מחפשים הכנסה מהצד? קבוצת התקיפה LockBit מפרסמת מודעת דרושים לשותפים חדשים ומעדכנת כי הם הוציאו גרסה חדשה לתוכנת ההצפנה, מהירה יותר ואיכותית יותר.

לאחר שמספר פורומים חסמו את הפעילות בנושא כופר, קבוצות התקיפה עברו לפרסם במקומות אחרים, בהודעה שמפרסמת קבוצת LockBit (שפעילה מאז ספטמבר 2019) באתר של הקבוצה היא מעדכנת כי היא מחפשת שותפים חדשים לפעילות ה-RAAS של הקבוצה:

"כל מה שאתם צריכים לעשות זה להשיג גישה לרשת הליבה בארגון, משם LockBit 2.0 תעשה את השאר"

כד לשכנע את המתלבטים, הקבוצה מפרסמת נתונים אודות מהירות ההצפנה ומשיכת המידע של תכנת LockBit 2.0 החדשה, חלק מהתכונות של התכנה החדשה כוללות:

ממשק ניהול ברשת Tor, חדרי צ'ט עם מנהלי הקבוצה, הפצה אוטו' של הנוזקה ברשת הארגון, חסימת כל שירותי האבטחה הארגוניים שיכולים למנוע את תהליך ההצפנה, מחיקת גיבויים, מחיקה עצמית של לוגים בכדי לשבש את המעקב, הדפסת דרישות הכופר במדפסות הארגון, ועוד ועוד....

(תמונות מצ"ב בתגובות)

https://news.1rj.ru/str/CyberSecurityIL/1125

בית חולים בפורטוגל מדווח על שיבוש בפעילות בשל מתקפת סייבר.

בית החולים Hospital do Divino Espírito Santo מדווח כי בשל מתקפת סייבר חלים שיבושים בפעילות של בית החולים ובמתן תשובות לבדיקות קורונה.

נכון לעכשיו אתר האינטרנט של בית החולים למטה ואין מידע נוסף על סוג התקיפה, בהודעה שפירסם בית החולים בפייסבוק הוא מדווח כי ייתכנו עיכובים בכל פעילות הדורשת משאבי מחשוב וכי רשת האינטרנט הפנימית של בית החולים הושבתה, בשלב זה בית החולים מתעדף מתן תשובות לבדיקות קורונה חיוביות.

https://news.1rj.ru/str/CyberSecurityIL/1126

https://www.databreaches.net/portugal-cyberattack-on-hospital-do-divino-espirito-santo-impacting-notification-of-covid-19-test-results/

בפעם השניה: חוקר אבט"מ הצליח לפרוץ לשרתים בחברת מייקרוסופט באמצעות ניצול מנגנון השימוש בספריות קוד פתוח.

לפני מספר חודשים התפרסם כי חוקר אבט"מ הצליח לפרוץ לעשרות חברות, כולל מיקרוסופט, באמצעות ניצול מנגנון השימוש בספריות קוד פתוח.

כעת חוקר אבט"מ נוסף מפרסם כי הצליח באותה דרך להיכנס שוב לשרתים של מייקרוסופט, במקרה הזה לשרתי הפיתוח של המשחק Halo, ולקבל מידע מהשרתים.

מייקרוסופט בתגובה: "טיפלנו בממצא עוד לפני הדיווח של החוקר, אין השפעה על הלקוחות"

https://news.1rj.ru/str/CyberSecurityIL/1127

https://www.bleepingcomputer.com/news/security/microsofts-halo-dev-site-breached-using-dependency-hijacking/

בית החולים UMC שבלאס וגאס הותקף במתקפת כופר ע"י קבוצת REvil.

קבוצת REvil פירסמה באתר ההדלפות שלה כי פרצה לרשת של בית החולים ואף פירסמה מקבץ של מסמכים פנימיים שנגנבו מתוך הרשת וכללים פרטים מזהים של לקוחות ועובדים.

בית החולים פירסם בתגובה כי אכן זוהתה פעילות חשודה ברשת המחשוב, אך אין לכך השפעה על הפעילות השוטפת של בית החולים.

בשלב זה לא ידוע מה סכום הכופר הנדרש ומה סטטוס של רשת המחשוב בתוך בית החולים.

https://news.1rj.ru/str/CyberSecurityIL/1128

https://www.databreaches.net/university-medical-center-of-southern-nevada-allegedly-attacked-by-revil-threat-actors/

דירוג מעצמות הסייבר: ישראל בין המדינות המובילות בעולם.

ישראל היא אחת מבין מעצמות הסייבר המובילות ביותר בעולם, קובע מחקר חדש שביצע מכון "IISS" - מכון בינלאומי ללימודים אסטרטגיים. המכון בחן זו השנה השנייה את מעצמות הסייבר החזקות ביותר בעולם, והציב את ישראל באותה הרמה של רוסיה, סין, צרפת ובריטניה, והרחק מעל איראן וצפון קוריאה.

המחקר נועד לסייע למקבלי החלטות על ידי הדגשת יכולות הסייבר של כל מדינה, לצד ממשלות ותאגידים שיכולים לחשב סיכונים והשקעות במדינות הללו. החוקרים בחנו את יכולות המדינות בשבע קטגוריות שונות – אסטרטגיה ודוקטרינה, שלטון, פיקוד ושליטה, העצמת סייבר ותלות בה, אבטחה ועמידות של הסייבר, מנהיגות עולמית בענייני מרחב סייבר ויכולת סייבר פוגענית.

במקום הראשון מדורגת ארצות הברית כמעצמת הסייבר המובילה בעולם. בדירוג השני מוצבים ללא מספור ביניהם שבע מדינות – אוסטרליה, קנדה, סין, צרפת, רוסיה, בריטניה וישראל. על פי המחקר רוסיה וסין ככל הנראה עולות על כל המדינות האחרות למעט ארה"ב.

ישראל היום

https://news.1rj.ru/str/CyberSecurityIL/1129

מוזמנים לעיין במחקר המלא כאן 👇🏻

נציג החברה: לאחר שנשלם את דמי הכופר נרצה לקבל את כל המידע שגנבתם מאיתנו כדי לדעת מה בדיוק נגנב ולעדכן את הלקוחות.
נציג קבוצת REvil: אנחנו מספקים רק רשימה של המידע שנגנב, את המידע המלא לא נוכל לספק כי זה מפר את תנאי הגנת הפרטיות שלנו.... 🤣

כך ענה נציג קבוצת REvil לנציג של חברת UnitingCare שלמרות זאת שילמה לאחרונה דמי כופר של מאות אלפי דולרים תמורת מפתח הפיענוח והבטחה של REvil למחיקת הקבצים שנגנבו....

מקרה דומה אירע השבוע עם חברה המספקת ביטוחי רכב שהותקפה ע"י קבוצת REvil, לפני התשלום קבוצת REvil טענה שגנבה כמויות של מידע מרשת החברה, אך לאחר התשלום (של 25k$) הנציג של REvil סיפק את מפתח הפיענוח ואת סיסמת הדומיין אדמין ששונתה אך טען שהם בכלל לא גנבו מידע מתוך הרשת.

ברור שיש לנו עסק עם שקרנים, השאלה אם המוניטין שבנו לעצמם מאפשר לקבוצת REvil "לזלזל" בתהליך ורק להצפין קבצים ולאיים בפרסום המידע, כשבפועל הם כבר לא טורחים לגנוב באמת מידע מתוך הרשת...

אם חברות היו יודעות שהמידע רק הוצפן ולא באמת נגנב, האם היו משלמים בכל זאת?

מה דעתכם?

https://news.1rj.ru/str/CyberSecurityIL/1131

מערך הסייבר הלאומי:

התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה Windows

שלום רב,

לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.

הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.

טרם פורסם עדכון אבטחה לפגיעות. עד לפרסום עדכון אבטחה, מומלץ מאד לנטרל שירות זה בכל העמדות והשרתים הרגישים בארגון, ובפרט בשרתי Domain Controller או בעמדות של מנהלנים

https://news.1rj.ru/str/CyberSecurityIL/1132

קבוצת REvil תקפה מעל 1,000 ארגונים לאחר שפרצה לחברת Kaseya המספקת שירותים לחברות שונות.

חברת Kaseya מאפשרת לארגונים לשלוח עדכוני תוכנה ללקוחות וכן לנטר את הפעילות אצל הלקוח, נכון לעכשיו נראה כי קבוצת Revil הצליחה להגיע לכ-40 ארגונים גדולים העושים שימוש במערכת של Kaseya, להצפין להם את הרשת ודרכן להגיע לאלפי לקוחות ולהצפין גם את הרשתות שלהם.

חברת Kaseya השביתה את השירותים שלה והוציאה הודעה דחופה בה היא מבקשת מהלקוחות להשבית את השרתים של Keseya הנמצאים בארגון במהירות האפשרית.

דרישות הכופר של קבוצת REvil משתנים ככל הנראה בין הלקוחות כאשר מהלקוחות הגדולים הקבוצה דורשת דמי כופר של 5 מיליון דולר בעוד מלקוחות קטנים יותר דורשת הקבוצה 45,000 דולר.

https://news.1rj.ru/str/CyberSecurityIL/1135

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/

ענקית הביטוח AJG שבארה"ב מדווח על דלף מידע לאחר מתקפת כופר שהתרחשה בשנת 2020

בהודעה שהוציאה החברה היא מדווחת כי בין יוני 2020 לספטמבר 2020 גורם בלתי מורשה הצליח לגשת לרשת הפנימית של הארגון ולמידע רגיש של לקוחות, כתוצאה מהמתקפה השביתה החברה את כל רשת התקשורת.

בהודעה ששלחה החברה לרשויות היא מוסרת כי 7,376 לקוחות נפגעו.
ככל הנראה המידע שהגיע לידי התקופים כולל רשומות רפואיות, מספרי ביטוח לאומי, צילומי ת.ז, רישיונות נהיגה ועוד.

חברת AJG מעסיקה כ-33,000 עובדים ב-49 מדינות.

https://news.1rj.ru/str/CyberSecurityIL/1136

https://www.prnewswire.com/news-releases/arthur-j-gallagher--co-provides-notice-of-data-security-event-301323732.html

רשת הסופרמרקטים השבדית Coop סגרה כ-500 סניפים לאחר שהושפעה מהמתקפה על Kaseya.

הרשת, שמקבלת שירותים מחברת Visma נאלצה להשבית את רוב סניפי הרשת (500 מתוך 800) לאחר שחברת Visma עשתה שימוש בשירותים של חברת Kaseya והותקפה ע"י קבוצת REvil.

חברת Visma מספקת לחברת Coop שירותים שונים הקשורים למערכות התשלום בסופרמרקטים, כתוצאה מהמתקפה עמדות התשלום הושבתו מה שהוביל להשבתה של הסניפים.

לחברת Visma יש כמיליון לקוחות בעולם וככל הנראה רבים מהלקוחות הושפעו מהמתקפה ודיווחים דומים יגיעו בהמשך.

https://news.1rj.ru/str/CyberSecurityIL/1137

https://www.bleepingcomputer.com/news/security/coop-supermarket-closes-500-stores-after-kaseya-ransomware-attack/

חברת Brenntag העוסקת בהפצה של חומרים כימיקלים ורכיבים שונים, הותקפה במתקפת כופר ושילמה 4.4 מיליון דולר לקבוצת DarkSide.

במידע שפירסמה החברה היא מדווחת כי בחודש אפריל 2021 היא הותקפה במתקפת כופר ע"י קבוצת DarkSide שהצליחו לגשת לרשת הפנימית של החברה, להצפין ולגנוב מידע השייך לחברה וכ-6,700 לקוחות.

דמי הכופר עמדו על 6.7 מיליון דולר אך לאחר משא ומתן שילמה החברה 4.4 מיליון דולר תמורת מפתח הפיענוח ואי הפצת הקבצים ע"י קבוצת DarkSide.

https://news.1rj.ru/str/CyberSecurityIL/1138

https://www.bleepingcomputer.com/news/security/us-chemical-distributor-shares-info-on-darkside-ransomware-data-theft/

ב-19 ביולי (10:00-11:30) תקיים AWS וובינר שיעסוק בשימוש ב-Machine learning ע"י חברות סייבר המפתחות מוצרי הגנה.

מדובר בוובינר הראשון מתוך סדרת מפגשים בנושא ML for Cyber המיועדים לחוקרים, מפתחים, מנהלי מוצר, Data scientists וכו'.

הוובינר יועבר בשפה העברית.

מוזמנים להירשם כאן.

https://news.1rj.ru/str/CyberSecurityIL/1139

משרד העבודה והתעשייה בוושינגטון מדווח על דליפת מידע בעקבות מתקפת כופר על אחד מספקי המשרד.

בהודעה שפירסם המשרד הוא מדווח כי ספק של המשרד- Pacific Market Research, המבצע עבור המשרד סקרים שונים, הותקף במתקפת כופר במהלכה נגנב מידע של 16,446 מבקשי עבודה.

המידע שנגנב כולל פרטי התקשרות, תאריכי לידה ומספרי תביעות לדמי אבטלה.
מלבד גניבת המידע מדווחת חברת PMR כי שרתי החברה הוצפנו.

https://news.1rj.ru/str/CyberSecurityIL/1140

https://www.spokesman.com/stories/2021/jul/01/ransomware-attack-may-have-exposed-personal-data-i/

שירות LimeVpn הותקף ע"י האקר שמציע כעת למכירה את כל מאגר הלקוחות, כולל מפתחות הצפנה.

ההאקר שפרץ לאתר טוען שגנב מאגר המידע של כ-69K משתמשים הכולל שמות משתמשים, סיסמאות גלויות, כתובות IP, מידע פיננסי וכן מפתחות הצפנה.

אתר LimeVpn מאשר את המתקפה ומוסר כי: "שרתי הגיבוי הותקפו אף הם, והתוקף איפס את כל סיסמאות הגישה שלנו לניהול המערכת" 🙈

בשלב זה השירות מושבת ואתר האינטרנט של LimeVpn אינו פעיל.

https://news.1rj.ru/str/CyberSecurityIL/1141

https://www.ehackingnews.com/2021/07/69k-users-affected-in-limevpn-data.html

עדכון קצר לגבי המתקפה על Kaseya ודרישת הכופר של REvil:

החברה ידעה על הפגיעות במערכת לאחר שחוקר אבט"מ דיווח לה על כך, מתברר שעד שב-Kaseya הספיקו לוודא את הפגיעות ולהוציא תיקון גם קבוצת REvil זיהתה את הפגיעות וניצחה במירוץ כך שהספיקה לנצל את החולשה לפני ש-Kaseya הוציאו תיקון.
החולשה אגב קיבלה את המספר CVE-2021-30116.

בנוגע לדרישת הכופר, בהתחלה דווח כי מהספקים הגדולים דורשת REvil דמי כופר של 5 מיליון דולר בעוד מהחברות הקטנות יותר שנפגעו היא דורשת 45,000 דולר, כעת, לאחר שנחשפו התכתבויות בין קבוצת REvil לקרבנות מתברר כי הסכום של 45,000 דולר הוא עבור סיומת אחת של קבצים (File Extension), ארגון שרוצה לקבל מפתח הצפנה עבור מספר סיומות ייאלץ לשלם דמי כופר של מאות אלפי דולרים.
כמו כן מההתכתבויות עולה שקבוצת REvil לא גנבה מידע מהקרבנות אלא רק הצפינה את המידע.

נראה שהפעם מדובר בשיטת הצפנה שונה, לא זכור לי שבעבר ראינו קבוצות תקיפה שהצפינו כל סיומת במפתח הצפנה שונה (תקנו אותי אם אני טועה) 🧐

עדכון נוסף: קבוצת REvil מציעים שחרור של מפתחות ההצפנה עבור כל הלקוחות שנפגעו בבת אחת תמורת 70 מיליון דולר.

תמונות מצ"ב בתגובות.

https://news.1rj.ru/str/CyberSecurityIL/1142

המתקפה על Kaseya מגיעה לניו זילנד, גרמניה, הולנד ועוד: 100 גני ילדים, 11 בתי ספר וחברות IT.

בניו זילנד ישנם בתי ספר וגנים שנותקו מרשת האינטרנט, חלקם מאשרים שבוצעה גישה בלתי מורשית למידע וחלקם נותקו מהרשת ליתר ביטחון.

בגרמניה והולנד מדווח כי מספר חברות IT נפגעו מהמתקפה ודרכם נפגעו גם חלק גדול מהלקוחות.
(בהולנד מדווח על חברות VelzArt ו- Hoppenbrouwer Techniek)

חברת ESET זיהתה קורבנות בלפחות 17 מדינות, כולל בריטניה, דרום אפריקה, קנדה, ארגנטינה, מקסיקו, אינדונזיה, ניו זילנד וקניה.

https://news.1rj.ru/str/CyberSecurityIL/1143

https://www.rnz.co.nz/news/national/446225/kaseya-ransomware-attack-hits-new-zealand-kindergartens

מטה הסייבר הלאומי של ארה"ב וה-FBI הוציאו הנחיות אבט"מ לארגונים שנפגעו מהמתקפה על Kaseya.

להלן תמצית ההנחיות שפורסמו:

🔺 הורידו את כלי הניטור שפירסמה Kaseya וסירקו את הרשת על מנת לזהות הימצאות של קבצים זדוניים.

🔺הפעילו אימות רב שלבי על כל חשבון שנשאר בבעלות הארגון.

🔺 הגבילו את כלי הניטור לכתובות ip מורשות בלבד.

🔺 העבירו את כתובות ה-ip של כלי הניטור לסגמנט נפרד המיועד רק לממשקי ניהול.

🔺וודאו כי הגיבויים שברשותכם נגישים ומנותקים מרשת התקשורת של הארגון.

🔺בטלו את מערך העדכונים האוטומטי ועברו למערך עדכונים ידני במעקב צמוד אחרי המלצות היצרנים.

(תגידו, לא מאוחר מדי בשביל ההמלצות האלה? 🤔)

בינתיים דיווחים נוספים מדברים על כך שקבוצת REvil הורידו את דמי הכופר עבור מפתחות הצפנה כלליים לסכום של 50 מיליון דולר.

https://news.1rj.ru/str/CyberSecurityIL/1145

https://www.bleepingcomputer.com/news/security/cisa-fbi-share-guidance-for-victims-of-kaseya-ransomware-attack/

מתקפת סקאם מושקעת כנגד לקוחות Ledger: האקרים שלחו ללקוחות מכשירים מזויפים כדי לגנוב מטבעות דיגיטליים.

אי שם בדצמבר 2020 דיווחתי בערוץ על דליפת מאגר הלקוחות של חברת Ledger, כעת, חצי שנה אחרי, המתקפה כנגד הלקוחות יצאה לדרך.

חבילות נשלחו לכתובת המגורים של לקוחות Ledger, כאשר בתוך החבילות נמצא מכשיר Ledger חדש ומכתב ממנכ"ל החברה המסביר מדוע על הלקוחות להחליף את המכשיר הישן שברשותם בחדש שנשלח אליהם זה עתה על מנת לחזק את רמת האבטחה.

החבילות שנשלחו הגיעו עם הלוגו של Ledger, קופסאות זהות לקופסאות Ledger, דף הוראות הפעלה וכדו' ונראות לגיטימיות לחלוטין.
כמה לקוחות עירניים שמו לב כי המכתב מהמנכ"ל מכיל שגיאות כתיב וכי בניסיון להפעלת המכשיר החדש התוכנה מבקשת את המפתח הפרטי של המשתמש.

בפועל מדובר במכשיר מזוייף שמטרתו לגנוב את המפתח הפרטי של המשתמש ולשלוח אותו לתוקפים על מנת שאלה יוכלו לגנוב את המטבעות הדיגיטליים של הלקוחות.

(תמונות מצ"ב בתגובות)

https://news.1rj.ru/str/CyberSecurityIL/1146

#קריפטו #הונאה

המתקפה על Kaseya: בעדכון שמוציאה החברה, הכולל גם סרטון הרגעה מהמנכ"ל (מצ"ב), מוסרת החברה כי כ-1,500 ארגונים נפגעו במתקפת כופר.

לטענת החברה מדובר בחלק "קטן" כאשר "רק" 50-60 לקוחות ישירים של Kaseya נפגעו מתוך כ-35,000 לקוחות.
מתוך כמיליון עסקים המקבלים שירותים עקיפים מ-Kaseya "רק" כ-1,500 נפגעו.

עוד מוסרת החברה כי "רק" מודול ה-VSA של החברה נפגע וכי שאר 26 המודולים הינם תקינים ובטוחים לשימוש.
בינתיים ממליצה החברה להמשיך להשאיר את השרתים המנהלים את המערכת מנותקים מרשת האינטרנט.

"אנחנו לא היחידים שהותקפנו, עוד חברות גדולות הותקפו בעבר כמו מייקרוסופט, ג'וניפר ועוד" 🤦🏻‍♂

https://news.1rj.ru/str/CyberSecurityIL/1147