האם לדעתכם אנו צפויים לראות בקרוב שינוי בכמות ובאופי של מתקפות הכופר?

בתקופה האחרונה, ובעיקר לאחר המתקפות על Colonial Pipeline ו-JBS נראה שממשלת ארה"ב החליטה ללחוץ על דוושת הגז בכל הקשור למתקפות כופר.

נסכם בקצרה את הצעדים המרכזיים שננקטו ע"י הממשל בארה"ב:

- אזהרה מפני סנקציות כנגד מי שישלם דמי כופר

- צו חירום נשיאותי להעלאת רמת הגנת הסייבר במדינה.

- תיעדוף של מתקפות כופר כפי שמתעדפים מתקפות טרור, והקמת צוות ייעוד למתקפות כופר.

- פעולה חריגה בה ה-FBI משיב חזרה 2.3 מיליון דולר ישירות מהארנק של התוקפים.

האם לדעתכם המשך הפעילות האינטנסיבית של ארה"ב בנושא תשפיע על היקף ואופי מתקפות הכופר בעולם?

מוזמנים להגיב כתגובה לפוסט או בסקר.

האקרים פרצו לחברת Electronic Arts וגנבו קוד מקור של משחקים.

לפי הדיווח, האקרים הצליחו לחדור לרשת של EA וגנבו את קוד המקור של מספר משחקים כגון FIFA 21 וכדו'.

המידע שנגנב, בנפח כולל של 780GB מוצע למכירה בפורומים שונים.

חברת EA מאשרת כי היא אכן סובלת מגישה של גורמים בלתי מורשים וגניבת מידע, לטענת דובר החברה מידע אישי של משתמשים לא נחשף.

https://news.1rj.ru/str/CyberSecurityIL/1076

https://www.vice.com/en/article/wx5xpx/hackers-steal-data-electronic-arts-ea-fifa-source-code

חברת Edward Don, העוסקת בהפצה של מוצרי מזון וציוד מטבחים, נפלה קרבן למתקפת כופר.

החברה, שמעסיקה 1,100 עובדים ומשרתת 56,000 לקוחות ברחבי העולם השביתה חלק מרשת המחשוב ואינה יכולה לקבל הזמנות חדשות.

בשלב זה לא ידוע מי קבוצת התקיפה ומה גובה דמי הכופר (ההשערה היא שקבוצת Egregor היא זו שאחראית למתקפה).

https://news.1rj.ru/str/CyberSecurityIL/1078

https://www.bleepingcomputer.com/news/security/foodservice-supplier-edward-don-hit-by-a-ransomware-attack/

מערך הסייבר הלאומי:

פעילות של כופרה בשם CUBA בישראל

שלום רב,

ב-24 השעות האחרונות דווח למערך הסייבר הלאומי על מספר אירועי כופרה, בארגונים שונים.

המכנה המשותף לכל האירועים הוא שימוש בכופרה בשם Cuba.

להלן מספר קישורים לדוחות שפורסמו על תקיפות קודמות באמצעות כופרה זו. דוחות אלו כוללים מזהים שונים וחוקי YARA.

https://shared-public-reports.s3-eu-west-1.amazonaws.com/Cuba+Ransomware+Group+-+on+a+roll.pdf

https://www.mcafee.com/enterprise/en-us/assets/reports/rp-cuba-ransomware.pdf

https://digital.nhs.uk/cyber-alerts/2021/cc-3855#indicators-of-compromise

https://blogs.blackberry.com/en/2021/04/threat-thursday-blackberry-protect-vs-cuba-ransomware

דוחות אלו פורסמו בחודשים האחרונים. ייתכן כי באירועים הנוכחיים מאפייני הכופרה יהיו שונים.

https://news.1rj.ru/str/CyberSecurityIL/1079

מתקפות סייבר על מקדונלדס ופולקסווגן, פרטי לקוחות נחשפו.

ענקית המזון המהיר דיווחה כי האקרים השיגו גישה לפרטי מידע של לקוחות בדרום קוריאה ובטייוואן.

גם יצרנית הרכב הגרמנית פולקסווגן דיווחה כי פריצה למחשבים פגעה ביותר מ-3.3 מיליון לקוחות בצפון אמריקה. מדובר בעיקר בלקוחות נוכחיים או פוטנציאליים של מותג אאודי.

לפי הודעת החברה, צד שלישי לא מאושר השיג מידע אישי מוגבל על הלקוחות וקונים פוטנציאליים מספק שבו משתמשים מותגי אאודי וחלק מסוכני הרכב בארה"ב ובקנדה עבור שירותי מכירות דיגיטליות ושיווק. המידע שנחשף נוגע למכירות שבוצעו בשנים 2014-2019.
לפי ההודעה שמסרה החברה לרגולטורים, מדובר בעיקר במספרי טלפון ובכתובות מייל, אך בחלק מהמקרים המידע כלל גם את סוג הרכב שרכשו הלקוחות או התעניינו בו. לפי ההערכות, המידע הושג בין אוגוסט 2019 ומאי 2021, אז התגלתה התקרית.

https://news.1rj.ru/str/CyberSecurityIL/1080

https://m.calcalist.co.il/Article.aspx?guid=39097320

ש: באיזה שלב חברות שנתקפו ומקיימות משא ומתן מול התוקפים מחליטות לשלם את דמי הכופר?

ת: קבוצות התקיפה מתחילות עם דרישות כופר גבוהות של 10, 20 ואף 50 מיליון דולר, הם רוצים להרגיש את השטח ולהישמע נדיבים כשהם נותנים הנחה של 50%, בסוף כל חברה צריכה לעשות את החשבון כמה עולה לי השבתה לשעה/ליום ולהחליט מתי תשלום הכופר הופך לאלטרנטיבה הפיננסית הפחות גרועה, ישנן חברות שצריכות כמה ימים רק כדי לדעת מה מצב הגיבויים ומה אפשרויות השחזור שבפניהן, זה גם חלק מהשיקולים של האם לשלם ומתי, חברות שיודעות שאין להם כלום בגיבוי משלמות בד"כ במהירות.

ש: הזכרת את תקינות ואיכות הגיבויים...

ת: נכון, כשיש לך גיבוי איכותי שמוגדר כראוי אתה תהיה בסדר, הבעיה, ברוב החברות, היא שאין גיבוי איכותי או שהגיבוי לא נבדק תקופה ארוכה בבדיקה שגרתית או בתרגיל של מתקפת כופר.

ש: למה אתה מתכוון בגיבויים שלא הוגדרו כראוי?

ת: לדוג' יש לך גיבוי של אלפי GB במרחק של עשרות ק"מ מהאתר הראשי, בזמן אירוע אתה מתחיל לשחזר ומגלה שזה איטי מאד, אתה מוציא מחשבון ומגלה שיקח לך 69 שנים לשחזר את הכל....
איך לא חשבת על זה? כי לא תירגלת את זה..
דוגמא נוספת, יש לך המון מידע בגיבוי אבל האפליקציה שמבצעת את השחזור נמצאת ברשת המקומית והחברה מגלה שהאפליקציה הזו הוצפנה...

בנוסף יש המון לחץ על שחזור מהיר, כולם רוצים שכל המידע ישוחזר תוך כמה שעות אבל האמת שבחברות גדולות שחזור מלא יכול לקחת ימים ואף שבועות, אז כדי לזרז את התהליך חברות מניחות את הגיבוי ברשת המקומית ואז התוקפים מצפינים גם את הגיבוי.

אחת הסיבות שחברות אירופאיות משלמות פחות היא שהן לא מפעילות לחץ על צוותי השחזור, הם מבינות שזה לוקח זמן והן בסדר עם שחזור מקלטות.
בארה"ב קלטות נתפסות כעתיקות ואיטיות אבל חברות רבות היו מוכנות להרוג רק בשביל שיהיו להן קלטות גיבוי בזמן אירוע.

ש: דיברתי עם חבר שעובד בתחום השחזור לאחר מתקפות כופר והוא אמר שההמלצה לאחר מתקפה היא לעבור לרשת אחרת לגמרי כי סביר להניח שהרשת הנגועה תישאר נגועה.

ת: המצב האידאלי הוא ששרת נגוע ימודר לחלוטין ולא ישוחזר לעולם, הדבר הנכון הוא שלחברות יהיה "אזור ירוק" שם הם יוכלו לבנות מחדש את כל השרתים והאפליקציות ואת המידע להביא מהגיבוי, חברות לא משלמות דמי כופר בשביל לשחזר שרתים אלא בשביל לשחזר מידע קריטי.

ש: כמה פעמים נתקלת במקרה בו מפתח הפיענוח שהתקבל לאחר תשלום היה לא יעיל?

לא יעיל? הייתי אומר שבערך ב-5% מהמקרים, לרוב המפתח עובד ומאפשר שחזור.
עם זאת לפעמים יש בעיות עם מפתח הפיענוח, בד"כ כשיהיו בעיות זה בגלל שבתהליך ההצפנה התוקפים פגמו את הקבצים ולכן לא ניתן לשחזר בצורה תקינה.

ש: אם גיליתם שהמידע נדפק בזמן ההצפנה אז זה קרב אבוד מראש?

ברוב הפעמים כן.
בנוסף, התוכנה ששולחים התוקפים, שעוטפת את מפתח הפיענוח, היא בד"כ גרועה, והחשש מוירוס המושתל בתוכה הוא חשש הגיוני, ולכן ההמלצה שלנו היא לשלוף את המפתח מתוך התוכנה ולהטמיע אותו בתוכנה שלנו.

ש: מה שהיה מעניין באירוע של Colonial Pipeline הוא שהיו לו השפעות שלא הייתה לחברה שליטה ישירה עליהם - כלומר, התגובה של האנשים שהחלו לאגור דלק. למרות שלא היה ממש מחסור בדלק, אנשים יצרו מחסור בדלק מבהלה. אז יש את כל ההשפעות שאתה לא יכול לצפות מראש שיכולות להפעיל עליך לחץ לשלם את הכופר.

ת: זה מקרה מיוחד מכיוון שמחירי הדלק הם ללא ספק טריגר כלכלי מרכזי, מה שאומר שהם טריגר פוליטי מרכזי. מקרים כאלה הם נדירים מכיוון שאין הרבה חברות שיש להן יכולת להשפיע בצורה כזו על הצרכנים.

בסופו של יום, ככל שהאירוע היה מפחיד, במבט לאחור זו הייתה תקרית חשובה שגרמה לקריאת השכמה בנושא.

https://news.1rj.ru/str/CyberSecurityIL/1082

קבוצת התקיפה Avaddon משביתה את הפעילות ומשחררת מפתחות פיענוח.

אולי זה הלחץ הגובר מצד הממשל בארה"ב ואולי סיבות אחרות אבל קבוצת Avaddon שהייתה אחראית לכמה אירועי כופרה וגבתה סכומים של מאות אלפי דולרים מארגונים משביתה את הפעילות.

בשלב זה האתרים של החברה ברשת האפילה אינם נגישים, הקבוצה שחררה מפתח פיענוח (ליתר דיוק 2,934 מפתחות) בעזרתם חברות שנפגעו יכולות כעת לשחזר את המידע המוצפן.

קבוצת Avaddon הייתה פעילה מחודש יוני 2020, סכום הכופר הממוצע שגבתה עמד על 600,000 דולר.

https://news.1rj.ru/str/CyberSecurityIL/1083

https://www.bleepingcomputer.com/news/security/avaddon-ransomware-shuts-down-and-releases-decryption-keys/

חברת intuit המספקת שירותים פיננסיים שונים מעדכנת כי תוקפים ניגשו למידע השייך ללקוחות TurboTax.

שירות TurboTax הינו שירות החזרי מס המספקת חברת intuit, בימים האחרונים הוציאה החברה הודעות ללקוחות TurboTax בה היא מדווחת כי גורמים זרים ניגשו למידע אישי של לקוחות באמצעות שם משתמש וסיסמה תקינים (Account takeover)

התוקפים ככל הנראה השיגו את שם המשתמש והסיסמה ממאגרי מידע גנובים והצליחו לגשת למידע של לקוחות הנמצא במערכות TurboTax, בין המידע שנחשף לתוקפים ניתן למצוא תלושי שכר, מספרי ביטוח לאומי, נתונים פיננסים ונתונים אישיים נוספים.
בשלב זה חברת intuit השביתה את החשבונות של המשתמשים שנפגעו עד לאימות המשתמשים מחדש.

זו הפעם הרביעית בה לקוחות של TurboTax נופלים קרבן לגניבת מידע, הפעמים הקודמות התרחשו ב-2014, 2015 וב-2019.

https://news.1rj.ru/str/CyberSecurityIL/1084

https://www.bleepingcomputer.com/news/security/intuit-notifies-customers-of-hacked-turbotax-accounts/

(עדכון) פרטים נוספים על גניבת המידע שבוצעה מהרשת של חברת Electronic Arts.

נציג התוקפים שיתף עם אתר Motherboard את הדרך בה הצליחו להגיע לרשת של EA.

לדברי הנציג (שגם סיפק צילומי מסך כהוכחה) הם רכשו קוקיס לחשבון באפליקציית Slack השייך לעובד של EA, לאחר שהצליחו לבצע כניסה לחשבון Slack של העובד הם פנו לצוות התמיכה של EA ב-Slack וטענו כי איבדו את הסלולרי במסיבה וביקשו מצוות התמיכה טוקן התחברות לרשת שישמש אותם עבור הזדהות רב שלבית (MFA).

ככל הנראה העובד סיפק להם את הטוקן ולאחר שנכנסו לרשת הם יצרו מכונה וירטואלית שעזרה להם להגיע למקומות נוספים ברשת של EA, כשהגיעו לתיקיות קוד המקור של המשחקים הם הורידו את כל הקוד והוציאו אותו מהרשת של EA.

בפרסומים שונים נטען כי התוקפים מעוניינים למכור את המידע תמורת 28 מיליון דולר ומציינים כי המידע מאפשר לנצל חולשות בכל השירותים של EA.

https://news.1rj.ru/str/CyberSecurityIL/1085

נשיא רוסיה, ולדימיר פוטין: רוסיה מוכנה להסגיר האקרים לידי ארה"ב, אבל בתנאי שהממשל בארה"ב יסגיר אף הוא האקרים לידי רוסיה.

את הדברים אמר פוטין בראיון שנערך לקראת הפגישה עם נשיא ביידן בז'נבה שתיערך בעוד מספר ימים.

בפגישה צפוי ביידן לעלות את נושא מתקפות הסייבר שביצעו לאחרונה כנגד חברות בארה"ב ושלפי מידע מודיעיני מקורן ברוסיה.

בראיון נשאל פוטין האם רוסיה אכן תרדוף, תאתר ותסגיר האקרים לידי ארה"ב וענה כי רוסיה תעשה זאת בתנאי שארה"ב תעשה את אותו הדבר.

"נושא אבטחת הסייבר הוא אחד החשובים ביותר בימים אלו, מכיוון שהשבתה של מערכות מחשוב יכולה להוביל לתוצאות ממש קשות", אמר פוטין בסיום. 🧐

https://news.1rj.ru/str/CyberSecurityIL/1086

https://www.reuters.com/world/putin-says-russia-would-accept-conditional-handover-cyber-criminals-us-2021-06-13/

מערך הסייבר הלאומי:

כתובת הסורקת את מרחב הסייבר הישראלי

שלום רב,

מערך הסייבר הלאומי ממליץ לחסום תעבורה מכתובת הסורקת בקביעות את מרחב הסייבר הישראלי בפורטים 443, 1443, 2443, 8443, 10443, ועוד.

מצ"ב קובץ מזהים

https://news.1rj.ru/str/CyberSecurityIL/1087

קבוצת התקיפה REvil טוענת שפרצה לחברת Invenergy העוסקת באנרגיה מתחדשת בארה"ב.

לטענת הקבוצה הם פרצו לרשת החברה והוציאו כ-4TB של "מידע רגיש מאד", נציג REvil מוסר כי מלבד מידע ארגוני נפרץ גם המייל האישי של מנכ"ל החברה "מיכאל פולסקי" (מיליארדר שהיגר מרוסיה לארה"ב לפני כ-50 שנה) ומשם גנבה הקבוצה מידע רגיש ואישי הקשור לגירושין שלו מאשתו.

מחברת Invenergy נמסר כי רשת החברה לא נפגעה ומידע לא הוצפן 🧐

https://news.1rj.ru/str/CyberSecurityIL/1088

https://www.infosecurity-magazine.com/news/revil-claims-responsibility-for

ספק של משרד ההגנה האמריקאי, העוסק בנשק גרעיני, הותקף במתקפת סייבר ע"י קבוצת REvil.

אחרי המתקפות על JBS ו-Invenergy ע"י קבוצת REvil כעת מפורסם כי הקבוצה תקפה גם את חברת Sol Oriens ומאיימת בפרסום המידע.

החברה, שעובדת כספק של משרד ההגנה עוסקת במערכות תעופה וטכנולוגיה אך נראה כי היא מספקת גם שירותים בנושא נשק גרעיני.

לטענת REvil הם הצליחו לגנוב מידע רגיש מרשת החברה והוא כולל מידע עסקי וכן מידע פיננסי ואישי של עובדי החברה.

חברת Sol Oriens מאשרת שאכן חוותה מתקפת סייבר אך לטענתה בשלב זה לא ידוע להם על גניבה של מידע קריטי רגיש.

https://news.1rj.ru/str/CyberSecurityIL/1089

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-us-nuclear-weapons-contractor/

מאגר מידע של חברת הסייבר הישראלית Cognyte (חברת Verint לשעבר) נמצא חשוף אונליין.

את מאגר המידע, שהכיל 5 מיליארד רשומות, חשף בוב דיאצ'נקו, חוקר אבט"מ מחברת Comparitech, כשלטענתו המאגר משמש את חברת Cognyte בכדי לרכז מידע שנגנב במתקפות סייבר שונות ולספק בעזרתו מודיעין ללקוחות.
המאגר הכיל שמות משתמשים, סיסמאות, כתובות מייל ומקור ההדלפה

בוב דיווח לחברת Cognyte על הממצא ואלה איבטחו את השרת כ-3 ימים לאחר הדיווח.

https://news.1rj.ru/str/CyberSecurityIL/1090

https://www.comparitech.com/blog/information-security/breach-database-leak/

קוד המקור של מתקפת הכופרה Paradise פורסם בפורום של האקרים.

את החשיפה והבדיקה של הקוד ביצע תום מלכה מחברת Security Joes הישראלית.

הקוד שפורסם מכיל את קבצי הקונפיגורציה, תהליך ההצפנה ומפתחות פיענוח.

קבוצת Paradise הוקמה בספטמבר 2017 והייתה פעילה מאד עד ינואר 2020.

https://news.1rj.ru/str/CyberSecurityIL/1091

https://www.bleepingcomputer.com/news/security/paradise-ransomware-source-code-released-on-a-hacking-forum/

בית החולים Humber River שבטורנטו הותקף במתקפת כופר בעקבותיה בוטלו טיפולים רפואיים שונים.

בהודעה מפורטת שפירסם בית החולים בנושא נמסר כי:

"ב- 14 ביוני 2021, בשעה 02:00 בלילה בית החולים הותקף במתקפת כופר.

אנשי ה-IT זיהו את המתקפה במיידי וכל מערכות ה- IT הושבתו, כולל מערכת רישומי הבריאות.
הזיהוי המהיר וההשבתה של מערכות המחשוב מנעו מהתוקפים לבצע הצפנה של כל השרתים אך נראה כי חלק מהקבצים אכן הושחתו.

בבית החולים קיימים מעל 5000 מחשבים (800 מהם שרתים) וכל אחד מהם יופעל מחדש באופן ידני לאחר בחינה מדוקדקת. אנו נחזיר מערכות לרשת בצורה מדורגת במהלך 48 השעות הקרובות.

ביטלנו היום מגוון מרפאות והוצבו שלטים ברחבי בית החולים לכך.
הניתוחים ימשיכו כמתוכנן לעת עתה ומחלקת החירום עדיין פתוחה.

חשוב לנו להדגיש כי מידע חסוי לא נגנב מרשת בית החולים." 🧐

(שאפו על ההודעה המסודרת והברורה, כבר התרגלנו שארגונים שחווים מתקפות כופר מדווחים על תקלה טכנית, שיבושים ברשת וכדו' 💪)

https://news.1rj.ru/str/CyberSecurityIL/1092

משטרת אוקראינה מפרסמת כי בשיתוף עם האינטרפול הם עצרו חלק מחברי קבוצת התקיפה Cl0p שעסקה במתקפות כופר.

בסרטון שפירסמה המשטרה (מצ"ב) ניתן לראות כי השוטרים פורצים לאחד הבתים השייכים לחברי הקבוצה ומחרימים מחשבים ניידים, טלפונים וכסף רב.

לפי דיווחי המשטרה נעצרו 6 חשודים, לא ידוע אם הם היו שותפים של הקבוצה או ממש חלק מחברי הקבוצה.

נקודה ישראלית- במהלך הסרטון (01:47) תוכלו לראות כי השוטרים מחברים את המכשירים הסלולריים שנמצאו בבית למערכת Cellebrite הישראלית המסייעת בפריצה והוצאת מידע מסמארטפונים.

https://news.1rj.ru/str/CyberSecurityIL/1093

https://www.vice.com/amp/en/article/bvz7x3/police-bust-major-ransomware-gang-cl0p

"לשלם להאקרים? חד-משמעית לא"

סקר שערכה חברת אבטחת המידע הישראלית סייבריזן בקרב יותר מ-1,200 חברות וארגונים ברחבי העולם מעלה תמונה עגומה. לא רק שמחצית מהגופים הללו עברו מתקפת כופר בשנה האחרונה, רבים מהם התקשו להתאושש מהמכה: 46% מהארגונים ששילמו את הכופר לא קיבלו את המידע בחזרה בשלמותו ו-80% מהארגונים ששילמו דמי כופר הותקפו שנית, לעתים על ידי אותם האקרים.

עוד קצת נתונים על היקף הנזק מהמתקפות:

66% מהארגונים שעברו מתקפת כופר חוו הפסד בהכנסות, 53% מהמשתתפים דיווחו על פגיעה בתדמית החברה והמותג, 32% מהארגונים נאלצו לפטר עובדי הנהלה בכירה או חוו גל התפטרויות בהנהלה. רבע מהארגונים נסגרו לחלוטין.

לטם גיא, סמנכ"ל מוצר בסייבריזן, אומר כי ההמלצה שלו היא "חד-משמעית לא לשלם. במיקרו, תשלום הכופר אינו מבטיח החזרת המסמכים או הדלפת המידע לצד שלישי. במאקרו, כל תשלום כופר מייצר עוד עשר תקיפות כופרה חדשות, פשוט כי הפעילות הפלילית הזו משתלמת לפושעים".

https://news.1rj.ru/str/CyberSecurityIL/1094

https://m.ynet.co.il/articles/59521290