מאגר נתונים רחב ובו פרטים אישיים של מאות אלפי סטודנטים לשעבר דלף לרשת.
הפרשה נחשפה תחילה בקבוצות טלגרם מלזיות, שם הופץ כי מסדי הנתונים של מוסדות אקדמיים בישראל נפרצו.
חקירה של חוקרי הסייבר מיי ברוקס-קמפלר ותום מלכה מקהילת Think Safe Cyber העלתה שמדובר ברשומות של כ-280 אלף סטודנטים מ-2014 ועד היום.
בין הפרטים האישיים שמופיעים במאגר: מספרי טלפון, כתובות אישיות, כתובות מייל, לחלקם סיסמאות - והכול עם קישור לשם המלא של הסטודנטים והסטודנטיות.
מהחקירה עולה הסברה שמקור הדליפה הוא בחברת AcadaME, רשת גיוס סטודנטים ובוגרים שפופולרית מאוד בקרב סטודנטים.
החברה עובדת מול מרבית האוניברסיטאות (אוניברסיטת ת"א, האוניברסיטה הפתוחה, אוניברסיטת בן גוריון, אוניברסיטת בר-אילן, הטכניון, ואוניברסיטת חיפה) ומכללות רבות (תל-חי, ספיר, אשקלון ועוד), ומקשרת בין הסטודנטים והבוגרים לחברות גדולות במשק במציאת משרות וראיונות עבודה.
בחברת AcadaME בחרו שלא להגיב.
https://news.1rj.ru/str/CyberSecurityIL/1122
https://mobile.mako.co.il/news-digital/2021_q2/Article-d7cdfae38fc4a71026.htm
הפרשה נחשפה תחילה בקבוצות טלגרם מלזיות, שם הופץ כי מסדי הנתונים של מוסדות אקדמיים בישראל נפרצו.
חקירה של חוקרי הסייבר מיי ברוקס-קמפלר ותום מלכה מקהילת Think Safe Cyber העלתה שמדובר ברשומות של כ-280 אלף סטודנטים מ-2014 ועד היום.
בין הפרטים האישיים שמופיעים במאגר: מספרי טלפון, כתובות אישיות, כתובות מייל, לחלקם סיסמאות - והכול עם קישור לשם המלא של הסטודנטים והסטודנטיות.
מהחקירה עולה הסברה שמקור הדליפה הוא בחברת AcadaME, רשת גיוס סטודנטים ובוגרים שפופולרית מאוד בקרב סטודנטים.
החברה עובדת מול מרבית האוניברסיטאות (אוניברסיטת ת"א, האוניברסיטה הפתוחה, אוניברסיטת בן גוריון, אוניברסיטת בר-אילן, הטכניון, ואוניברסיטת חיפה) ומכללות רבות (תל-חי, ספיר, אשקלון ועוד), ומקשרת בין הסטודנטים והבוגרים לחברות גדולות במשק במציאת משרות וראיונות עבודה.
בחברת AcadaME בחרו שלא להגיב.
https://news.1rj.ru/str/CyberSecurityIL/1122
https://mobile.mako.co.il/news-digital/2021_q2/Article-d7cdfae38fc4a71026.htm
מאות האקרים מלזים ביצעו מתקפת סייבר מרוכזת על אתרי הבנקים בישראל בסוף השבוע והצליחו לגרום לפגיעה בשירות לפרקי זמן קצרים.
גורם במערכת הבנקאות אומר ל-ynet שעומס הפניות הממוקד הביא להאטה ולמניעת שירות בכל אתרי הבנקים.
בשבת בבוקר נערכה מתקפה על בנק ישראל ולפי אחת העדויות המערכת שלו נפגעה.
התוקפים עצמם פרסמו צילומי מסך שמעידים על קריסת מחשבי הבנקים, ואולם בחלק מהמקרים מדובר כנראה בצילומים מזויפים.
מטרת המתקפה הייתה לפגוע בשירות של אתרי הבנקים ואף לנסות ולהפילם באמצעות מתקפת מניעת שירות מבוזרת (DDOS). במתקפה כזו התוקפים משגרים אלפי פניות בו בזמן, במטרה לגרום לקריסת המחשבי הקורבן.
לפי הערכות מומחים שהשתתפו בהגנת מערכות הבנקים, היקף המתקפה הגיע לכ-200 מגה-בייט לשנייה, היקף לא מבוטל. המתקפה נערכה בשלושה גלים, כשבאחרון – בשעות הלילה המאוחרות של יום שישי – הייתה המתקפה המרוכזת והקשה מכולן.
https://news.1rj.ru/str/CyberSecurityIL/1123
https://www.ynet.co.il/digital/technews/article/rkBWvx82u
גורם במערכת הבנקאות אומר ל-ynet שעומס הפניות הממוקד הביא להאטה ולמניעת שירות בכל אתרי הבנקים.
בשבת בבוקר נערכה מתקפה על בנק ישראל ולפי אחת העדויות המערכת שלו נפגעה.
התוקפים עצמם פרסמו צילומי מסך שמעידים על קריסת מחשבי הבנקים, ואולם בחלק מהמקרים מדובר כנראה בצילומים מזויפים.
מטרת המתקפה הייתה לפגוע בשירות של אתרי הבנקים ואף לנסות ולהפילם באמצעות מתקפת מניעת שירות מבוזרת (DDOS). במתקפה כזו התוקפים משגרים אלפי פניות בו בזמן, במטרה לגרום לקריסת המחשבי הקורבן.
לפי הערכות מומחים שהשתתפו בהגנת מערכות הבנקים, היקף המתקפה הגיע לכ-200 מגה-בייט לשנייה, היקף לא מבוטל. המתקפה נערכה בשלושה גלים, כשבאחרון – בשעות הלילה המאוחרות של יום שישי – הייתה המתקפה המרוכזת והקשה מכולן.
https://news.1rj.ru/str/CyberSecurityIL/1123
https://www.ynet.co.il/digital/technews/article/rkBWvx82u
חברת מייקרוסופט חתמה בטעות דרייבר המכיל נוזקה
לאחר גילוי הממצאים ודיווח של חוקר אבט"מ-קרסטן האן, פירסמה מייקרוסופט הודעה לפיה דרייבר המכיל תכנה זדונית נחתם בטעות עם תעודה של מייקרוסופט.
(החל ממערכת ההפעלה Windows Vista מייקרוסופט מאפשרת להתקין רק דרייברים החתומים דיגיטלית, דרייברים שאינם חתומים לא יותקנו כברירת מחדל ויהיה צורך בהגדרות מיוחדות על מנת להתקין אותם.)
לדברי מייקרוסופט, הדרייבר ( Netfilter ) הכיל תכנה זדונית כנגד שירותי גיימינג הממוקמים בסין ולאחר ההתקנה הדרייבר יוצר קשר עם שרתי שליטה ובקרה הממוקמים אף הם בסין.
אין חשש לפגיעה בלקוחות ארגוניים בשלב זה.
לאחר אימות הדיווח חסמה מייקרוסופט את החשבון של התוקף במערכת Windows Hardware Compatibility Program שדרכה הגיש התוקף את הדרייבר לחתימה וכן בחנה את כל הבקשות הקודמות של אותו חשבון בשביל לוודא שאין פגיעויות נוספות.
לפרטים נוספים מוזמנים להיכנס להודעה הרשמית של מייקרוסופט בנושא
https://news.1rj.ru/str/CyberSecurityIL/1124
לאחר גילוי הממצאים ודיווח של חוקר אבט"מ-קרסטן האן, פירסמה מייקרוסופט הודעה לפיה דרייבר המכיל תכנה זדונית נחתם בטעות עם תעודה של מייקרוסופט.
(החל ממערכת ההפעלה Windows Vista מייקרוסופט מאפשרת להתקין רק דרייברים החתומים דיגיטלית, דרייברים שאינם חתומים לא יותקנו כברירת מחדל ויהיה צורך בהגדרות מיוחדות על מנת להתקין אותם.)
לדברי מייקרוסופט, הדרייבר ( Netfilter ) הכיל תכנה זדונית כנגד שירותי גיימינג הממוקמים בסין ולאחר ההתקנה הדרייבר יוצר קשר עם שרתי שליטה ובקרה הממוקמים אף הם בסין.
אין חשש לפגיעה בלקוחות ארגוניים בשלב זה.
לאחר אימות הדיווח חסמה מייקרוסופט את החשבון של התוקף במערכת Windows Hardware Compatibility Program שדרכה הגיש התוקף את הדרייבר לחתימה וכן בחנה את כל הבקשות הקודמות של אותו חשבון בשביל לוודא שאין פגיעויות נוספות.
לפרטים נוספים מוזמנים להיכנס להודעה הרשמית של מייקרוסופט בנושא
https://news.1rj.ru/str/CyberSecurityIL/1124
מחפשים הכנסה מהצד? קבוצת התקיפה LockBit מפרסמת מודעת דרושים לשותפים חדשים ומעדכנת כי הם הוציאו גרסה חדשה לתוכנת ההצפנה, מהירה יותר ואיכותית יותר.
לאחר שמספר פורומים חסמו את הפעילות בנושא כופר, קבוצות התקיפה עברו לפרסם במקומות אחרים, בהודעה שמפרסמת קבוצת LockBit (שפעילה מאז ספטמבר 2019) באתר של הקבוצה היא מעדכנת כי היא מחפשת שותפים חדשים לפעילות ה-RAAS של הקבוצה:
"כל מה שאתם צריכים לעשות זה להשיג גישה לרשת הליבה בארגון, משם LockBit 2.0 תעשה את השאר"
כד לשכנע את המתלבטים, הקבוצה מפרסמת נתונים אודות מהירות ההצפנה ומשיכת המידע של תכנת LockBit 2.0 החדשה, חלק מהתכונות של התכנה החדשה כוללות:
ממשק ניהול ברשת Tor, חדרי צ'ט עם מנהלי הקבוצה, הפצה אוטו' של הנוזקה ברשת הארגון, חסימת כל שירותי האבטחה הארגוניים שיכולים למנוע את תהליך ההצפנה, מחיקת גיבויים, מחיקה עצמית של לוגים בכדי לשבש את המעקב, הדפסת דרישות הכופר במדפסות הארגון, ועוד ועוד....
(תמונות מצ"ב בתגובות)
https://news.1rj.ru/str/CyberSecurityIL/1125
לאחר שמספר פורומים חסמו את הפעילות בנושא כופר, קבוצות התקיפה עברו לפרסם במקומות אחרים, בהודעה שמפרסמת קבוצת LockBit (שפעילה מאז ספטמבר 2019) באתר של הקבוצה היא מעדכנת כי היא מחפשת שותפים חדשים לפעילות ה-RAAS של הקבוצה:
"כל מה שאתם צריכים לעשות זה להשיג גישה לרשת הליבה בארגון, משם LockBit 2.0 תעשה את השאר"
כד לשכנע את המתלבטים, הקבוצה מפרסמת נתונים אודות מהירות ההצפנה ומשיכת המידע של תכנת LockBit 2.0 החדשה, חלק מהתכונות של התכנה החדשה כוללות:
ממשק ניהול ברשת Tor, חדרי צ'ט עם מנהלי הקבוצה, הפצה אוטו' של הנוזקה ברשת הארגון, חסימת כל שירותי האבטחה הארגוניים שיכולים למנוע את תהליך ההצפנה, מחיקת גיבויים, מחיקה עצמית של לוגים בכדי לשבש את המעקב, הדפסת דרישות הכופר במדפסות הארגון, ועוד ועוד....
(תמונות מצ"ב בתגובות)
https://news.1rj.ru/str/CyberSecurityIL/1125
בית חולים בפורטוגל מדווח על שיבוש בפעילות בשל מתקפת סייבר.
בית החולים Hospital do Divino Espírito Santo מדווח כי בשל מתקפת סייבר חלים שיבושים בפעילות של בית החולים ובמתן תשובות לבדיקות קורונה.
נכון לעכשיו אתר האינטרנט של בית החולים למטה ואין מידע נוסף על סוג התקיפה, בהודעה שפירסם בית החולים בפייסבוק הוא מדווח כי ייתכנו עיכובים בכל פעילות הדורשת משאבי מחשוב וכי רשת האינטרנט הפנימית של בית החולים הושבתה, בשלב זה בית החולים מתעדף מתן תשובות לבדיקות קורונה חיוביות.
https://news.1rj.ru/str/CyberSecurityIL/1126
https://www.databreaches.net/portugal-cyberattack-on-hospital-do-divino-espirito-santo-impacting-notification-of-covid-19-test-results/
בית החולים Hospital do Divino Espírito Santo מדווח כי בשל מתקפת סייבר חלים שיבושים בפעילות של בית החולים ובמתן תשובות לבדיקות קורונה.
נכון לעכשיו אתר האינטרנט של בית החולים למטה ואין מידע נוסף על סוג התקיפה, בהודעה שפירסם בית החולים בפייסבוק הוא מדווח כי ייתכנו עיכובים בכל פעילות הדורשת משאבי מחשוב וכי רשת האינטרנט הפנימית של בית החולים הושבתה, בשלב זה בית החולים מתעדף מתן תשובות לבדיקות קורונה חיוביות.
https://news.1rj.ru/str/CyberSecurityIL/1126
https://www.databreaches.net/portugal-cyberattack-on-hospital-do-divino-espirito-santo-impacting-notification-of-covid-19-test-results/
בפעם השניה: חוקר אבט"מ הצליח לפרוץ לשרתים בחברת מייקרוסופט באמצעות ניצול מנגנון השימוש בספריות קוד פתוח.
לפני מספר חודשים התפרסם כי חוקר אבט"מ הצליח לפרוץ לעשרות חברות, כולל מיקרוסופט, באמצעות ניצול מנגנון השימוש בספריות קוד פתוח.
כעת חוקר אבט"מ נוסף מפרסם כי הצליח באותה דרך להיכנס שוב לשרתים של מייקרוסופט, במקרה הזה לשרתי הפיתוח של המשחק Halo, ולקבל מידע מהשרתים.
מייקרוסופט בתגובה: "טיפלנו בממצא עוד לפני הדיווח של החוקר, אין השפעה על הלקוחות"
https://news.1rj.ru/str/CyberSecurityIL/1127
https://www.bleepingcomputer.com/news/security/microsofts-halo-dev-site-breached-using-dependency-hijacking/
לפני מספר חודשים התפרסם כי חוקר אבט"מ הצליח לפרוץ לעשרות חברות, כולל מיקרוסופט, באמצעות ניצול מנגנון השימוש בספריות קוד פתוח.
כעת חוקר אבט"מ נוסף מפרסם כי הצליח באותה דרך להיכנס שוב לשרתים של מייקרוסופט, במקרה הזה לשרתי הפיתוח של המשחק Halo, ולקבל מידע מהשרתים.
מייקרוסופט בתגובה: "טיפלנו בממצא עוד לפני הדיווח של החוקר, אין השפעה על הלקוחות"
https://news.1rj.ru/str/CyberSecurityIL/1127
https://www.bleepingcomputer.com/news/security/microsofts-halo-dev-site-breached-using-dependency-hijacking/
בית החולים UMC שבלאס וגאס הותקף במתקפת כופר ע"י קבוצת REvil.
קבוצת REvil פירסמה באתר ההדלפות שלה כי פרצה לרשת של בית החולים ואף פירסמה מקבץ של מסמכים פנימיים שנגנבו מתוך הרשת וכללים פרטים מזהים של לקוחות ועובדים.
בית החולים פירסם בתגובה כי אכן זוהתה פעילות חשודה ברשת המחשוב, אך אין לכך השפעה על הפעילות השוטפת של בית החולים.
בשלב זה לא ידוע מה סכום הכופר הנדרש ומה סטטוס של רשת המחשוב בתוך בית החולים.
https://news.1rj.ru/str/CyberSecurityIL/1128
https://www.databreaches.net/university-medical-center-of-southern-nevada-allegedly-attacked-by-revil-threat-actors/
קבוצת REvil פירסמה באתר ההדלפות שלה כי פרצה לרשת של בית החולים ואף פירסמה מקבץ של מסמכים פנימיים שנגנבו מתוך הרשת וכללים פרטים מזהים של לקוחות ועובדים.
בית החולים פירסם בתגובה כי אכן זוהתה פעילות חשודה ברשת המחשוב, אך אין לכך השפעה על הפעילות השוטפת של בית החולים.
בשלב זה לא ידוע מה סכום הכופר הנדרש ומה סטטוס של רשת המחשוב בתוך בית החולים.
https://news.1rj.ru/str/CyberSecurityIL/1128
https://www.databreaches.net/university-medical-center-of-southern-nevada-allegedly-attacked-by-revil-threat-actors/
דירוג מעצמות הסייבר: ישראל בין המדינות המובילות בעולם.
ישראל היא אחת מבין מעצמות הסייבר המובילות ביותר בעולם, קובע מחקר חדש שביצע מכון "IISS" - מכון בינלאומי ללימודים אסטרטגיים. המכון בחן זו השנה השנייה את מעצמות הסייבר החזקות ביותר בעולם, והציב את ישראל באותה הרמה של רוסיה, סין, צרפת ובריטניה, והרחק מעל איראן וצפון קוריאה.
המחקר נועד לסייע למקבלי החלטות על ידי הדגשת יכולות הסייבר של כל מדינה, לצד ממשלות ותאגידים שיכולים לחשב סיכונים והשקעות במדינות הללו. החוקרים בחנו את יכולות המדינות בשבע קטגוריות שונות – אסטרטגיה ודוקטרינה, שלטון, פיקוד ושליטה, העצמת סייבר ותלות בה, אבטחה ועמידות של הסייבר, מנהיגות עולמית בענייני מרחב סייבר ויכולת סייבר פוגענית.
במקום הראשון מדורגת ארצות הברית כמעצמת הסייבר המובילה בעולם. בדירוג השני מוצבים ללא מספור ביניהם שבע מדינות – אוסטרליה, קנדה, סין, צרפת, רוסיה, בריטניה וישראל. על פי המחקר רוסיה וסין ככל הנראה עולות על כל המדינות האחרות למעט ארה"ב.
ישראל היום
https://news.1rj.ru/str/CyberSecurityIL/1129
מוזמנים לעיין במחקר המלא כאן 👇🏻
ישראל היא אחת מבין מעצמות הסייבר המובילות ביותר בעולם, קובע מחקר חדש שביצע מכון "IISS" - מכון בינלאומי ללימודים אסטרטגיים. המכון בחן זו השנה השנייה את מעצמות הסייבר החזקות ביותר בעולם, והציב את ישראל באותה הרמה של רוסיה, סין, צרפת ובריטניה, והרחק מעל איראן וצפון קוריאה.
המחקר נועד לסייע למקבלי החלטות על ידי הדגשת יכולות הסייבר של כל מדינה, לצד ממשלות ותאגידים שיכולים לחשב סיכונים והשקעות במדינות הללו. החוקרים בחנו את יכולות המדינות בשבע קטגוריות שונות – אסטרטגיה ודוקטרינה, שלטון, פיקוד ושליטה, העצמת סייבר ותלות בה, אבטחה ועמידות של הסייבר, מנהיגות עולמית בענייני מרחב סייבר ויכולת סייבר פוגענית.
במקום הראשון מדורגת ארצות הברית כמעצמת הסייבר המובילה בעולם. בדירוג השני מוצבים ללא מספור ביניהם שבע מדינות – אוסטרליה, קנדה, סין, צרפת, רוסיה, בריטניה וישראל. על פי המחקר רוסיה וסין ככל הנראה עולות על כל המדינות האחרות למעט ארה"ב.
ישראל היום
https://news.1rj.ru/str/CyberSecurityIL/1129
מוזמנים לעיין במחקר המלא כאן 👇🏻
נציג החברה: לאחר שנשלם את דמי הכופר נרצה לקבל את כל המידע שגנבתם מאיתנו כדי לדעת מה בדיוק נגנב ולעדכן את הלקוחות.
נציג קבוצת REvil: אנחנו מספקים רק רשימה של המידע שנגנב, את המידע המלא לא נוכל לספק כי זה מפר את תנאי הגנת הפרטיות שלנו.... 🤣
כך ענה נציג קבוצת REvil לנציג של חברת UnitingCare שלמרות זאת שילמה לאחרונה דמי כופר של מאות אלפי דולרים תמורת מפתח הפיענוח והבטחה של REvil למחיקת הקבצים שנגנבו....
מקרה דומה אירע השבוע עם חברה המספקת ביטוחי רכב שהותקפה ע"י קבוצת REvil, לפני התשלום קבוצת REvil טענה שגנבה כמויות של מידע מרשת החברה, אך לאחר התשלום (של 25k$) הנציג של REvil סיפק את מפתח הפיענוח ואת סיסמת הדומיין אדמין ששונתה אך טען שהם בכלל לא גנבו מידע מתוך הרשת.
ברור שיש לנו עסק עם שקרנים, השאלה אם המוניטין שבנו לעצמם מאפשר לקבוצת REvil "לזלזל" בתהליך ורק להצפין קבצים ולאיים בפרסום המידע, כשבפועל הם כבר לא טורחים לגנוב באמת מידע מתוך הרשת...
אם חברות היו יודעות שהמידע רק הוצפן ולא באמת נגנב, האם היו משלמים בכל זאת?
מה דעתכם?
https://news.1rj.ru/str/CyberSecurityIL/1131
נציג קבוצת REvil: אנחנו מספקים רק רשימה של המידע שנגנב, את המידע המלא לא נוכל לספק כי זה מפר את תנאי הגנת הפרטיות שלנו.... 🤣
כך ענה נציג קבוצת REvil לנציג של חברת UnitingCare שלמרות זאת שילמה לאחרונה דמי כופר של מאות אלפי דולרים תמורת מפתח הפיענוח והבטחה של REvil למחיקת הקבצים שנגנבו....
מקרה דומה אירע השבוע עם חברה המספקת ביטוחי רכב שהותקפה ע"י קבוצת REvil, לפני התשלום קבוצת REvil טענה שגנבה כמויות של מידע מרשת החברה, אך לאחר התשלום (של 25k$) הנציג של REvil סיפק את מפתח הפיענוח ואת סיסמת הדומיין אדמין ששונתה אך טען שהם בכלל לא גנבו מידע מתוך הרשת.
ברור שיש לנו עסק עם שקרנים, השאלה אם המוניטין שבנו לעצמם מאפשר לקבוצת REvil "לזלזל" בתהליך ורק להצפין קבצים ולאיים בפרסום המידע, כשבפועל הם כבר לא טורחים לגנוב באמת מידע מתוך הרשת...
אם חברות היו יודעות שהמידע רק הוצפן ולא באמת נגנב, האם היו משלמים בכל זאת?
מה דעתכם?
https://news.1rj.ru/str/CyberSecurityIL/1131
ALERT-CERT-IL-W-1353.pdf
281.1 KB
מערך הסייבר הלאומי:
התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה Windows
שלום רב,
לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.
הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.
טרם פורסם עדכון אבטחה לפגיעות. עד לפרסום עדכון אבטחה, מומלץ מאד לנטרל שירות זה בכל העמדות והשרתים הרגישים בארגון, ובפרט בשרתי Domain Controller או בעמדות של מנהלנים
https://news.1rj.ru/str/CyberSecurityIL/1132
התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה Windows
שלום רב,
לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.
הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.
טרם פורסם עדכון אבטחה לפגיעות. עד לפרסום עדכון אבטחה, מומלץ מאד לנטרל שירות זה בכל העמדות והשרתים הרגישים בארגון, ובפרט בשרתי Domain Controller או בעמדות של מנהלנים
https://news.1rj.ru/str/CyberSecurityIL/1132
כנס BesideTLV העוסק בעולמות הסייבר ההתקפי (פריצות, האקרים, ועוד) יתקיים השנה במהלך ה-CyberWeek בתאריך 22.7.21.
מוזמנים להירשם ללא עלות כאן.
https://news.1rj.ru/str/CyberSecurityIL/1134
מוזמנים להירשם ללא עלות כאן.
https://news.1rj.ru/str/CyberSecurityIL/1134
קבוצת REvil תקפה מעל 1,000 ארגונים לאחר שפרצה לחברת Kaseya המספקת שירותים לחברות שונות.
חברת Kaseya מאפשרת לארגונים לשלוח עדכוני תוכנה ללקוחות וכן לנטר את הפעילות אצל הלקוח, נכון לעכשיו נראה כי קבוצת Revil הצליחה להגיע לכ-40 ארגונים גדולים העושים שימוש במערכת של Kaseya, להצפין להם את הרשת ודרכן להגיע לאלפי לקוחות ולהצפין גם את הרשתות שלהם.
חברת Kaseya השביתה את השירותים שלה והוציאה הודעה דחופה בה היא מבקשת מהלקוחות להשבית את השרתים של Keseya הנמצאים בארגון במהירות האפשרית.
דרישות הכופר של קבוצת REvil משתנים ככל הנראה בין הלקוחות כאשר מהלקוחות הגדולים הקבוצה דורשת דמי כופר של 5 מיליון דולר בעוד מלקוחות קטנים יותר דורשת הקבוצה 45,000 דולר.
https://news.1rj.ru/str/CyberSecurityIL/1135
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/
חברת Kaseya מאפשרת לארגונים לשלוח עדכוני תוכנה ללקוחות וכן לנטר את הפעילות אצל הלקוח, נכון לעכשיו נראה כי קבוצת Revil הצליחה להגיע לכ-40 ארגונים גדולים העושים שימוש במערכת של Kaseya, להצפין להם את הרשת ודרכן להגיע לאלפי לקוחות ולהצפין גם את הרשתות שלהם.
חברת Kaseya השביתה את השירותים שלה והוציאה הודעה דחופה בה היא מבקשת מהלקוחות להשבית את השרתים של Keseya הנמצאים בארגון במהירות האפשרית.
דרישות הכופר של קבוצת REvil משתנים ככל הנראה בין הלקוחות כאשר מהלקוחות הגדולים הקבוצה דורשת דמי כופר של 5 מיליון דולר בעוד מלקוחות קטנים יותר דורשת הקבוצה 45,000 דולר.
https://news.1rj.ru/str/CyberSecurityIL/1135
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/
ענקית הביטוח AJG שבארה"ב מדווח על דלף מידע לאחר מתקפת כופר שהתרחשה בשנת 2020
בהודעה שהוציאה החברה היא מדווחת כי בין יוני 2020 לספטמבר 2020 גורם בלתי מורשה הצליח לגשת לרשת הפנימית של הארגון ולמידע רגיש של לקוחות, כתוצאה מהמתקפה השביתה החברה את כל רשת התקשורת.
בהודעה ששלחה החברה לרשויות היא מוסרת כי 7,376 לקוחות נפגעו.
ככל הנראה המידע שהגיע לידי התקופים כולל רשומות רפואיות, מספרי ביטוח לאומי, צילומי ת.ז, רישיונות נהיגה ועוד.
חברת AJG מעסיקה כ-33,000 עובדים ב-49 מדינות.
https://news.1rj.ru/str/CyberSecurityIL/1136
https://www.prnewswire.com/news-releases/arthur-j-gallagher--co-provides-notice-of-data-security-event-301323732.html
בהודעה שהוציאה החברה היא מדווחת כי בין יוני 2020 לספטמבר 2020 גורם בלתי מורשה הצליח לגשת לרשת הפנימית של הארגון ולמידע רגיש של לקוחות, כתוצאה מהמתקפה השביתה החברה את כל רשת התקשורת.
בהודעה ששלחה החברה לרשויות היא מוסרת כי 7,376 לקוחות נפגעו.
ככל הנראה המידע שהגיע לידי התקופים כולל רשומות רפואיות, מספרי ביטוח לאומי, צילומי ת.ז, רישיונות נהיגה ועוד.
חברת AJG מעסיקה כ-33,000 עובדים ב-49 מדינות.
https://news.1rj.ru/str/CyberSecurityIL/1136
https://www.prnewswire.com/news-releases/arthur-j-gallagher--co-provides-notice-of-data-security-event-301323732.html
רשת הסופרמרקטים השבדית Coop סגרה כ-500 סניפים לאחר שהושפעה מהמתקפה על Kaseya.
הרשת, שמקבלת שירותים מחברת Visma נאלצה להשבית את רוב סניפי הרשת (500 מתוך 800) לאחר שחברת Visma עשתה שימוש בשירותים של חברת Kaseya והותקפה ע"י קבוצת REvil.
חברת Visma מספקת לחברת Coop שירותים שונים הקשורים למערכות התשלום בסופרמרקטים, כתוצאה מהמתקפה עמדות התשלום הושבתו מה שהוביל להשבתה של הסניפים.
לחברת Visma יש כמיליון לקוחות בעולם וככל הנראה רבים מהלקוחות הושפעו מהמתקפה ודיווחים דומים יגיעו בהמשך.
https://news.1rj.ru/str/CyberSecurityIL/1137
https://www.bleepingcomputer.com/news/security/coop-supermarket-closes-500-stores-after-kaseya-ransomware-attack/
הרשת, שמקבלת שירותים מחברת Visma נאלצה להשבית את רוב סניפי הרשת (500 מתוך 800) לאחר שחברת Visma עשתה שימוש בשירותים של חברת Kaseya והותקפה ע"י קבוצת REvil.
חברת Visma מספקת לחברת Coop שירותים שונים הקשורים למערכות התשלום בסופרמרקטים, כתוצאה מהמתקפה עמדות התשלום הושבתו מה שהוביל להשבתה של הסניפים.
לחברת Visma יש כמיליון לקוחות בעולם וככל הנראה רבים מהלקוחות הושפעו מהמתקפה ודיווחים דומים יגיעו בהמשך.
https://news.1rj.ru/str/CyberSecurityIL/1137
https://www.bleepingcomputer.com/news/security/coop-supermarket-closes-500-stores-after-kaseya-ransomware-attack/
חברת Brenntag העוסקת בהפצה של חומרים כימיקלים ורכיבים שונים, הותקפה במתקפת כופר ושילמה 4.4 מיליון דולר לקבוצת DarkSide.
במידע שפירסמה החברה היא מדווחת כי בחודש אפריל 2021 היא הותקפה במתקפת כופר ע"י קבוצת DarkSide שהצליחו לגשת לרשת הפנימית של החברה, להצפין ולגנוב מידע השייך לחברה וכ-6,700 לקוחות.
דמי הכופר עמדו על 6.7 מיליון דולר אך לאחר משא ומתן שילמה החברה 4.4 מיליון דולר תמורת מפתח הפיענוח ואי הפצת הקבצים ע"י קבוצת DarkSide.
https://news.1rj.ru/str/CyberSecurityIL/1138
https://www.bleepingcomputer.com/news/security/us-chemical-distributor-shares-info-on-darkside-ransomware-data-theft/
במידע שפירסמה החברה היא מדווחת כי בחודש אפריל 2021 היא הותקפה במתקפת כופר ע"י קבוצת DarkSide שהצליחו לגשת לרשת הפנימית של החברה, להצפין ולגנוב מידע השייך לחברה וכ-6,700 לקוחות.
דמי הכופר עמדו על 6.7 מיליון דולר אך לאחר משא ומתן שילמה החברה 4.4 מיליון דולר תמורת מפתח הפיענוח ואי הפצת הקבצים ע"י קבוצת DarkSide.
https://news.1rj.ru/str/CyberSecurityIL/1138
https://www.bleepingcomputer.com/news/security/us-chemical-distributor-shares-info-on-darkside-ransomware-data-theft/
ב-19 ביולי (10:00-11:30) תקיים AWS וובינר שיעסוק בשימוש ב-Machine learning ע"י חברות סייבר המפתחות מוצרי הגנה.
מדובר בוובינר הראשון מתוך סדרת מפגשים בנושא ML for Cyber המיועדים לחוקרים, מפתחים, מנהלי מוצר, Data scientists וכו'.
הוובינר יועבר בשפה העברית.
מוזמנים להירשם כאן.
https://news.1rj.ru/str/CyberSecurityIL/1139
מדובר בוובינר הראשון מתוך סדרת מפגשים בנושא ML for Cyber המיועדים לחוקרים, מפתחים, מנהלי מוצר, Data scientists וכו'.
הוובינר יועבר בשפה העברית.
מוזמנים להירשם כאן.
https://news.1rj.ru/str/CyberSecurityIL/1139
משרד העבודה והתעשייה בוושינגטון מדווח על דליפת מידע בעקבות מתקפת כופר על אחד מספקי המשרד.
בהודעה שפירסם המשרד הוא מדווח כי ספק של המשרד- Pacific Market Research, המבצע עבור המשרד סקרים שונים, הותקף במתקפת כופר במהלכה נגנב מידע של 16,446 מבקשי עבודה.
המידע שנגנב כולל פרטי התקשרות, תאריכי לידה ומספרי תביעות לדמי אבטלה.
מלבד גניבת המידע מדווחת חברת PMR כי שרתי החברה הוצפנו.
https://news.1rj.ru/str/CyberSecurityIL/1140
https://www.spokesman.com/stories/2021/jul/01/ransomware-attack-may-have-exposed-personal-data-i/
בהודעה שפירסם המשרד הוא מדווח כי ספק של המשרד- Pacific Market Research, המבצע עבור המשרד סקרים שונים, הותקף במתקפת כופר במהלכה נגנב מידע של 16,446 מבקשי עבודה.
המידע שנגנב כולל פרטי התקשרות, תאריכי לידה ומספרי תביעות לדמי אבטלה.
מלבד גניבת המידע מדווחת חברת PMR כי שרתי החברה הוצפנו.
https://news.1rj.ru/str/CyberSecurityIL/1140
https://www.spokesman.com/stories/2021/jul/01/ransomware-attack-may-have-exposed-personal-data-i/
שירות LimeVpn הותקף ע"י האקר שמציע כעת למכירה את כל מאגר הלקוחות, כולל מפתחות הצפנה.
ההאקר שפרץ לאתר טוען שגנב מאגר המידע של כ-69K משתמשים הכולל שמות משתמשים, סיסמאות גלויות, כתובות IP, מידע פיננסי וכן מפתחות הצפנה.
אתר LimeVpn מאשר את המתקפה ומוסר כי: "שרתי הגיבוי הותקפו אף הם, והתוקף איפס את כל סיסמאות הגישה שלנו לניהול המערכת" 🙈
בשלב זה השירות מושבת ואתר האינטרנט של LimeVpn אינו פעיל.
https://news.1rj.ru/str/CyberSecurityIL/1141
https://www.ehackingnews.com/2021/07/69k-users-affected-in-limevpn-data.html
ההאקר שפרץ לאתר טוען שגנב מאגר המידע של כ-69K משתמשים הכולל שמות משתמשים, סיסמאות גלויות, כתובות IP, מידע פיננסי וכן מפתחות הצפנה.
אתר LimeVpn מאשר את המתקפה ומוסר כי: "שרתי הגיבוי הותקפו אף הם, והתוקף איפס את כל סיסמאות הגישה שלנו לניהול המערכת" 🙈
בשלב זה השירות מושבת ואתר האינטרנט של LimeVpn אינו פעיל.
https://news.1rj.ru/str/CyberSecurityIL/1141
https://www.ehackingnews.com/2021/07/69k-users-affected-in-limevpn-data.html
עדכון קצר לגבי המתקפה על Kaseya ודרישת הכופר של REvil:
החברה ידעה על הפגיעות במערכת לאחר שחוקר אבט"מ דיווח לה על כך, מתברר שעד שב-Kaseya הספיקו לוודא את הפגיעות ולהוציא תיקון גם קבוצת REvil זיהתה את הפגיעות וניצחה במירוץ כך שהספיקה לנצל את החולשה לפני ש-Kaseya הוציאו תיקון.
החולשה אגב קיבלה את המספר CVE-2021-30116.
בנוגע לדרישת הכופר, בהתחלה דווח כי מהספקים הגדולים דורשת REvil דמי כופר של 5 מיליון דולר בעוד מהחברות הקטנות יותר שנפגעו היא דורשת 45,000 דולר, כעת, לאחר שנחשפו התכתבויות בין קבוצת REvil לקרבנות מתברר כי הסכום של 45,000 דולר הוא עבור סיומת אחת של קבצים (File Extension), ארגון שרוצה לקבל מפתח הצפנה עבור מספר סיומות ייאלץ לשלם דמי כופר של מאות אלפי דולרים.
כמו כן מההתכתבויות עולה שקבוצת REvil לא גנבה מידע מהקרבנות אלא רק הצפינה את המידע.
נראה שהפעם מדובר בשיטת הצפנה שונה, לא זכור לי שבעבר ראינו קבוצות תקיפה שהצפינו כל סיומת במפתח הצפנה שונה (תקנו אותי אם אני טועה) 🧐
עדכון נוסף: קבוצת REvil מציעים שחרור של מפתחות ההצפנה עבור כל הלקוחות שנפגעו בבת אחת תמורת 70 מיליון דולר.
תמונות מצ"ב בתגובות.
https://news.1rj.ru/str/CyberSecurityIL/1142
החברה ידעה על הפגיעות במערכת לאחר שחוקר אבט"מ דיווח לה על כך, מתברר שעד שב-Kaseya הספיקו לוודא את הפגיעות ולהוציא תיקון גם קבוצת REvil זיהתה את הפגיעות וניצחה במירוץ כך שהספיקה לנצל את החולשה לפני ש-Kaseya הוציאו תיקון.
החולשה אגב קיבלה את המספר CVE-2021-30116.
בנוגע לדרישת הכופר, בהתחלה דווח כי מהספקים הגדולים דורשת REvil דמי כופר של 5 מיליון דולר בעוד מהחברות הקטנות יותר שנפגעו היא דורשת 45,000 דולר, כעת, לאחר שנחשפו התכתבויות בין קבוצת REvil לקרבנות מתברר כי הסכום של 45,000 דולר הוא עבור סיומת אחת של קבצים (File Extension), ארגון שרוצה לקבל מפתח הצפנה עבור מספר סיומות ייאלץ לשלם דמי כופר של מאות אלפי דולרים.
כמו כן מההתכתבויות עולה שקבוצת REvil לא גנבה מידע מהקרבנות אלא רק הצפינה את המידע.
נראה שהפעם מדובר בשיטת הצפנה שונה, לא זכור לי שבעבר ראינו קבוצות תקיפה שהצפינו כל סיומת במפתח הצפנה שונה (תקנו אותי אם אני טועה) 🧐
עדכון נוסף: קבוצת REvil מציעים שחרור של מפתחות ההצפנה עבור כל הלקוחות שנפגעו בבת אחת תמורת 70 מיליון דולר.
תמונות מצ"ב בתגובות.
https://news.1rj.ru/str/CyberSecurityIL/1142
המתקפה על Kaseya מגיעה לניו זילנד, גרמניה, הולנד ועוד: 100 גני ילדים, 11 בתי ספר וחברות IT.
בניו זילנד ישנם בתי ספר וגנים שנותקו מרשת האינטרנט, חלקם מאשרים שבוצעה גישה בלתי מורשית למידע וחלקם נותקו מהרשת ליתר ביטחון.
בגרמניה והולנד מדווח כי מספר חברות IT נפגעו מהמתקפה ודרכם נפגעו גם חלק גדול מהלקוחות.
(בהולנד מדווח על חברות VelzArt ו- Hoppenbrouwer Techniek)
חברת ESET זיהתה קורבנות בלפחות 17 מדינות, כולל בריטניה, דרום אפריקה, קנדה, ארגנטינה, מקסיקו, אינדונזיה, ניו זילנד וקניה.
https://news.1rj.ru/str/CyberSecurityIL/1143
https://www.rnz.co.nz/news/national/446225/kaseya-ransomware-attack-hits-new-zealand-kindergartens
בניו זילנד ישנם בתי ספר וגנים שנותקו מרשת האינטרנט, חלקם מאשרים שבוצעה גישה בלתי מורשית למידע וחלקם נותקו מהרשת ליתר ביטחון.
בגרמניה והולנד מדווח כי מספר חברות IT נפגעו מהמתקפה ודרכם נפגעו גם חלק גדול מהלקוחות.
(בהולנד מדווח על חברות VelzArt ו- Hoppenbrouwer Techniek)
חברת ESET זיהתה קורבנות בלפחות 17 מדינות, כולל בריטניה, דרום אפריקה, קנדה, ארגנטינה, מקסיקו, אינדונזיה, ניו זילנד וקניה.
https://news.1rj.ru/str/CyberSecurityIL/1143
https://www.rnz.co.nz/news/national/446225/kaseya-ransomware-attack-hits-new-zealand-kindergartens