ש: באיזה שלב חברות שנתקפו ומקיימות משא ומתן מול התוקפים מחליטות לשלם את דמי הכופר?

ת: קבוצות התקיפה מתחילות עם דרישות כופר גבוהות של 10, 20 ואף 50 מיליון דולר, הם רוצים להרגיש את השטח ולהישמע נדיבים כשהם נותנים הנחה של 50%, בסוף כל חברה צריכה לעשות את החשבון כמה עולה לי השבתה לשעה/ליום ולהחליט מתי תשלום הכופר הופך לאלטרנטיבה הפיננסית הפחות גרועה, ישנן חברות שצריכות כמה ימים רק כדי לדעת מה מצב הגיבויים ומה אפשרויות השחזור שבפניהן, זה גם חלק מהשיקולים של האם לשלם ומתי, חברות שיודעות שאין להם כלום בגיבוי משלמות בד"כ במהירות.

ש: הזכרת את תקינות ואיכות הגיבויים...

ת: נכון, כשיש לך גיבוי איכותי שמוגדר כראוי אתה תהיה בסדר, הבעיה, ברוב החברות, היא שאין גיבוי איכותי או שהגיבוי לא נבדק תקופה ארוכה בבדיקה שגרתית או בתרגיל של מתקפת כופר.

ש: למה אתה מתכוון בגיבויים שלא הוגדרו כראוי?

ת: לדוג' יש לך גיבוי של אלפי GB במרחק של עשרות ק"מ מהאתר הראשי, בזמן אירוע אתה מתחיל לשחזר ומגלה שזה איטי מאד, אתה מוציא מחשבון ומגלה שיקח לך 69 שנים לשחזר את הכל....
איך לא חשבת על זה? כי לא תירגלת את זה..
דוגמא נוספת, יש לך המון מידע בגיבוי אבל האפליקציה שמבצעת את השחזור נמצאת ברשת המקומית והחברה מגלה שהאפליקציה הזו הוצפנה...

בנוסף יש המון לחץ על שחזור מהיר, כולם רוצים שכל המידע ישוחזר תוך כמה שעות אבל האמת שבחברות גדולות שחזור מלא יכול לקחת ימים ואף שבועות, אז כדי לזרז את התהליך חברות מניחות את הגיבוי ברשת המקומית ואז התוקפים מצפינים גם את הגיבוי.

אחת הסיבות שחברות אירופאיות משלמות פחות היא שהן לא מפעילות לחץ על צוותי השחזור, הם מבינות שזה לוקח זמן והן בסדר עם שחזור מקלטות.
בארה"ב קלטות נתפסות כעתיקות ואיטיות אבל חברות רבות היו מוכנות להרוג רק בשביל שיהיו להן קלטות גיבוי בזמן אירוע.

ש: דיברתי עם חבר שעובד בתחום השחזור לאחר מתקפות כופר והוא אמר שההמלצה לאחר מתקפה היא לעבור לרשת אחרת לגמרי כי סביר להניח שהרשת הנגועה תישאר נגועה.

ת: המצב האידאלי הוא ששרת נגוע ימודר לחלוטין ולא ישוחזר לעולם, הדבר הנכון הוא שלחברות יהיה "אזור ירוק" שם הם יוכלו לבנות מחדש את כל השרתים והאפליקציות ואת המידע להביא מהגיבוי, חברות לא משלמות דמי כופר בשביל לשחזר שרתים אלא בשביל לשחזר מידע קריטי.

ש: כמה פעמים נתקלת במקרה בו מפתח הפיענוח שהתקבל לאחר תשלום היה לא יעיל?

לא יעיל? הייתי אומר שבערך ב-5% מהמקרים, לרוב המפתח עובד ומאפשר שחזור.
עם זאת לפעמים יש בעיות עם מפתח הפיענוח, בד"כ כשיהיו בעיות זה בגלל שבתהליך ההצפנה התוקפים פגמו את הקבצים ולכן לא ניתן לשחזר בצורה תקינה.

ש: אם גיליתם שהמידע נדפק בזמן ההצפנה אז זה קרב אבוד מראש?

ברוב הפעמים כן.
בנוסף, התוכנה ששולחים התוקפים, שעוטפת את מפתח הפיענוח, היא בד"כ גרועה, והחשש מוירוס המושתל בתוכה הוא חשש הגיוני, ולכן ההמלצה שלנו היא לשלוף את המפתח מתוך התוכנה ולהטמיע אותו בתוכנה שלנו.

ש: מה שהיה מעניין באירוע של Colonial Pipeline הוא שהיו לו השפעות שלא הייתה לחברה שליטה ישירה עליהם - כלומר, התגובה של האנשים שהחלו לאגור דלק. למרות שלא היה ממש מחסור בדלק, אנשים יצרו מחסור בדלק מבהלה. אז יש את כל ההשפעות שאתה לא יכול לצפות מראש שיכולות להפעיל עליך לחץ לשלם את הכופר.

ת: זה מקרה מיוחד מכיוון שמחירי הדלק הם ללא ספק טריגר כלכלי מרכזי, מה שאומר שהם טריגר פוליטי מרכזי. מקרים כאלה הם נדירים מכיוון שאין הרבה חברות שיש להן יכולת להשפיע בצורה כזו על הצרכנים.

בסופו של יום, ככל שהאירוע היה מפחיד, במבט לאחור זו הייתה תקרית חשובה שגרמה לקריאת השכמה בנושא.

https://news.1rj.ru/str/CyberSecurityIL/1082

קבוצת התקיפה Avaddon משביתה את הפעילות ומשחררת מפתחות פיענוח.

אולי זה הלחץ הגובר מצד הממשל בארה"ב ואולי סיבות אחרות אבל קבוצת Avaddon שהייתה אחראית לכמה אירועי כופרה וגבתה סכומים של מאות אלפי דולרים מארגונים משביתה את הפעילות.

בשלב זה האתרים של החברה ברשת האפילה אינם נגישים, הקבוצה שחררה מפתח פיענוח (ליתר דיוק 2,934 מפתחות) בעזרתם חברות שנפגעו יכולות כעת לשחזר את המידע המוצפן.

קבוצת Avaddon הייתה פעילה מחודש יוני 2020, סכום הכופר הממוצע שגבתה עמד על 600,000 דולר.

https://news.1rj.ru/str/CyberSecurityIL/1083

https://www.bleepingcomputer.com/news/security/avaddon-ransomware-shuts-down-and-releases-decryption-keys/

חברת intuit המספקת שירותים פיננסיים שונים מעדכנת כי תוקפים ניגשו למידע השייך ללקוחות TurboTax.

שירות TurboTax הינו שירות החזרי מס המספקת חברת intuit, בימים האחרונים הוציאה החברה הודעות ללקוחות TurboTax בה היא מדווחת כי גורמים זרים ניגשו למידע אישי של לקוחות באמצעות שם משתמש וסיסמה תקינים (Account takeover)

התוקפים ככל הנראה השיגו את שם המשתמש והסיסמה ממאגרי מידע גנובים והצליחו לגשת למידע של לקוחות הנמצא במערכות TurboTax, בין המידע שנחשף לתוקפים ניתן למצוא תלושי שכר, מספרי ביטוח לאומי, נתונים פיננסים ונתונים אישיים נוספים.
בשלב זה חברת intuit השביתה את החשבונות של המשתמשים שנפגעו עד לאימות המשתמשים מחדש.

זו הפעם הרביעית בה לקוחות של TurboTax נופלים קרבן לגניבת מידע, הפעמים הקודמות התרחשו ב-2014, 2015 וב-2019.

https://news.1rj.ru/str/CyberSecurityIL/1084

https://www.bleepingcomputer.com/news/security/intuit-notifies-customers-of-hacked-turbotax-accounts/

(עדכון) פרטים נוספים על גניבת המידע שבוצעה מהרשת של חברת Electronic Arts.

נציג התוקפים שיתף עם אתר Motherboard את הדרך בה הצליחו להגיע לרשת של EA.

לדברי הנציג (שגם סיפק צילומי מסך כהוכחה) הם רכשו קוקיס לחשבון באפליקציית Slack השייך לעובד של EA, לאחר שהצליחו לבצע כניסה לחשבון Slack של העובד הם פנו לצוות התמיכה של EA ב-Slack וטענו כי איבדו את הסלולרי במסיבה וביקשו מצוות התמיכה טוקן התחברות לרשת שישמש אותם עבור הזדהות רב שלבית (MFA).

ככל הנראה העובד סיפק להם את הטוקן ולאחר שנכנסו לרשת הם יצרו מכונה וירטואלית שעזרה להם להגיע למקומות נוספים ברשת של EA, כשהגיעו לתיקיות קוד המקור של המשחקים הם הורידו את כל הקוד והוציאו אותו מהרשת של EA.

בפרסומים שונים נטען כי התוקפים מעוניינים למכור את המידע תמורת 28 מיליון דולר ומציינים כי המידע מאפשר לנצל חולשות בכל השירותים של EA.

https://news.1rj.ru/str/CyberSecurityIL/1085

נשיא רוסיה, ולדימיר פוטין: רוסיה מוכנה להסגיר האקרים לידי ארה"ב, אבל בתנאי שהממשל בארה"ב יסגיר אף הוא האקרים לידי רוסיה.

את הדברים אמר פוטין בראיון שנערך לקראת הפגישה עם נשיא ביידן בז'נבה שתיערך בעוד מספר ימים.

בפגישה צפוי ביידן לעלות את נושא מתקפות הסייבר שביצעו לאחרונה כנגד חברות בארה"ב ושלפי מידע מודיעיני מקורן ברוסיה.

בראיון נשאל פוטין האם רוסיה אכן תרדוף, תאתר ותסגיר האקרים לידי ארה"ב וענה כי רוסיה תעשה זאת בתנאי שארה"ב תעשה את אותו הדבר.

"נושא אבטחת הסייבר הוא אחד החשובים ביותר בימים אלו, מכיוון שהשבתה של מערכות מחשוב יכולה להוביל לתוצאות ממש קשות", אמר פוטין בסיום. 🧐

https://news.1rj.ru/str/CyberSecurityIL/1086

https://www.reuters.com/world/putin-says-russia-would-accept-conditional-handover-cyber-criminals-us-2021-06-13/

מערך הסייבר הלאומי:

כתובת הסורקת את מרחב הסייבר הישראלי

שלום רב,

מערך הסייבר הלאומי ממליץ לחסום תעבורה מכתובת הסורקת בקביעות את מרחב הסייבר הישראלי בפורטים 443, 1443, 2443, 8443, 10443, ועוד.

מצ"ב קובץ מזהים

https://news.1rj.ru/str/CyberSecurityIL/1087

קבוצת התקיפה REvil טוענת שפרצה לחברת Invenergy העוסקת באנרגיה מתחדשת בארה"ב.

לטענת הקבוצה הם פרצו לרשת החברה והוציאו כ-4TB של "מידע רגיש מאד", נציג REvil מוסר כי מלבד מידע ארגוני נפרץ גם המייל האישי של מנכ"ל החברה "מיכאל פולסקי" (מיליארדר שהיגר מרוסיה לארה"ב לפני כ-50 שנה) ומשם גנבה הקבוצה מידע רגיש ואישי הקשור לגירושין שלו מאשתו.

מחברת Invenergy נמסר כי רשת החברה לא נפגעה ומידע לא הוצפן 🧐

https://news.1rj.ru/str/CyberSecurityIL/1088

https://www.infosecurity-magazine.com/news/revil-claims-responsibility-for

ספק של משרד ההגנה האמריקאי, העוסק בנשק גרעיני, הותקף במתקפת סייבר ע"י קבוצת REvil.

אחרי המתקפות על JBS ו-Invenergy ע"י קבוצת REvil כעת מפורסם כי הקבוצה תקפה גם את חברת Sol Oriens ומאיימת בפרסום המידע.

החברה, שעובדת כספק של משרד ההגנה עוסקת במערכות תעופה וטכנולוגיה אך נראה כי היא מספקת גם שירותים בנושא נשק גרעיני.

לטענת REvil הם הצליחו לגנוב מידע רגיש מרשת החברה והוא כולל מידע עסקי וכן מידע פיננסי ואישי של עובדי החברה.

חברת Sol Oriens מאשרת שאכן חוותה מתקפת סייבר אך לטענתה בשלב זה לא ידוע להם על גניבה של מידע קריטי רגיש.

https://news.1rj.ru/str/CyberSecurityIL/1089

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-us-nuclear-weapons-contractor/

מאגר מידע של חברת הסייבר הישראלית Cognyte (חברת Verint לשעבר) נמצא חשוף אונליין.

את מאגר המידע, שהכיל 5 מיליארד רשומות, חשף בוב דיאצ'נקו, חוקר אבט"מ מחברת Comparitech, כשלטענתו המאגר משמש את חברת Cognyte בכדי לרכז מידע שנגנב במתקפות סייבר שונות ולספק בעזרתו מודיעין ללקוחות.
המאגר הכיל שמות משתמשים, סיסמאות, כתובות מייל ומקור ההדלפה

בוב דיווח לחברת Cognyte על הממצא ואלה איבטחו את השרת כ-3 ימים לאחר הדיווח.

https://news.1rj.ru/str/CyberSecurityIL/1090

https://www.comparitech.com/blog/information-security/breach-database-leak/

קוד המקור של מתקפת הכופרה Paradise פורסם בפורום של האקרים.

את החשיפה והבדיקה של הקוד ביצע תום מלכה מחברת Security Joes הישראלית.

הקוד שפורסם מכיל את קבצי הקונפיגורציה, תהליך ההצפנה ומפתחות פיענוח.

קבוצת Paradise הוקמה בספטמבר 2017 והייתה פעילה מאד עד ינואר 2020.

https://news.1rj.ru/str/CyberSecurityIL/1091

https://www.bleepingcomputer.com/news/security/paradise-ransomware-source-code-released-on-a-hacking-forum/

בית החולים Humber River שבטורנטו הותקף במתקפת כופר בעקבותיה בוטלו טיפולים רפואיים שונים.

בהודעה מפורטת שפירסם בית החולים בנושא נמסר כי:

"ב- 14 ביוני 2021, בשעה 02:00 בלילה בית החולים הותקף במתקפת כופר.

אנשי ה-IT זיהו את המתקפה במיידי וכל מערכות ה- IT הושבתו, כולל מערכת רישומי הבריאות.
הזיהוי המהיר וההשבתה של מערכות המחשוב מנעו מהתוקפים לבצע הצפנה של כל השרתים אך נראה כי חלק מהקבצים אכן הושחתו.

בבית החולים קיימים מעל 5000 מחשבים (800 מהם שרתים) וכל אחד מהם יופעל מחדש באופן ידני לאחר בחינה מדוקדקת. אנו נחזיר מערכות לרשת בצורה מדורגת במהלך 48 השעות הקרובות.

ביטלנו היום מגוון מרפאות והוצבו שלטים ברחבי בית החולים לכך.
הניתוחים ימשיכו כמתוכנן לעת עתה ומחלקת החירום עדיין פתוחה.

חשוב לנו להדגיש כי מידע חסוי לא נגנב מרשת בית החולים." 🧐

(שאפו על ההודעה המסודרת והברורה, כבר התרגלנו שארגונים שחווים מתקפות כופר מדווחים על תקלה טכנית, שיבושים ברשת וכדו' 💪)

https://news.1rj.ru/str/CyberSecurityIL/1092

משטרת אוקראינה מפרסמת כי בשיתוף עם האינטרפול הם עצרו חלק מחברי קבוצת התקיפה Cl0p שעסקה במתקפות כופר.

בסרטון שפירסמה המשטרה (מצ"ב) ניתן לראות כי השוטרים פורצים לאחד הבתים השייכים לחברי הקבוצה ומחרימים מחשבים ניידים, טלפונים וכסף רב.

לפי דיווחי המשטרה נעצרו 6 חשודים, לא ידוע אם הם היו שותפים של הקבוצה או ממש חלק מחברי הקבוצה.

נקודה ישראלית- במהלך הסרטון (01:47) תוכלו לראות כי השוטרים מחברים את המכשירים הסלולריים שנמצאו בבית למערכת Cellebrite הישראלית המסייעת בפריצה והוצאת מידע מסמארטפונים.

https://news.1rj.ru/str/CyberSecurityIL/1093

https://www.vice.com/amp/en/article/bvz7x3/police-bust-major-ransomware-gang-cl0p

"לשלם להאקרים? חד-משמעית לא"

סקר שערכה חברת אבטחת המידע הישראלית סייבריזן בקרב יותר מ-1,200 חברות וארגונים ברחבי העולם מעלה תמונה עגומה. לא רק שמחצית מהגופים הללו עברו מתקפת כופר בשנה האחרונה, רבים מהם התקשו להתאושש מהמכה: 46% מהארגונים ששילמו את הכופר לא קיבלו את המידע בחזרה בשלמותו ו-80% מהארגונים ששילמו דמי כופר הותקפו שנית, לעתים על ידי אותם האקרים.

עוד קצת נתונים על היקף הנזק מהמתקפות:

66% מהארגונים שעברו מתקפת כופר חוו הפסד בהכנסות, 53% מהמשתתפים דיווחו על פגיעה בתדמית החברה והמותג, 32% מהארגונים נאלצו לפטר עובדי הנהלה בכירה או חוו גל התפטרויות בהנהלה. רבע מהארגונים נסגרו לחלוטין.

לטם גיא, סמנכ"ל מוצר בסייבריזן, אומר כי ההמלצה שלו היא "חד-משמעית לא לשלם. במיקרו, תשלום הכופר אינו מבטיח החזרת המסמכים או הדלפת המידע לצד שלישי. במאקרו, כל תשלום כופר מייצר עוד עשר תקיפות כופרה חדשות, פשוט כי הפעילות הפלילית הזו משתלמת לפושעים".

https://news.1rj.ru/str/CyberSecurityIL/1094

https://m.ynet.co.il/articles/59521290

כנס Cybertech בנושא Operational Technology יתקיים ב-30.6.21 במלון הילטון תל אביב.

למעוניינים, ניתן לצפות בתכנית הכנס ולבצע רישום כאן

https://news.1rj.ru/str/CyberSecurityIL/1097

רשת החנויות Eggfree Cake Box מעדכנת את לקוחותיה כי באפריל 2020 (!) האקר פרץ לרשת החברה, התקין נוזקה על האתר וגנב פרטי אשראי של לקוחות.

הרשת, שלה 164 סניפים בבריטניה מפרסמת בטוויטר הודעה (מצ"ב בתגובות) כי בשנת 2020 האתר שלהם נפרץ ע"י האקרים והושתלו בו נוזקות המעבירות לתוקפים את כל פרטי הרוכשים, כולל מספרי כרטיסי אשראי.

החברה גילתה על הפריצה באפריל 2020 וזאת רק לאחר שחברת סליקת האשראי פנתה לחברה.

לא ברור למה בחרו בחברה לחכות שנה+ עד להוצאת ההודעה ללקוחות 🤷🏻‍♂🙈🤦🏻‍♂

https://news.1rj.ru/str/CyberSecurityIL/1098

https://www.bleepingcomputer.com/news/security/eggfree-cake-box-suffer-data-breach-exposing-credit-card-numbers/

בית החולים סנט ג'וזף שבג'ורג'יה ארה"ב הותקף במתקפת כופר שגרמה להשבתה של כל מערך המחשוב.

בהודעה שמסר דובר בית החולים נאמר כי בית החולים ממשיך לספק שירותי רפואה בצורה סדירה למרות המתקפה אך מטופלים במקום מוסרים כי כל המחלקות עברו לעבוד עם עט ונייר, אין גישה לתוצאות MRI והמידע אודות התרופות הנדרשות למטופלים אינו זמין.

בשלב זה לא ידוע מי הקבוצה שעומדת מאחורי המתקפה ומהן דרישות הכופר.

https://news.1rj.ru/str/CyberSecurityIL/1099

https://www.wavy.com/news/national/savannah-hospital-system-experiences-outage-after-ransomware-attack/

נאט''ו: "מתקפת סייבר תיחשב במקרים מסוימים כתקיפה מלחמתית"

על פי פרסום של נאט"ו, לאחר הכנס האחרון שקיימו השבוע, תקיפת סייבר יכולה להיחשב מעתה כתקיפה לכל דבר ועניין, ובמילים אחרות - סיבה למלחמה או לפחות לתגובה מזוינת.

מדובר בשינוי מהותי באופן שבו נתפסת פעילות סייבר. עד כה הן נחשבו למעין כלי נוסף בארגז הכלים של שירותי המודיעין. אך מעתה נוזקות כופר הן נשק צבאי לכל דבר ועניין.

https://news.1rj.ru/str/CyberSecurityIL/1100

https://m.calcalist.co.il/Article.aspx?guid=39100130

רשת הסופרמרקטים Wegmans מעדכנת את לקוחותיה על אירוע דלף מידע.

החברה שלה 106 סניפים ומעסיקה כ-50,000 עובדים פירסמה הודעה לפיה גוף צד ג' עדכן את החברה בדבר שני מאגרי מידע בענן שנמצאו חשופים.

החברה סגרה את הגישה למאגרים והודיעה ללקוחות כי המאגרים הכילו שמות, תאריכי לידה, מספרי טלפון, מספר חבר מועדון, כתובות דוא"ל, שמות משמשים וסיסמאות מוצפנות.

https://news.1rj.ru/str/CyberSecurityIL/1101

https://www.bleepingcomputer.com/news/security/us-supermarket-chain-wegmans-notifies-customers-of-data-breach/

מרפאת הפוריות RBA שבג'ורג'יה נפלה קרבן למתקפת כופר וככל הנראה שילמה את דמי הכופר.

בפרסום שהוציאה המרפאה נמסר כי במהלך חודש אפריל 2021 האקרים הצליחו לגשת לרשת של המרפאה, לגנוב קבצים, ולהצפין שרתים וגיבויים.

התוקפים שהו ברשת כעשרה ימים עד לתהליך ההצפנה במהלכם הגיעו למידע מזוהה רגיש ולגיבויים.

המידע שנגנב והוצפן כולל שמות של לקוחות, כתובות מגורים, מספרי ביטוח לאומי, תוצאות מעבדה ומידע רפואי רגיש נוסף.

המרפאה לא פירטה מה היה סכום הכופר ששילמה אך ציינה כי הם קיבלו חזרה את הגישה למידע וקיבלו הבטחה מהתוקפים כי הם מחקו את המידע והם אינם מחזיקים עוד במידע שנגנב. 🙈🙈

https://news.1rj.ru/str/CyberSecurityIL/1102

https://www.bleepingcomputer.com/news/security/fertility-clinic-discloses-data-breach-exposing-patient-info/

כנס CyberWeek 2021 יתקיים השנה בין התאריכים 19-22.7 באוניברסיטת תל אביב ויאפשר השתתפות פיזית ווירטואלית.

בכנס ישתתפו עשרות דוברים מהארץ ומהעולם וירצו בנושאים שונים מתחום הסייבר.

מוזמנים להתרשם ולהירשם כאן.

https://news.1rj.ru/str/CyberSecurityIL/1103