קבוצת REvil תקפה מעל 1,000 ארגונים לאחר שפרצה לחברת Kaseya המספקת שירותים לחברות שונות.

חברת Kaseya מאפשרת לארגונים לשלוח עדכוני תוכנה ללקוחות וכן לנטר את הפעילות אצל הלקוח, נכון לעכשיו נראה כי קבוצת Revil הצליחה להגיע לכ-40 ארגונים גדולים העושים שימוש במערכת של Kaseya, להצפין להם את הרשת ודרכן להגיע לאלפי לקוחות ולהצפין גם את הרשתות שלהם.

חברת Kaseya השביתה את השירותים שלה והוציאה הודעה דחופה בה היא מבקשת מהלקוחות להשבית את השרתים של Keseya הנמצאים בארגון במהירות האפשרית.

דרישות הכופר של קבוצת REvil משתנים ככל הנראה בין הלקוחות כאשר מהלקוחות הגדולים הקבוצה דורשת דמי כופר של 5 מיליון דולר בעוד מלקוחות קטנים יותר דורשת הקבוצה 45,000 דולר.

https://news.1rj.ru/str/CyberSecurityIL/1135

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/

ענקית הביטוח AJG שבארה"ב מדווח על דלף מידע לאחר מתקפת כופר שהתרחשה בשנת 2020

בהודעה שהוציאה החברה היא מדווחת כי בין יוני 2020 לספטמבר 2020 גורם בלתי מורשה הצליח לגשת לרשת הפנימית של הארגון ולמידע רגיש של לקוחות, כתוצאה מהמתקפה השביתה החברה את כל רשת התקשורת.

בהודעה ששלחה החברה לרשויות היא מוסרת כי 7,376 לקוחות נפגעו.
ככל הנראה המידע שהגיע לידי התקופים כולל רשומות רפואיות, מספרי ביטוח לאומי, צילומי ת.ז, רישיונות נהיגה ועוד.

חברת AJG מעסיקה כ-33,000 עובדים ב-49 מדינות.

https://news.1rj.ru/str/CyberSecurityIL/1136

https://www.prnewswire.com/news-releases/arthur-j-gallagher--co-provides-notice-of-data-security-event-301323732.html

רשת הסופרמרקטים השבדית Coop סגרה כ-500 סניפים לאחר שהושפעה מהמתקפה על Kaseya.

הרשת, שמקבלת שירותים מחברת Visma נאלצה להשבית את רוב סניפי הרשת (500 מתוך 800) לאחר שחברת Visma עשתה שימוש בשירותים של חברת Kaseya והותקפה ע"י קבוצת REvil.

חברת Visma מספקת לחברת Coop שירותים שונים הקשורים למערכות התשלום בסופרמרקטים, כתוצאה מהמתקפה עמדות התשלום הושבתו מה שהוביל להשבתה של הסניפים.

לחברת Visma יש כמיליון לקוחות בעולם וככל הנראה רבים מהלקוחות הושפעו מהמתקפה ודיווחים דומים יגיעו בהמשך.

https://news.1rj.ru/str/CyberSecurityIL/1137

https://www.bleepingcomputer.com/news/security/coop-supermarket-closes-500-stores-after-kaseya-ransomware-attack/

חברת Brenntag העוסקת בהפצה של חומרים כימיקלים ורכיבים שונים, הותקפה במתקפת כופר ושילמה 4.4 מיליון דולר לקבוצת DarkSide.

במידע שפירסמה החברה היא מדווחת כי בחודש אפריל 2021 היא הותקפה במתקפת כופר ע"י קבוצת DarkSide שהצליחו לגשת לרשת הפנימית של החברה, להצפין ולגנוב מידע השייך לחברה וכ-6,700 לקוחות.

דמי הכופר עמדו על 6.7 מיליון דולר אך לאחר משא ומתן שילמה החברה 4.4 מיליון דולר תמורת מפתח הפיענוח ואי הפצת הקבצים ע"י קבוצת DarkSide.

https://news.1rj.ru/str/CyberSecurityIL/1138

https://www.bleepingcomputer.com/news/security/us-chemical-distributor-shares-info-on-darkside-ransomware-data-theft/

ב-19 ביולי (10:00-11:30) תקיים AWS וובינר שיעסוק בשימוש ב-Machine learning ע"י חברות סייבר המפתחות מוצרי הגנה.

מדובר בוובינר הראשון מתוך סדרת מפגשים בנושא ML for Cyber המיועדים לחוקרים, מפתחים, מנהלי מוצר, Data scientists וכו'.

הוובינר יועבר בשפה העברית.

מוזמנים להירשם כאן.

https://news.1rj.ru/str/CyberSecurityIL/1139

משרד העבודה והתעשייה בוושינגטון מדווח על דליפת מידע בעקבות מתקפת כופר על אחד מספקי המשרד.

בהודעה שפירסם המשרד הוא מדווח כי ספק של המשרד- Pacific Market Research, המבצע עבור המשרד סקרים שונים, הותקף במתקפת כופר במהלכה נגנב מידע של 16,446 מבקשי עבודה.

המידע שנגנב כולל פרטי התקשרות, תאריכי לידה ומספרי תביעות לדמי אבטלה.
מלבד גניבת המידע מדווחת חברת PMR כי שרתי החברה הוצפנו.

https://news.1rj.ru/str/CyberSecurityIL/1140

https://www.spokesman.com/stories/2021/jul/01/ransomware-attack-may-have-exposed-personal-data-i/

שירות LimeVpn הותקף ע"י האקר שמציע כעת למכירה את כל מאגר הלקוחות, כולל מפתחות הצפנה.

ההאקר שפרץ לאתר טוען שגנב מאגר המידע של כ-69K משתמשים הכולל שמות משתמשים, סיסמאות גלויות, כתובות IP, מידע פיננסי וכן מפתחות הצפנה.

אתר LimeVpn מאשר את המתקפה ומוסר כי: "שרתי הגיבוי הותקפו אף הם, והתוקף איפס את כל סיסמאות הגישה שלנו לניהול המערכת" 🙈

בשלב זה השירות מושבת ואתר האינטרנט של LimeVpn אינו פעיל.

https://news.1rj.ru/str/CyberSecurityIL/1141

https://www.ehackingnews.com/2021/07/69k-users-affected-in-limevpn-data.html

עדכון קצר לגבי המתקפה על Kaseya ודרישת הכופר של REvil:

החברה ידעה על הפגיעות במערכת לאחר שחוקר אבט"מ דיווח לה על כך, מתברר שעד שב-Kaseya הספיקו לוודא את הפגיעות ולהוציא תיקון גם קבוצת REvil זיהתה את הפגיעות וניצחה במירוץ כך שהספיקה לנצל את החולשה לפני ש-Kaseya הוציאו תיקון.
החולשה אגב קיבלה את המספר CVE-2021-30116.

בנוגע לדרישת הכופר, בהתחלה דווח כי מהספקים הגדולים דורשת REvil דמי כופר של 5 מיליון דולר בעוד מהחברות הקטנות יותר שנפגעו היא דורשת 45,000 דולר, כעת, לאחר שנחשפו התכתבויות בין קבוצת REvil לקרבנות מתברר כי הסכום של 45,000 דולר הוא עבור סיומת אחת של קבצים (File Extension), ארגון שרוצה לקבל מפתח הצפנה עבור מספר סיומות ייאלץ לשלם דמי כופר של מאות אלפי דולרים.
כמו כן מההתכתבויות עולה שקבוצת REvil לא גנבה מידע מהקרבנות אלא רק הצפינה את המידע.

נראה שהפעם מדובר בשיטת הצפנה שונה, לא זכור לי שבעבר ראינו קבוצות תקיפה שהצפינו כל סיומת במפתח הצפנה שונה (תקנו אותי אם אני טועה) 🧐

עדכון נוסף: קבוצת REvil מציעים שחרור של מפתחות ההצפנה עבור כל הלקוחות שנפגעו בבת אחת תמורת 70 מיליון דולר.

תמונות מצ"ב בתגובות.

https://news.1rj.ru/str/CyberSecurityIL/1142

המתקפה על Kaseya מגיעה לניו זילנד, גרמניה, הולנד ועוד: 100 גני ילדים, 11 בתי ספר וחברות IT.

בניו זילנד ישנם בתי ספר וגנים שנותקו מרשת האינטרנט, חלקם מאשרים שבוצעה גישה בלתי מורשית למידע וחלקם נותקו מהרשת ליתר ביטחון.

בגרמניה והולנד מדווח כי מספר חברות IT נפגעו מהמתקפה ודרכם נפגעו גם חלק גדול מהלקוחות.
(בהולנד מדווח על חברות VelzArt ו- Hoppenbrouwer Techniek)

חברת ESET זיהתה קורבנות בלפחות 17 מדינות, כולל בריטניה, דרום אפריקה, קנדה, ארגנטינה, מקסיקו, אינדונזיה, ניו זילנד וקניה.

https://news.1rj.ru/str/CyberSecurityIL/1143

https://www.rnz.co.nz/news/national/446225/kaseya-ransomware-attack-hits-new-zealand-kindergartens

מטה הסייבר הלאומי של ארה"ב וה-FBI הוציאו הנחיות אבט"מ לארגונים שנפגעו מהמתקפה על Kaseya.

להלן תמצית ההנחיות שפורסמו:

🔺 הורידו את כלי הניטור שפירסמה Kaseya וסירקו את הרשת על מנת לזהות הימצאות של קבצים זדוניים.

🔺הפעילו אימות רב שלבי על כל חשבון שנשאר בבעלות הארגון.

🔺 הגבילו את כלי הניטור לכתובות ip מורשות בלבד.

🔺 העבירו את כתובות ה-ip של כלי הניטור לסגמנט נפרד המיועד רק לממשקי ניהול.

🔺וודאו כי הגיבויים שברשותכם נגישים ומנותקים מרשת התקשורת של הארגון.

🔺בטלו את מערך העדכונים האוטומטי ועברו למערך עדכונים ידני במעקב צמוד אחרי המלצות היצרנים.

(תגידו, לא מאוחר מדי בשביל ההמלצות האלה? 🤔)

בינתיים דיווחים נוספים מדברים על כך שקבוצת REvil הורידו את דמי הכופר עבור מפתחות הצפנה כלליים לסכום של 50 מיליון דולר.

https://news.1rj.ru/str/CyberSecurityIL/1145

https://www.bleepingcomputer.com/news/security/cisa-fbi-share-guidance-for-victims-of-kaseya-ransomware-attack/

מתקפת סקאם מושקעת כנגד לקוחות Ledger: האקרים שלחו ללקוחות מכשירים מזויפים כדי לגנוב מטבעות דיגיטליים.

אי שם בדצמבר 2020 דיווחתי בערוץ על דליפת מאגר הלקוחות של חברת Ledger, כעת, חצי שנה אחרי, המתקפה כנגד הלקוחות יצאה לדרך.

חבילות נשלחו לכתובת המגורים של לקוחות Ledger, כאשר בתוך החבילות נמצא מכשיר Ledger חדש ומכתב ממנכ"ל החברה המסביר מדוע על הלקוחות להחליף את המכשיר הישן שברשותם בחדש שנשלח אליהם זה עתה על מנת לחזק את רמת האבטחה.

החבילות שנשלחו הגיעו עם הלוגו של Ledger, קופסאות זהות לקופסאות Ledger, דף הוראות הפעלה וכדו' ונראות לגיטימיות לחלוטין.
כמה לקוחות עירניים שמו לב כי המכתב מהמנכ"ל מכיל שגיאות כתיב וכי בניסיון להפעלת המכשיר החדש התוכנה מבקשת את המפתח הפרטי של המשתמש.

בפועל מדובר במכשיר מזוייף שמטרתו לגנוב את המפתח הפרטי של המשתמש ולשלוח אותו לתוקפים על מנת שאלה יוכלו לגנוב את המטבעות הדיגיטליים של הלקוחות.

(תמונות מצ"ב בתגובות)

https://news.1rj.ru/str/CyberSecurityIL/1146

#קריפטו #הונאה

המתקפה על Kaseya: בעדכון שמוציאה החברה, הכולל גם סרטון הרגעה מהמנכ"ל (מצ"ב), מוסרת החברה כי כ-1,500 ארגונים נפגעו במתקפת כופר.

לטענת החברה מדובר בחלק "קטן" כאשר "רק" 50-60 לקוחות ישירים של Kaseya נפגעו מתוך כ-35,000 לקוחות.
מתוך כמיליון עסקים המקבלים שירותים עקיפים מ-Kaseya "רק" כ-1,500 נפגעו.

עוד מוסרת החברה כי "רק" מודול ה-VSA של החברה נפגע וכי שאר 26 המודולים הינם תקינים ובטוחים לשימוש.
בינתיים ממליצה החברה להמשיך להשאיר את השרתים המנהלים את המערכת מנותקים מרשת האינטרנט.

"אנחנו לא היחידים שהותקפנו, עוד חברות גדולות הותקפו בעבר כמו מייקרוסופט, ג'וניפר ועוד" 🤦🏻‍♂

https://news.1rj.ru/str/CyberSecurityIL/1147

🎥🎞📺 סרטים דוקומנטריים העוסקים בנושא סייבר ופרטיות

בהמשך לפוסטים המרוכזים שפירסמתי כאן בעבר וכוללים, קבוצות טלגרם באנגלית ועברית, ספרים, קורסים ופודקאסטים אני מרכז לכם כעת רשימה של סרטים דוקומנטריים העוסקים במרחב הסייבר והפרטיות.

צפייה מהנה ☺️

👇🏻👇🏻

1. הנשק המושלם - The Perfect Weapon -
הסרט עוסק בעלייה של מתקפות הסייבר המתרחשות בין מדינות ומשמשות ככלי מלחמתי לכל דבר ועניין.

2. מסכי עשן- The Social Dilemma
הסרט מציג את הדרכים בהן הרשתות החברתיות אוגרות ועושות שימוש במידע של המשתמשים וכיצד אותן רשתות משפיעות על חיי היומיום.
בסרט משתתפים האנשים שלקחו חלק בהקמה של הרשתות החברתיות השונות.

3. המתקפה המושלמת - The Great Hack
כיצד חברת קיימברידג' אנליטיקה אספה נתונים מחשבונות הפייסבוק של עשרות מיליוני אזרחים על מנת להתאים להם תוכן שישפיע על קבלת החלטות בבחירות לנשיאות בארה"ב.

4. פשעי סייבר - Cyber Crime
עשרה מומחי סייבר דנים במתקפות הסייבר השונות וכיצד מתקפות אלו גורמים להפסדים כספיים, קריסת עסקים ועוד.

5. מתקפת אפס ימים - Zero Days
המתקפה של ישראל וארה"ב כנגד איראן באמצעות תולעת סטקסנט על מנת לשבש את פעילות הגרעין באיראן.

6. סיכון - Risk
סרט המסקר את חייו ופועלו של ג'וליאן אסאנג'- מייסד ועורך ראשי של ויקיליקס- אתר ההדלפות המפרסם מידע שנשלח אליו בעילום שם

7. גרינגו - חייו המסוכנים של ג'ון מקאפי- Gringo: The Dangerous Life of John McAfee
סרט על חייו של ג'ון מקאפי, בעיקר לאחר התקופה שיצר את האנטי וירוס המפורסם ועבר להתגורר בגו'נגל בבליז.

8. אזרח מספר ארבע - Citizenfour
על פועלו של אדוארד סנודן שגנב והדליף מסמכים חסויים כאשר עבד ב-NSA.

9. תנאים והגבלות עשויים לחול Terms and Conditions May Apply
סרט תיעודי זה חושף עד כמה השימוש באינטרנט ובסלולרי מאפשר לתאגידים וממשלות לקבל מידע על אזרחים.

10. המגינים - The Defenders
סרט שהפיקה חברת Cybereason בו היא סוקרים 4 מתקפות סייבר גדולות ועל האנשים מאחורי הקלעים המסייעים בנטרול של מתקפות סייבר.

https://news.1rj.ru/str/CyberSecurityIL/1149

מכירים עוד "סרטי סייבר" טובים?
שתפו בתגובות 😎

2 עדכונים ממערך הסייבר הלאומי:

1. במהלך ה-CyberWeek, בתאריך 20.7.21 בין השעות 09:00-12:00 יתקיים כנס סייבר באוניברסיטת תל אביב באולם "בר שירה".
בכנס ישיק מערך הסייבר את "תורת ההגנה בסייבר לארגון 2.0" לצד הרצאות שונות.
בין המרצים: ראש מערך הסייבר הלאומי, ממלאת מקום ראשת הרשות להגנת הפרטיות, מנכלית איגוד הדירקטורים בפאנל עם דירקטורים שונים, נשיא ISACA ישראל, יו"ר לשכת מבקרי הפנים וכן בכירה ב-CISA.

הכנס כולו ייערך בעברית (למעט ההרצאה של המרצה החיצונית מטעם CISA).

בשלב זה מדובר במפגש פיזי אך ייתכן ובהמשך תתאפשר גם צפייה מרחוק.
השתתפות איננה כרוכה בתשלום.

ניתן להירשם כאן.

2. סייבר בחלל 🚀 -מערך הסייבר בשיתוף אוניברסיטת תל אביב הפיצו מסמך העוסק באיומי סייבר למערכות חלל: מהו המבנה של עולם החלל, מהם איומי הסייבר בתחום, כיצד מתמודדים עם אתגרי הסייבר ועוד.

https://news.1rj.ru/str/CyberSecurityIL/1151

מוזמנים לעיין במסמך המלא כאן 👇🏻

מייקרוסופט משחררת עדכון לפגיעות PrintNightmare אך העדכון שפורסם לא סוגר את הפגיעות.

לפני מספר ימים פורסם כי קיימת פגיעות בשירות ה-Print Spooler הקיים במערכת ההפעלה של מייקרוסופט (CVE-2021-34527)
הפגיעות מאפשרת להאקרים להריץ קוד מרחוק על התחנות ולהשיג הרשאות של משתמש חזק בתחנה.

מייקרוסופט הוציאה אתמול עדכון מערכת שנועד לטפל בפגיעות אך חוקרי אבט"מ מדווחים כי גם לאחר התקנת העדכון הפגיעות עדיין קיימת.

https://news.1rj.ru/str/CyberSecurityIL/1153

https://www.bleepingcomputer.com/news/security/microsoft-printnightmare-now-patched-on-all-windows-versions/

מערכת החינוך ב-ניו סאות' ויילס שבאוסטרליה מושבתת בשל מתקפת סייבר.

מספר שעות אחרי שהודיע משרד החינוך במדינה על מעבר ללמידה מרחוק בשל מגבלות הקורונה הותקף המשרד במתקפת סייבר שבעקבותיה נאלצו להשבית את המערכות השונות.

בהודעות לתקשורת לא נאמר בפירוש, אך מאופי הפעילות נראה כי מדובר במתקפת כופר, בשלב זה מוסרים במשרד החינוך כי הם מטפלים בנושא יחד עם גורמי האכיפה במדינה ובמקביל עובדים על שחזור המידע מהר ככל האפשר.

https://news.1rj.ru/str/CyberSecurityIL/1154

https://www.smh.com.au/national/nsw/nsw-education-department-hit-by-cyber-attack-hours-after-remote-learning-announcement-20210708-p587z7.html

מוכנים לשלם: האקר מציע סכום של מיליוני דולרים עבור רכישה של נוזקות.

חוקרי אבט"מ בחברת Cyble המנטרים פעילות ברשת האפילה זיהו כי האקר מסויים מציע בפורום של האקרים מיליוני דולרים עבור רכישה של נוזקות.

מדובר בהאקר וותיק בעל "מוניטין" חיובי באתר ועל מנת להוכיח את כוונותיו הפקיד ההאקר סכום של כמיליון דולר לארנק דיגיטלי באתר.

בהצעה שמפרסם ההאקר הוא מבקש לרכוש:

1. נוזקה המאפשרת חיבור מרחוק.

2. נוזקות שונות המסוגלות לפעול לא צורך בקבצים מבחוץ-מוכן לשלם עד 150k$

3. נוזקות Zero-Day-מוכן לשלם עד 3 מיליון דולר.

(הרבה מנהלי אבט"מ היו שמחים לתקציב כמו שיש להאקרים 😉)

https://news.1rj.ru/str/CyberSecurityIL/1155

https://cybleinc.com/2021/07/06/threat-actor-seeking-private-0-day-1-million-deposited-in-a-popular-cybercrime-marketplace/

מורגן סטנלי מדווחים כי מידע של לקוחות נגנב לאחר שהאקרים ניצלו חולשה במוצר של Accellion שהיה בשימוש אצל אחד מספקי התאגיד.

החולשה במוצר של Accellion ממשיכה לצוץ מדי פעם כאשר לקוחות נוספים מדווחים על גניבת מידע, כזכור החולשה במוצר (שכבר תוקנה בדצמבר 2020) נוצלה ע"י קבוצות תקיפה שונות (בעיקר קבוצת Clop) על מנת לגנוב מידע רגיש מארגונים.

כעת, תאגיד ההשקעות מורגן סטנלי מדווח כי מידע של הלקוחות דלף לאחר שקבוצות תקיפה ניצלו חולשה במוצר שהיה בשימוש של חברת Guidehouse - ספק של הבנק המחזיק מידע רגיש של לקוחות.

המידע אמנם היה מוצפן אך ב-Guidehouse מדווחים כי יחד עם המידע המוצפן נגנב גם מפתח ההצפנה....

בין המידע שנגנב: שמות של משקיעים, כתובות מגורים, תאריכי לידה, מספרי ביטוח לאומי ועוד.

https://news.1rj.ru/str/CyberSecurityIL/1156

https://www.bleepingcomputer.com/news/security/morgan-stanley-reports-data-breach-after-vendor-accellion-hack/

המתקפה על Kaseya: רוב הלקוחות שנפגעו לא שילמו את דמי הכופר, הסיבה: גיבויים לא נפגעו ומידע לא נגנב.

זוכרים שלפני כמה ימים (עוד לפני Kaseya) שאלתי בערוץ מה יקרה אם REvil יזלזלו בתהליך ורק יצפינו את המידע אך לא יגנבו? האם לקוחות עדיין ישלמו?
אז מתברר שלא, המתקפה על Kaseya שפגעה בכ-1,500 ארגונים לא מצליחה להניב לקבוצת REvil את הרווחים להם ציפתה.

אתר Bleeping מדווח על 2 לקוחות ששילמו (כאשר אחד מהם שילם 220,000 דולר) בעוד שרוב ככל הארגונים שנפגעו בחרו לא לשלם.

הסיבה לאי התשלום היא האופן בו REvil ביצעה את המתקפה.
בשונה ממתקפות כופר קודמות בהן REvil גנבו מידע, הצפינו וגם פגעו בגיבויים, הפעם REvil עבדה בצורה שונה, הפוקוס היה רק על הצפנה, ללא גניבת מידע, כאשר ההצפנה על גיבויים נעשתה באופן אוטו' רק על תיקיות שהכילו את המילה Backup, בפועל בהרבה מהארגונים הגיבוי לא הוצפן ומידע לא נגנב מה שהוביל להחלטה הקלה יחסית לא לשלם את דמי הכופר ולשחזר מידע מהגיבוי.

תפסת מרובה לא תפסת...

https://news.1rj.ru/str/CyberSecurityIL/1157