryption-keys/
חברת intuit המספקת שירותים פיננסיים שונים מעדכנת כי תוקפים ניגשו למידע השייך ללקוחות TurboTax.
שירות TurboTax הינו שירות החזרי מס המספקת חברת intuit, בימים האחרונים הוציאה החברה הודעות ללקוחות TurboTax בה היא מדווחת כי גורמים זרים ניגשו למידע אישי של לקוחות באמצעות שם משתמש וסיסמה תקינים (Account takeover)
התוקפים ככל הנראה השיגו את שם המשתמש והסיסמה ממאגרי מידע גנובים והצליחו לגשת למידע של לקוחות הנמצא במערכות TurboTax, בין המידע שנחשף לתוקפים ניתן למצוא תלושי שכר, מספרי ביטוח לאומי, נתונים פיננסים ונתונים אישיים נוספים.
בשלב זה חברת intuit השביתה את החשבונות של המשתמשים שנפגעו עד לאימות המשתמשים מחדש.
זו הפעם הרביעית בה לקוחות של TurboTax נופלים קרבן לגניבת מידע, הפעמים הקודמות התרחשו ב-2014, 2015 וב-2019.
https://news.1rj.ru/str/CyberSecurityIL/1084
https://www.bleepingcomputer.com/news/security/intuit-notifies-customers-of-hacked-turbotax-accounts/
שירות TurboTax הינו שירות החזרי מס המספקת חברת intuit, בימים האחרונים הוציאה החברה הודעות ללקוחות TurboTax בה היא מדווחת כי גורמים זרים ניגשו למידע אישי של לקוחות באמצעות שם משתמש וסיסמה תקינים (Account takeover)
התוקפים ככל הנראה השיגו את שם המשתמש והסיסמה ממאגרי מידע גנובים והצליחו לגשת למידע של לקוחות הנמצא במערכות TurboTax, בין המידע שנחשף לתוקפים ניתן למצוא תלושי שכר, מספרי ביטוח לאומי, נתונים פיננסים ונתונים אישיים נוספים.
בשלב זה חברת intuit השביתה את החשבונות של המשתמשים שנפגעו עד לאימות המשתמשים מחדש.
זו הפעם הרביעית בה לקוחות של TurboTax נופלים קרבן לגניבת מידע, הפעמים הקודמות התרחשו ב-2014, 2015 וב-2019.
https://news.1rj.ru/str/CyberSecurityIL/1084
https://www.bleepingcomputer.com/news/security/intuit-notifies-customers-of-hacked-turbotax-accounts/