רשת חנויות הבגדים French Connection סובלת ממתקפת כופר שבוצעה ע"י קבוצת REvil.
החברה הודיעה כי התוקפים הגיעו לשרתים ברשת הפנימית של החברה אך לא למידע השייך ללקוחות.
בשביל להוכיח שהצליחו לגנוב מידע קבוצת REvil שיתפה עם אתר The Register צילומי דרכונים ותעודות זהות של עובדי החברה.
בשלב זה החברה השביתה את הרשת הפנימית אך ממשיכה לספק שירות כמעט מלא ללקוחות מאחר והרשת החיצונית לא נפגעה.
https://news.1rj.ru/str/CyberSecurityIL/1116
https://www.theregister.com/2021/06/24/french_connection_says_fcuk_as/
החברה הודיעה כי התוקפים הגיעו לשרתים ברשת הפנימית של החברה אך לא למידע השייך ללקוחות.
בשביל להוכיח שהצליחו לגנוב מידע קבוצת REvil שיתפה עם אתר The Register צילומי דרכונים ותעודות זהות של עובדי החברה.
בשלב זה החברה השביתה את הרשת הפנימית אך ממשיכה לספק שירות כמעט מלא ללקוחות מאחר והרשת החיצונית לא נפגעה.
https://news.1rj.ru/str/CyberSecurityIL/1116
https://www.theregister.com/2021/06/24/french_connection_says_fcuk_as/
חברת Western Digital מפרסמת כי תוקפים מנצלים חולשה הקיימת במכשירי My Book Live ומוחקים את כל התוכן של המכשיר.
בשל החולשה WD מבקשת בשלב זה מכל מי שברשותו מכשיר מסוג זה לנתק את המכשיר מרשת האינטרנט.
החברה פירסמה הודעה רשמית בפורום של החברה, שם כתבה כי מכשירים אלו קיבלו עדכון אחרון ב-2015, ועדכון נוסף לסגירת החולשה יפורסם בהקדם.
https://news.1rj.ru/str/CyberSecurityIL/1117
https://www.cnet.com/google-amp/news/malware-blamed-for-remotely-wiping-wd-my-book-live-users-disks/
בשל החולשה WD מבקשת בשלב זה מכל מי שברשותו מכשיר מסוג זה לנתק את המכשיר מרשת האינטרנט.
החברה פירסמה הודעה רשמית בפורום של החברה, שם כתבה כי מכשירים אלו קיבלו עדכון אחרון ב-2015, ועדכון נוסף לסגירת החולשה יפורסם בהקדם.
https://news.1rj.ru/str/CyberSecurityIL/1117
https://www.cnet.com/google-amp/news/malware-blamed-for-remotely-wiping-wd-my-book-live-users-disks/
חברת מרצדס מדווחת על דלף מידע של ה-1.6 מיליון רשומות של לקוחות.
בהודעה שפירסמה החברה היא מדווחת כי מידע של לקוחות החברה שהיה מאוחסן בשרת בענן לא היה מוגן ונשאר חשוף.
בין המידע שנחשף נמצאים מספרי ביטוח לאומי, מספרי כרטיסי אשראי, מספרי רישיונות נהיגה, תאריכי לידה ועוד.
החברה דיווח לרשויות המתאימות וכן ללקוחות שנפגעו.
https://news.1rj.ru/str/CyberSecurityIL/1118
https://www.bleepingcomputer.com/news/security/mercedes-benz-data-breach-exposes-ssns-credit-card-numbers/
בהודעה שפירסמה החברה היא מדווחת כי מידע של לקוחות החברה שהיה מאוחסן בשרת בענן לא היה מוגן ונשאר חשוף.
בין המידע שנחשף נמצאים מספרי ביטוח לאומי, מספרי כרטיסי אשראי, מספרי רישיונות נהיגה, תאריכי לידה ועוד.
החברה דיווח לרשויות המתאימות וכן ללקוחות שנפגעו.
https://news.1rj.ru/str/CyberSecurityIL/1118
https://www.bleepingcomputer.com/news/security/mercedes-benz-data-breach-exposes-ssns-credit-card-numbers/
(עדכון) זוכרים את המתקפה על SEPA אי שם בינואר השנה?
בהודעה שפורסמה השבוע החברה מעדכנת כי הם עדיין עובדים על שחזור מלא של המידע, וייתכן כי יקח להם מספר שנים כדי להשתקם לחלוטין.
למי שלא זוכר, הסוכנות להגנת הסביבה בסקוטלנד, הותקפה ע"י קבוצת Conti, סירבה לשלם את דמי הכופר וכל המידע שנגנב הודלף.
בראיון ל-BBC מוסר מנכ"ל החברה כי הם עדיין לא שיחזרו את המידע באופן מלא וכי הם בונים כעת את כל מערך ה-IT מאפס, תהליך שיכול להימשך מספר שנים.
בינתיים SEPA הוציאה סכום משוער של 1.1 מיליון דולר על התאוששות אך מנכ"ל החברה עדיין אומר כי לא לשלם לתוקפים היה הצעד הנכון:
"אם היינו משלמים את דמי הכופר היינו מעלים את רמת הסיכון עבור כולם"
https://news.1rj.ru/str/CyberSecurityIL/1119
https://www.bbc.com/news/uk-scotland-57578762
בהודעה שפורסמה השבוע החברה מעדכנת כי הם עדיין עובדים על שחזור מלא של המידע, וייתכן כי יקח להם מספר שנים כדי להשתקם לחלוטין.
למי שלא זוכר, הסוכנות להגנת הסביבה בסקוטלנד, הותקפה ע"י קבוצת Conti, סירבה לשלם את דמי הכופר וכל המידע שנגנב הודלף.
בראיון ל-BBC מוסר מנכ"ל החברה כי הם עדיין לא שיחזרו את המידע באופן מלא וכי הם בונים כעת את כל מערך ה-IT מאפס, תהליך שיכול להימשך מספר שנים.
בינתיים SEPA הוציאה סכום משוער של 1.1 מיליון דולר על התאוששות אך מנכ"ל החברה עדיין אומר כי לא לשלם לתוקפים היה הצעד הנכון:
"אם היינו משלמים את דמי הכופר היינו מעלים את רמת הסיכון עבור כולם"
https://news.1rj.ru/str/CyberSecurityIL/1119
https://www.bbc.com/news/uk-scotland-57578762
חברת ALTUS, המספקת שירותי תוכנה בתחום הנדל"ן, מדווחת על מתקפת כופר, קבוצת תקיפה חדשה בשם HIVE אחראית למתקפה.
החברה מוסרת כי בשל המתקפה חלק משירותי החברה מושבתים, במקביל קבוצת HIVE פירסמה באתר ההדלפות שלה חלק מהמידע של החברה.
בשלב זה לא ידוע מה סכום הכופר.
חברת ALTUS מעסיקה כ-2,600 עובדים ובעלת מחזור הכנסות שנתי של מאות מיליוני דולרים.
https://news.1rj.ru/str/CyberSecurityIL/1120
https://securityaffairs.co/wordpress/119418/cyber-crime/new-ransomware-group-hive-leaks-altus-group-sample-files.html
החברה מוסרת כי בשל המתקפה חלק משירותי החברה מושבתים, במקביל קבוצת HIVE פירסמה באתר ההדלפות שלה חלק מהמידע של החברה.
בשלב זה לא ידוע מה סכום הכופר.
חברת ALTUS מעסיקה כ-2,600 עובדים ובעלת מחזור הכנסות שנתי של מאות מיליוני דולרים.
https://news.1rj.ru/str/CyberSecurityIL/1120
https://securityaffairs.co/wordpress/119418/cyber-crime/new-ransomware-group-hive-leaks-altus-group-sample-files.html
ALERT-CERT-IL-W-1348.csv
12.5 KB
מערך הסייבר הלאומי:
פוגענים עם חתימה דיגיטלית של מיקרוסופט
שלום רב,
לאחרונה פרסמה חברת מיקרוסופט מידע לגבי תקיפה במסגרתה הועברו בהצלחה קבצי Drivers לחתימה במסגרת תכנית Windows Hardware Compatibility Program.
הפוגען מתקשר עם כתובות c&c.
לדברי החברה, התוקף מתרכז בתקיפת מגזר ה-Gaming בסין.
להתרעה זו מצורף קובץ מזהים. מומלץ לנטרם בכל המערכות הארגוניות הרלוונטיות.
בכל מקרה של הופעת המזהים במערכותיכם, מומלץ לפנות למערך הסייבר הלאומי.
מקורות:
https://msrc-blog.microsoft.com/2021/06/25/investigating-and-mitigating-malicious-drivers/
https://news.1rj.ru/str/CyberSecurityIL/1121
פוגענים עם חתימה דיגיטלית של מיקרוסופט
שלום רב,
לאחרונה פרסמה חברת מיקרוסופט מידע לגבי תקיפה במסגרתה הועברו בהצלחה קבצי Drivers לחתימה במסגרת תכנית Windows Hardware Compatibility Program.
הפוגען מתקשר עם כתובות c&c.
לדברי החברה, התוקף מתרכז בתקיפת מגזר ה-Gaming בסין.
להתרעה זו מצורף קובץ מזהים. מומלץ לנטרם בכל המערכות הארגוניות הרלוונטיות.
בכל מקרה של הופעת המזהים במערכותיכם, מומלץ לפנות למערך הסייבר הלאומי.
מקורות:
https://msrc-blog.microsoft.com/2021/06/25/investigating-and-mitigating-malicious-drivers/
https://news.1rj.ru/str/CyberSecurityIL/1121
מאגר נתונים רחב ובו פרטים אישיים של מאות אלפי סטודנטים לשעבר דלף לרשת.
הפרשה נחשפה תחילה בקבוצות טלגרם מלזיות, שם הופץ כי מסדי הנתונים של מוסדות אקדמיים בישראל נפרצו.
חקירה של חוקרי הסייבר מיי ברוקס-קמפלר ותום מלכה מקהילת Think Safe Cyber העלתה שמדובר ברשומות של כ-280 אלף סטודנטים מ-2014 ועד היום.
בין הפרטים האישיים שמופיעים במאגר: מספרי טלפון, כתובות אישיות, כתובות מייל, לחלקם סיסמאות - והכול עם קישור לשם המלא של הסטודנטים והסטודנטיות.
מהחקירה עולה הסברה שמקור הדליפה הוא בחברת AcadaME, רשת גיוס סטודנטים ובוגרים שפופולרית מאוד בקרב סטודנטים.
החברה עובדת מול מרבית האוניברסיטאות (אוניברסיטת ת"א, האוניברסיטה הפתוחה, אוניברסיטת בן גוריון, אוניברסיטת בר-אילן, הטכניון, ואוניברסיטת חיפה) ומכללות רבות (תל-חי, ספיר, אשקלון ועוד), ומקשרת בין הסטודנטים והבוגרים לחברות גדולות במשק במציאת משרות וראיונות עבודה.
בחברת AcadaME בחרו שלא להגיב.
https://news.1rj.ru/str/CyberSecurityIL/1122
https://mobile.mako.co.il/news-digital/2021_q2/Article-d7cdfae38fc4a71026.htm
הפרשה נחשפה תחילה בקבוצות טלגרם מלזיות, שם הופץ כי מסדי הנתונים של מוסדות אקדמיים בישראל נפרצו.
חקירה של חוקרי הסייבר מיי ברוקס-קמפלר ותום מלכה מקהילת Think Safe Cyber העלתה שמדובר ברשומות של כ-280 אלף סטודנטים מ-2014 ועד היום.
בין הפרטים האישיים שמופיעים במאגר: מספרי טלפון, כתובות אישיות, כתובות מייל, לחלקם סיסמאות - והכול עם קישור לשם המלא של הסטודנטים והסטודנטיות.
מהחקירה עולה הסברה שמקור הדליפה הוא בחברת AcadaME, רשת גיוס סטודנטים ובוגרים שפופולרית מאוד בקרב סטודנטים.
החברה עובדת מול מרבית האוניברסיטאות (אוניברסיטת ת"א, האוניברסיטה הפתוחה, אוניברסיטת בן גוריון, אוניברסיטת בר-אילן, הטכניון, ואוניברסיטת חיפה) ומכללות רבות (תל-חי, ספיר, אשקלון ועוד), ומקשרת בין הסטודנטים והבוגרים לחברות גדולות במשק במציאת משרות וראיונות עבודה.
בחברת AcadaME בחרו שלא להגיב.
https://news.1rj.ru/str/CyberSecurityIL/1122
https://mobile.mako.co.il/news-digital/2021_q2/Article-d7cdfae38fc4a71026.htm
מאות האקרים מלזים ביצעו מתקפת סייבר מרוכזת על אתרי הבנקים בישראל בסוף השבוע והצליחו לגרום לפגיעה בשירות לפרקי זמן קצרים.
גורם במערכת הבנקאות אומר ל-ynet שעומס הפניות הממוקד הביא להאטה ולמניעת שירות בכל אתרי הבנקים.
בשבת בבוקר נערכה מתקפה על בנק ישראל ולפי אחת העדויות המערכת שלו נפגעה.
התוקפים עצמם פרסמו צילומי מסך שמעידים על קריסת מחשבי הבנקים, ואולם בחלק מהמקרים מדובר כנראה בצילומים מזויפים.
מטרת המתקפה הייתה לפגוע בשירות של אתרי הבנקים ואף לנסות ולהפילם באמצעות מתקפת מניעת שירות מבוזרת (DDOS). במתקפה כזו התוקפים משגרים אלפי פניות בו בזמן, במטרה לגרום לקריסת המחשבי הקורבן.
לפי הערכות מומחים שהשתתפו בהגנת מערכות הבנקים, היקף המתקפה הגיע לכ-200 מגה-בייט לשנייה, היקף לא מבוטל. המתקפה נערכה בשלושה גלים, כשבאחרון – בשעות הלילה המאוחרות של יום שישי – הייתה המתקפה המרוכזת והקשה מכולן.
https://news.1rj.ru/str/CyberSecurityIL/1123
https://www.ynet.co.il/digital/technews/article/rkBWvx82u
גורם במערכת הבנקאות אומר ל-ynet שעומס הפניות הממוקד הביא להאטה ולמניעת שירות בכל אתרי הבנקים.
בשבת בבוקר נערכה מתקפה על בנק ישראל ולפי אחת העדויות המערכת שלו נפגעה.
התוקפים עצמם פרסמו צילומי מסך שמעידים על קריסת מחשבי הבנקים, ואולם בחלק מהמקרים מדובר כנראה בצילומים מזויפים.
מטרת המתקפה הייתה לפגוע בשירות של אתרי הבנקים ואף לנסות ולהפילם באמצעות מתקפת מניעת שירות מבוזרת (DDOS). במתקפה כזו התוקפים משגרים אלפי פניות בו בזמן, במטרה לגרום לקריסת המחשבי הקורבן.
לפי הערכות מומחים שהשתתפו בהגנת מערכות הבנקים, היקף המתקפה הגיע לכ-200 מגה-בייט לשנייה, היקף לא מבוטל. המתקפה נערכה בשלושה גלים, כשבאחרון – בשעות הלילה המאוחרות של יום שישי – הייתה המתקפה המרוכזת והקשה מכולן.
https://news.1rj.ru/str/CyberSecurityIL/1123
https://www.ynet.co.il/digital/technews/article/rkBWvx82u
חברת מייקרוסופט חתמה בטעות דרייבר המכיל נוזקה
לאחר גילוי הממצאים ודיווח של חוקר אבט"מ-קרסטן האן, פירסמה מייקרוסופט הודעה לפיה דרייבר המכיל תכנה זדונית נחתם בטעות עם תעודה של מייקרוסופט.
(החל ממערכת ההפעלה Windows Vista מייקרוסופט מאפשרת להתקין רק דרייברים החתומים דיגיטלית, דרייברים שאינם חתומים לא יותקנו כברירת מחדל ויהיה צורך בהגדרות מיוחדות על מנת להתקין אותם.)
לדברי מייקרוסופט, הדרייבר ( Netfilter ) הכיל תכנה זדונית כנגד שירותי גיימינג הממוקמים בסין ולאחר ההתקנה הדרייבר יוצר קשר עם שרתי שליטה ובקרה הממוקמים אף הם בסין.
אין חשש לפגיעה בלקוחות ארגוניים בשלב זה.
לאחר אימות הדיווח חסמה מייקרוסופט את החשבון של התוקף במערכת Windows Hardware Compatibility Program שדרכה הגיש התוקף את הדרייבר לחתימה וכן בחנה את כל הבקשות הקודמות של אותו חשבון בשביל לוודא שאין פגיעויות נוספות.
לפרטים נוספים מוזמנים להיכנס להודעה הרשמית של מייקרוסופט בנושא
https://news.1rj.ru/str/CyberSecurityIL/1124
לאחר גילוי הממצאים ודיווח של חוקר אבט"מ-קרסטן האן, פירסמה מייקרוסופט הודעה לפיה דרייבר המכיל תכנה זדונית נחתם בטעות עם תעודה של מייקרוסופט.
(החל ממערכת ההפעלה Windows Vista מייקרוסופט מאפשרת להתקין רק דרייברים החתומים דיגיטלית, דרייברים שאינם חתומים לא יותקנו כברירת מחדל ויהיה צורך בהגדרות מיוחדות על מנת להתקין אותם.)
לדברי מייקרוסופט, הדרייבר ( Netfilter ) הכיל תכנה זדונית כנגד שירותי גיימינג הממוקמים בסין ולאחר ההתקנה הדרייבר יוצר קשר עם שרתי שליטה ובקרה הממוקמים אף הם בסין.
אין חשש לפגיעה בלקוחות ארגוניים בשלב זה.
לאחר אימות הדיווח חסמה מייקרוסופט את החשבון של התוקף במערכת Windows Hardware Compatibility Program שדרכה הגיש התוקף את הדרייבר לחתימה וכן בחנה את כל הבקשות הקודמות של אותו חשבון בשביל לוודא שאין פגיעויות נוספות.
לפרטים נוספים מוזמנים להיכנס להודעה הרשמית של מייקרוסופט בנושא
https://news.1rj.ru/str/CyberSecurityIL/1124
מחפשים הכנסה מהצד? קבוצת התקיפה LockBit מפרסמת מודעת דרושים לשותפים חדשים ומעדכנת כי הם הוציאו גרסה חדשה לתוכנת ההצפנה, מהירה יותר ואיכותית יותר.
לאחר שמספר פורומים חסמו את הפעילות בנושא כופר, קבוצות התקיפה עברו לפרסם במקומות אחרים, בהודעה שמפרסמת קבוצת LockBit (שפעילה מאז ספטמבר 2019) באתר של הקבוצה היא מעדכנת כי היא מחפשת שותפים חדשים לפעילות ה-RAAS של הקבוצה:
"כל מה שאתם צריכים לעשות זה להשיג גישה לרשת הליבה בארגון, משם LockBit 2.0 תעשה את השאר"
כד לשכנע את המתלבטים, הקבוצה מפרסמת נתונים אודות מהירות ההצפנה ומשיכת המידע של תכנת LockBit 2.0 החדשה, חלק מהתכונות של התכנה החדשה כוללות:
ממשק ניהול ברשת Tor, חדרי צ'ט עם מנהלי הקבוצה, הפצה אוטו' של הנוזקה ברשת הארגון, חסימת כל שירותי האבטחה הארגוניים שיכולים למנוע את תהליך ההצפנה, מחיקת גיבויים, מחיקה עצמית של לוגים בכדי לשבש את המעקב, הדפסת דרישות הכופר במדפסות הארגון, ועוד ועוד....
(תמונות מצ"ב בתגובות)
https://news.1rj.ru/str/CyberSecurityIL/1125
לאחר שמספר פורומים חסמו את הפעילות בנושא כופר, קבוצות התקיפה עברו לפרסם במקומות אחרים, בהודעה שמפרסמת קבוצת LockBit (שפעילה מאז ספטמבר 2019) באתר של הקבוצה היא מעדכנת כי היא מחפשת שותפים חדשים לפעילות ה-RAAS של הקבוצה:
"כל מה שאתם צריכים לעשות זה להשיג גישה לרשת הליבה בארגון, משם LockBit 2.0 תעשה את השאר"
כד לשכנע את המתלבטים, הקבוצה מפרסמת נתונים אודות מהירות ההצפנה ומשיכת המידע של תכנת LockBit 2.0 החדשה, חלק מהתכונות של התכנה החדשה כוללות:
ממשק ניהול ברשת Tor, חדרי צ'ט עם מנהלי הקבוצה, הפצה אוטו' של הנוזקה ברשת הארגון, חסימת כל שירותי האבטחה הארגוניים שיכולים למנוע את תהליך ההצפנה, מחיקת גיבויים, מחיקה עצמית של לוגים בכדי לשבש את המעקב, הדפסת דרישות הכופר במדפסות הארגון, ועוד ועוד....
(תמונות מצ"ב בתגובות)
https://news.1rj.ru/str/CyberSecurityIL/1125
בית חולים בפורטוגל מדווח על שיבוש בפעילות בשל מתקפת סייבר.
בית החולים Hospital do Divino Espírito Santo מדווח כי בשל מתקפת סייבר חלים שיבושים בפעילות של בית החולים ובמתן תשובות לבדיקות קורונה.
נכון לעכשיו אתר האינטרנט של בית החולים למטה ואין מידע נוסף על סוג התקיפה, בהודעה שפירסם בית החולים בפייסבוק הוא מדווח כי ייתכנו עיכובים בכל פעילות הדורשת משאבי מחשוב וכי רשת האינטרנט הפנימית של בית החולים הושבתה, בשלב זה בית החולים מתעדף מתן תשובות לבדיקות קורונה חיוביות.
https://news.1rj.ru/str/CyberSecurityIL/1126
https://www.databreaches.net/portugal-cyberattack-on-hospital-do-divino-espirito-santo-impacting-notification-of-covid-19-test-results/
בית החולים Hospital do Divino Espírito Santo מדווח כי בשל מתקפת סייבר חלים שיבושים בפעילות של בית החולים ובמתן תשובות לבדיקות קורונה.
נכון לעכשיו אתר האינטרנט של בית החולים למטה ואין מידע נוסף על סוג התקיפה, בהודעה שפירסם בית החולים בפייסבוק הוא מדווח כי ייתכנו עיכובים בכל פעילות הדורשת משאבי מחשוב וכי רשת האינטרנט הפנימית של בית החולים הושבתה, בשלב זה בית החולים מתעדף מתן תשובות לבדיקות קורונה חיוביות.
https://news.1rj.ru/str/CyberSecurityIL/1126
https://www.databreaches.net/portugal-cyberattack-on-hospital-do-divino-espirito-santo-impacting-notification-of-covid-19-test-results/
בפעם השניה: חוקר אבט"מ הצליח לפרוץ לשרתים בחברת מייקרוסופט באמצעות ניצול מנגנון השימוש בספריות קוד פתוח.
לפני מספר חודשים התפרסם כי חוקר אבט"מ הצליח לפרוץ לעשרות חברות, כולל מיקרוסופט, באמצעות ניצול מנגנון השימוש בספריות קוד פתוח.
כעת חוקר אבט"מ נוסף מפרסם כי הצליח באותה דרך להיכנס שוב לשרתים של מייקרוסופט, במקרה הזה לשרתי הפיתוח של המשחק Halo, ולקבל מידע מהשרתים.
מייקרוסופט בתגובה: "טיפלנו בממצא עוד לפני הדיווח של החוקר, אין השפעה על הלקוחות"
https://news.1rj.ru/str/CyberSecurityIL/1127
https://www.bleepingcomputer.com/news/security/microsofts-halo-dev-site-breached-using-dependency-hijacking/
לפני מספר חודשים התפרסם כי חוקר אבט"מ הצליח לפרוץ לעשרות חברות, כולל מיקרוסופט, באמצעות ניצול מנגנון השימוש בספריות קוד פתוח.
כעת חוקר אבט"מ נוסף מפרסם כי הצליח באותה דרך להיכנס שוב לשרתים של מייקרוסופט, במקרה הזה לשרתי הפיתוח של המשחק Halo, ולקבל מידע מהשרתים.
מייקרוסופט בתגובה: "טיפלנו בממצא עוד לפני הדיווח של החוקר, אין השפעה על הלקוחות"
https://news.1rj.ru/str/CyberSecurityIL/1127
https://www.bleepingcomputer.com/news/security/microsofts-halo-dev-site-breached-using-dependency-hijacking/
בית החולים UMC שבלאס וגאס הותקף במתקפת כופר ע"י קבוצת REvil.
קבוצת REvil פירסמה באתר ההדלפות שלה כי פרצה לרשת של בית החולים ואף פירסמה מקבץ של מסמכים פנימיים שנגנבו מתוך הרשת וכללים פרטים מזהים של לקוחות ועובדים.
בית החולים פירסם בתגובה כי אכן זוהתה פעילות חשודה ברשת המחשוב, אך אין לכך השפעה על הפעילות השוטפת של בית החולים.
בשלב זה לא ידוע מה סכום הכופר הנדרש ומה סטטוס של רשת המחשוב בתוך בית החולים.
https://news.1rj.ru/str/CyberSecurityIL/1128
https://www.databreaches.net/university-medical-center-of-southern-nevada-allegedly-attacked-by-revil-threat-actors/
קבוצת REvil פירסמה באתר ההדלפות שלה כי פרצה לרשת של בית החולים ואף פירסמה מקבץ של מסמכים פנימיים שנגנבו מתוך הרשת וכללים פרטים מזהים של לקוחות ועובדים.
בית החולים פירסם בתגובה כי אכן זוהתה פעילות חשודה ברשת המחשוב, אך אין לכך השפעה על הפעילות השוטפת של בית החולים.
בשלב זה לא ידוע מה סכום הכופר הנדרש ומה סטטוס של רשת המחשוב בתוך בית החולים.
https://news.1rj.ru/str/CyberSecurityIL/1128
https://www.databreaches.net/university-medical-center-of-southern-nevada-allegedly-attacked-by-revil-threat-actors/
דירוג מעצמות הסייבר: ישראל בין המדינות המובילות בעולם.
ישראל היא אחת מבין מעצמות הסייבר המובילות ביותר בעולם, קובע מחקר חדש שביצע מכון "IISS" - מכון בינלאומי ללימודים אסטרטגיים. המכון בחן זו השנה השנייה את מעצמות הסייבר החזקות ביותר בעולם, והציב את ישראל באותה הרמה של רוסיה, סין, צרפת ובריטניה, והרחק מעל איראן וצפון קוריאה.
המחקר נועד לסייע למקבלי החלטות על ידי הדגשת יכולות הסייבר של כל מדינה, לצד ממשלות ותאגידים שיכולים לחשב סיכונים והשקעות במדינות הללו. החוקרים בחנו את יכולות המדינות בשבע קטגוריות שונות – אסטרטגיה ודוקטרינה, שלטון, פיקוד ושליטה, העצמת סייבר ותלות בה, אבטחה ועמידות של הסייבר, מנהיגות עולמית בענייני מרחב סייבר ויכולת סייבר פוגענית.
במקום הראשון מדורגת ארצות הברית כמעצמת הסייבר המובילה בעולם. בדירוג השני מוצבים ללא מספור ביניהם שבע מדינות – אוסטרליה, קנדה, סין, צרפת, רוסיה, בריטניה וישראל. על פי המחקר רוסיה וסין ככל הנראה עולות על כל המדינות האחרות למעט ארה"ב.
ישראל היום
https://news.1rj.ru/str/CyberSecurityIL/1129
מוזמנים לעיין במחקר המלא כאן 👇🏻
ישראל היא אחת מבין מעצמות הסייבר המובילות ביותר בעולם, קובע מחקר חדש שביצע מכון "IISS" - מכון בינלאומי ללימודים אסטרטגיים. המכון בחן זו השנה השנייה את מעצמות הסייבר החזקות ביותר בעולם, והציב את ישראל באותה הרמה של רוסיה, סין, צרפת ובריטניה, והרחק מעל איראן וצפון קוריאה.
המחקר נועד לסייע למקבלי החלטות על ידי הדגשת יכולות הסייבר של כל מדינה, לצד ממשלות ותאגידים שיכולים לחשב סיכונים והשקעות במדינות הללו. החוקרים בחנו את יכולות המדינות בשבע קטגוריות שונות – אסטרטגיה ודוקטרינה, שלטון, פיקוד ושליטה, העצמת סייבר ותלות בה, אבטחה ועמידות של הסייבר, מנהיגות עולמית בענייני מרחב סייבר ויכולת סייבר פוגענית.
במקום הראשון מדורגת ארצות הברית כמעצמת הסייבר המובילה בעולם. בדירוג השני מוצבים ללא מספור ביניהם שבע מדינות – אוסטרליה, קנדה, סין, צרפת, רוסיה, בריטניה וישראל. על פי המחקר רוסיה וסין ככל הנראה עולות על כל המדינות האחרות למעט ארה"ב.
ישראל היום
https://news.1rj.ru/str/CyberSecurityIL/1129
מוזמנים לעיין במחקר המלא כאן 👇🏻
נציג החברה: לאחר שנשלם את דמי הכופר נרצה לקבל את כל המידע שגנבתם מאיתנו כדי לדעת מה בדיוק נגנב ולעדכן את הלקוחות.
נציג קבוצת REvil: אנחנו מספקים רק רשימה של המידע שנגנב, את המידע המלא לא נוכל לספק כי זה מפר את תנאי הגנת הפרטיות שלנו.... 🤣
כך ענה נציג קבוצת REvil לנציג של חברת UnitingCare שלמרות זאת שילמה לאחרונה דמי כופר של מאות אלפי דולרים תמורת מפתח הפיענוח והבטחה של REvil למחיקת הקבצים שנגנבו....
מקרה דומה אירע השבוע עם חברה המספקת ביטוחי רכב שהותקפה ע"י קבוצת REvil, לפני התשלום קבוצת REvil טענה שגנבה כמויות של מידע מרשת החברה, אך לאחר התשלום (של 25k$) הנציג של REvil סיפק את מפתח הפיענוח ואת סיסמת הדומיין אדמין ששונתה אך טען שהם בכלל לא גנבו מידע מתוך הרשת.
ברור שיש לנו עסק עם שקרנים, השאלה אם המוניטין שבנו לעצמם מאפשר לקבוצת REvil "לזלזל" בתהליך ורק להצפין קבצים ולאיים בפרסום המידע, כשבפועל הם כבר לא טורחים לגנוב באמת מידע מתוך הרשת...
אם חברות היו יודעות שהמידע רק הוצפן ולא באמת נגנב, האם היו משלמים בכל זאת?
מה דעתכם?
https://news.1rj.ru/str/CyberSecurityIL/1131
נציג קבוצת REvil: אנחנו מספקים רק רשימה של המידע שנגנב, את המידע המלא לא נוכל לספק כי זה מפר את תנאי הגנת הפרטיות שלנו.... 🤣
כך ענה נציג קבוצת REvil לנציג של חברת UnitingCare שלמרות זאת שילמה לאחרונה דמי כופר של מאות אלפי דולרים תמורת מפתח הפיענוח והבטחה של REvil למחיקת הקבצים שנגנבו....
מקרה דומה אירע השבוע עם חברה המספקת ביטוחי רכב שהותקפה ע"י קבוצת REvil, לפני התשלום קבוצת REvil טענה שגנבה כמויות של מידע מרשת החברה, אך לאחר התשלום (של 25k$) הנציג של REvil סיפק את מפתח הפיענוח ואת סיסמת הדומיין אדמין ששונתה אך טען שהם בכלל לא גנבו מידע מתוך הרשת.
ברור שיש לנו עסק עם שקרנים, השאלה אם המוניטין שבנו לעצמם מאפשר לקבוצת REvil "לזלזל" בתהליך ורק להצפין קבצים ולאיים בפרסום המידע, כשבפועל הם כבר לא טורחים לגנוב באמת מידע מתוך הרשת...
אם חברות היו יודעות שהמידע רק הוצפן ולא באמת נגנב, האם היו משלמים בכל זאת?
מה דעתכם?
https://news.1rj.ru/str/CyberSecurityIL/1131
ALERT-CERT-IL-W-1353.pdf
281.1 KB
מערך הסייבר הלאומי:
התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה Windows
שלום רב,
לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.
הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.
טרם פורסם עדכון אבטחה לפגיעות. עד לפרסום עדכון אבטחה, מומלץ מאד לנטרל שירות זה בכל העמדות והשרתים הרגישים בארגון, ובפרט בשרתי Domain Controller או בעמדות של מנהלנים
https://news.1rj.ru/str/CyberSecurityIL/1132
התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה Windows
שלום רב,
לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.
הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.
טרם פורסם עדכון אבטחה לפגיעות. עד לפרסום עדכון אבטחה, מומלץ מאד לנטרל שירות זה בכל העמדות והשרתים הרגישים בארגון, ובפרט בשרתי Domain Controller או בעמדות של מנהלנים
https://news.1rj.ru/str/CyberSecurityIL/1132
כנס BesideTLV העוסק בעולמות הסייבר ההתקפי (פריצות, האקרים, ועוד) יתקיים השנה במהלך ה-CyberWeek בתאריך 22.7.21.
מוזמנים להירשם ללא עלות כאן.
https://news.1rj.ru/str/CyberSecurityIL/1134
מוזמנים להירשם ללא עלות כאן.
https://news.1rj.ru/str/CyberSecurityIL/1134
קבוצת REvil תקפה מעל 1,000 ארגונים לאחר שפרצה לחברת Kaseya המספקת שירותים לחברות שונות.
חברת Kaseya מאפשרת לארגונים לשלוח עדכוני תוכנה ללקוחות וכן לנטר את הפעילות אצל הלקוח, נכון לעכשיו נראה כי קבוצת Revil הצליחה להגיע לכ-40 ארגונים גדולים העושים שימוש במערכת של Kaseya, להצפין להם את הרשת ודרכן להגיע לאלפי לקוחות ולהצפין גם את הרשתות שלהם.
חברת Kaseya השביתה את השירותים שלה והוציאה הודעה דחופה בה היא מבקשת מהלקוחות להשבית את השרתים של Keseya הנמצאים בארגון במהירות האפשרית.
דרישות הכופר של קבוצת REvil משתנים ככל הנראה בין הלקוחות כאשר מהלקוחות הגדולים הקבוצה דורשת דמי כופר של 5 מיליון דולר בעוד מלקוחות קטנים יותר דורשת הקבוצה 45,000 דולר.
https://news.1rj.ru/str/CyberSecurityIL/1135
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/
חברת Kaseya מאפשרת לארגונים לשלוח עדכוני תוכנה ללקוחות וכן לנטר את הפעילות אצל הלקוח, נכון לעכשיו נראה כי קבוצת Revil הצליחה להגיע לכ-40 ארגונים גדולים העושים שימוש במערכת של Kaseya, להצפין להם את הרשת ודרכן להגיע לאלפי לקוחות ולהצפין גם את הרשתות שלהם.
חברת Kaseya השביתה את השירותים שלה והוציאה הודעה דחופה בה היא מבקשת מהלקוחות להשבית את השרתים של Keseya הנמצאים בארגון במהירות האפשרית.
דרישות הכופר של קבוצת REvil משתנים ככל הנראה בין הלקוחות כאשר מהלקוחות הגדולים הקבוצה דורשת דמי כופר של 5 מיליון דולר בעוד מלקוחות קטנים יותר דורשת הקבוצה 45,000 דולר.
https://news.1rj.ru/str/CyberSecurityIL/1135
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/
ענקית הביטוח AJG שבארה"ב מדווח על דלף מידע לאחר מתקפת כופר שהתרחשה בשנת 2020
בהודעה שהוציאה החברה היא מדווחת כי בין יוני 2020 לספטמבר 2020 גורם בלתי מורשה הצליח לגשת לרשת הפנימית של הארגון ולמידע רגיש של לקוחות, כתוצאה מהמתקפה השביתה החברה את כל רשת התקשורת.
בהודעה ששלחה החברה לרשויות היא מוסרת כי 7,376 לקוחות נפגעו.
ככל הנראה המידע שהגיע לידי התקופים כולל רשומות רפואיות, מספרי ביטוח לאומי, צילומי ת.ז, רישיונות נהיגה ועוד.
חברת AJG מעסיקה כ-33,000 עובדים ב-49 מדינות.
https://news.1rj.ru/str/CyberSecurityIL/1136
https://www.prnewswire.com/news-releases/arthur-j-gallagher--co-provides-notice-of-data-security-event-301323732.html
בהודעה שהוציאה החברה היא מדווחת כי בין יוני 2020 לספטמבר 2020 גורם בלתי מורשה הצליח לגשת לרשת הפנימית של הארגון ולמידע רגיש של לקוחות, כתוצאה מהמתקפה השביתה החברה את כל רשת התקשורת.
בהודעה ששלחה החברה לרשויות היא מוסרת כי 7,376 לקוחות נפגעו.
ככל הנראה המידע שהגיע לידי התקופים כולל רשומות רפואיות, מספרי ביטוח לאומי, צילומי ת.ז, רישיונות נהיגה ועוד.
חברת AJG מעסיקה כ-33,000 עובדים ב-49 מדינות.
https://news.1rj.ru/str/CyberSecurityIL/1136
https://www.prnewswire.com/news-releases/arthur-j-gallagher--co-provides-notice-of-data-security-event-301323732.html
רשת הסופרמרקטים השבדית Coop סגרה כ-500 סניפים לאחר שהושפעה מהמתקפה על Kaseya.
הרשת, שמקבלת שירותים מחברת Visma נאלצה להשבית את רוב סניפי הרשת (500 מתוך 800) לאחר שחברת Visma עשתה שימוש בשירותים של חברת Kaseya והותקפה ע"י קבוצת REvil.
חברת Visma מספקת לחברת Coop שירותים שונים הקשורים למערכות התשלום בסופרמרקטים, כתוצאה מהמתקפה עמדות התשלום הושבתו מה שהוביל להשבתה של הסניפים.
לחברת Visma יש כמיליון לקוחות בעולם וככל הנראה רבים מהלקוחות הושפעו מהמתקפה ודיווחים דומים יגיעו בהמשך.
https://news.1rj.ru/str/CyberSecurityIL/1137
https://www.bleepingcomputer.com/news/security/coop-supermarket-closes-500-stores-after-kaseya-ransomware-attack/
הרשת, שמקבלת שירותים מחברת Visma נאלצה להשבית את רוב סניפי הרשת (500 מתוך 800) לאחר שחברת Visma עשתה שימוש בשירותים של חברת Kaseya והותקפה ע"י קבוצת REvil.
חברת Visma מספקת לחברת Coop שירותים שונים הקשורים למערכות התשלום בסופרמרקטים, כתוצאה מהמתקפה עמדות התשלום הושבתו מה שהוביל להשבתה של הסניפים.
לחברת Visma יש כמיליון לקוחות בעולם וככל הנראה רבים מהלקוחות הושפעו מהמתקפה ודיווחים דומים יגיעו בהמשך.
https://news.1rj.ru/str/CyberSecurityIL/1137
https://www.bleepingcomputer.com/news/security/coop-supermarket-closes-500-stores-after-kaseya-ransomware-attack/