חוזרת לפעילות? האתרים של קבוצת REvil חזרו לפעול.

למי שלא זוכר, אחרי שתקפו את Kaseya ודרכה הגיעו להמון ארגונים שונים קבוצת REvil הורידה פרופיל וכל האתרים הקשורים לקבוצה הושבתו.

בסקר שהעליתי בזמנו בערוץ שאלתי מי אחראי להשבתת האתרים והקרב בין רוסיה לבין קבוצת REvil היה צמוד, כעת נראה כי האתרים חזרו לפעול, לפחות באופן חלקי.

בלוג ההדלפות הידוע בשם Happy blog חזר לפעול אך בשלב זה לא מפורסמים בו קרבנות חדשים, אתר התקשורת למשא ומתן אף הוא באוויר אך בשלב זה פועל באופן חלקי.

לא ידוע מי עומד מאחורי החזרת האתרים לאוויר, אולי קבוצת REvil, אולי גורמי אכיפה ואולי טעות זמנית 🤷🏻‍♂

https://news.1rj.ru/str/CyberSecurityIL/1298

https://www.bleepingcomputer.com/news/security/revil-ransomwares-servers-mysteriously-come-back-online/

דליפת ענק מאוניברסיטת בר אילן: "הסטודנטים בהיסטריה"

סערה באוניברסיטת בר אילן בעקבות הדלפה של מאות אלפי רשומות עם פרטי סטודנטים ופרטי מרצים, כתובת מייל, סיסמאות ומספרי טלפון. מדובר בגלגול חדש של מתקפת הסייבר על בר אילן שהחלה לפני כשלושה שבועות. לאחר שהאוניברסיטה סירבה לשלם את הכופר שדרש התוקף המכונה darkrypt - לפי הערכות כ-2.5 מיליון דולר - הוא מימש את האיום והחל להדליף מסמכים ובסופו של דבר גם רשימות עם פרטי הסטודנטים והמרצים. המידע מודלף באתר האינטרנט של התוקף ובקבוצה בטלגרם.

בשלב זה קרסה המערכת המטפלת בחשבונות הסטודנטים וככל הנראה גם מערכות נוספות. מערך הספריות והמידע בבר-אילן דיווח: "אנחנו חווים בעיות תקשורות בקמפוס הבוקר שגורמות לנפילת אתרי האוניברסיטה ביניהם גם האתר שלנו לסירוגין". כתוצאה מהקריסה, הסטודנטים אינם יכולים לשנות את הסיסמאות שלהם, שנפרצו. גורם בכיר באוניברסיטה אומר שמדובר בתקלת מתג שאינה קשורה לאירוע הסייבר, אשר התרחשה בעיתוי מצער, וכי היא תתוקן בשעות הקרובות.

סטודנטית שמסמכיה ותמונותיה הודלפו מאיימת לתבוע את האוניברסיטה וכותבת בקבוצת דיון: "דרשתי מהאוניברסיטה שתגן עליי וכמובן שהאוניברסיטה התעלמה בגיבוי טענות משפטיות שמסירות ממנה אחריות". הסטודנטים החלו להחתים את חבריהם על עצומה בתביעה "לתבוע את בר אילן על הנזק שנגרם בגין שחרור המידע", אחרים אומרים כי יפעלו להגשת תביעה ייצוגית.

אחד הסטודנטים שדיברנו איתו אומר: "רובנו קיבלנו את המידע מפוסט בקבוצה בפייסבוק. האוניברסיטה לא פרסמה הודעה לסטודנטים או לסגל ולכן כולם בהלם"

https://news.1rj.ru/str/CyberSecurityIL/1299

https://m.ynet.co.il/articles/r1zuildff

ענקית האינטרנט הרוסית Yandex מדווחת כי שרדה את מתקפת הDdos הגדולה בעולם

רק לפני כשבועיים חברת Cloudflare הודיעה כי הותקפה במתקפת ה-Ddos הגדולה בעולם עם 17.2 מיליון פניות בשניה והנה השיא נשבר שוב כש-Yandex מדווחת על מתקפה של 21.8 מיליון פניות בשניה.

מי שאחראית למתקפות הענק הללו זו רשת הבוטנטים Meris הפועלת מכ-250,000 מחשבים ומתפרשת על פני 125 מדינות.

https://news.1rj.ru/str/CyberSecurityIL/1300

https://www.bleepingcomputer.com/news/security/new-m-ris-botnet-breaks-ddos-record-with-218-million-rps-attack/

האקרים פרצו לרשת המחשוב של האומות המאוחדות ושהו ברשת לפחות 4 חודשים.

כך מדווחת חברת הסייבר Resecurity שזיהתה את האירוע, לדברי החברה ההאקרים רכשו נתוני הזדהות של עובד ב-UN ברשת האפילה ובאמצעותם הצליחו לחדור לרשת ולגנוב מידע.

כשחברת Resecurity פנו ל-UN עם המידע הם נענו בתגובה כי אכן הייתה מתקפה אך ההאקרים לא הצליחו להשיג מידע מלבד כמה צילומי מסך, לאחר שחברת Resecurity שיתפו עם UN חלק מהמידע שההאקר הצליח לגנוב כהוכחה שלא מדובר רק בצילומי מסך ב-UN הפסיקו להגיב לפניות החברה.

https://news.1rj.ru/str/CyberSecurityIL/1301

https://finance.yahoo.com/news/united-nations-computers-breached-hackers-110000816.html

ארגון Owasp מפרסם טיוטה של Owasp Top 10 2021 לאפליקציות Web.

אחת לכמה שנים ארגון Owasp, העוסק בנושאי אבט"מ שונים, מפרסם את עשרת הפגיעויות הנפוצות לאפליקציות Web, העדכון האחרון היה ב-2017 והוא מלווה אנשי אבטחת מידע לאורך כל התהליך של פיתוח אפליקציות מאובטח.

כעת, מפרסמים ב-Owasp את הטיוטה לגרסת 2021 כשהיא מכילה כמה שינויים:

- 3 קטגוריות חדשות.
- 4 קטגוריות עם שינוי שם.
- שינוי סדר החשיבות של הפגיעויות.

מזומנים לעיין בפרסום של Owasp כאן

https://news.1rj.ru/str/CyberSecurityIL/1302

בתאריכים 21-22.10 יקיים ארגון SANS כנס אבט"מ שיעסוק במגוון נושאים, הכנס יתקיים דיגיטלית והרישום הוא ללא עלות.

בכנס יתקיימו 4 מסלולי לימוד:

🔺מודיעין וצייד חולשות
🔺מערכות SOC ו-SOAR
🔺אבטחת מידע בענן
🔺שימוש בתשתית אבט"מ של MITRE ATT&CK

מוזמנים להירשם כאן.

https://news.1rj.ru/str/CyberSecurityIL/1303

פירצה נוספת באתר תשלומים מוניציפלי חשפה פרטים של מאות אלפי אזרחים

לאחר הפריצה ל-City4U פודקאסט סייברסייבר חושף כי כבר לפני 3 חודשים הם חשפו מאגר מידע פרוץ השייך לחברת Mast שבבעלות קבוצת מ.ג.ע.ר.

הפירצה חשפה יותר מ-660 אלף קבצים בגודל 209GB של מסמכים אישיים ורגישים של מאות אלפי אזרחים שמחוייבים להשתמש בהם, ובין השאר צילומי תעודות זהות כולל מועד ההנפקה, אישורי ביטוח לאומי ואישורים אחרים החושפים מידע פרטי, רגיש, ולעיתים רפואי.

איסגרנו את הפירצה למערך הסייבר, הם העבירו את ההודעה למגער, ואחרי 11 ימים הודיעו לנו מטעם מגער שהפירצה נסגרה.

מ.ג.ע.ר מסרו תגובה ארוכה בה לכאורה מדובר בדיווח אלמוני, בפעולות מורכבות ובמידע שלא כולל נתונים.

בפועל התגובה ממש לא מדוייקת- הדיווח לא היה אנונימי, המפתחות למאגר הוצגו במפורש בצילום מסך שנשלח למערך הסייבר, תמונות וקבצי מידע בהחלט מכילים נתונים וסדרת הפעולות הטכנולוגיות הייחודיות הן כשתי הקלקות עכבר בדפדפן.

https://news.1rj.ru/str/CyberSecurityIL/1304

https://www.geektime.co.il/cybercyber-city4u-mgar-muni-hack/

הכירו את Gensis Market - שוק הזהויות הגנובות המשמש קבוצות תקיפה מזה מספר שנים.

שוק הזהויות הגנובות Gensis הוקם ב-2018 ובשונה ממרקטים דומים הקיימים רק ברשת האפילה את Gensis ניתן למצוא על גבי רשת האינטרנט הרגילה (אך הגישה אליו מבוססת הזמנות).

ב-Gensis ניתן לרכוש נתוני הזדהות, קוקיס, פגיעויות, טוקן גישה ועוד מידע רב, המחירים נעים מסנטים בודדים ועד ל-100+ דולר לחשבון (אמנם Gensis מאפשר תשלום גם בביטקוין אך המחירים באתר מופיעים בדולרים).

עם השנים צבר Gensis מוניטין כאחד האתרים המוצלחים המשמש קבוצות תקיפה רבות (למשל, המתקפה על EA התחילה עם נתוני הזדהות שנרכשו ב-Gensis).

לדברי דן וודס, חוקר אבט"מ ב-F5, "ל-Gensis יש תפקיד מרכזי במתקפות כופר, נכון לעכשיו יש באתר מאות אלפי חשבונות הזמינים לרכישה וסביר להניח שחלקם שימשו למתקפות כופר שהתרחשו או שמתרחשות ממש ברגעים אלו"

בעוד מרקטים אחרים נסגרים יחסית מהר, מפעילי Gensis מצליחים לחמוק מגופי האכיפה כבר מספר שנים וזאת למרות שהם חשופים, לכאורה, ברשת האינטרנט הרגילה.

https://news.1rj.ru/str/CyberSecurityIL/1305

כתב אישום נגד האקר מאוקראינה הוגש בארה"ב כשהצפי הוא לעונש של 17 שנות מאסר בפועל.

ההאקר, אולקסנדר איבנוב-טולפינצב, 28, מואשם כי הפעיל רשת בוטים באמצעותה גנב ופיענח סיסמאות, לדברי גלייב המערכת שהפעיל הייתה מסוגלת לפענח 2,000 סיסמאות מוצפנות בשבוע כשלאחר מכן הוא מוכר את המידע ברשת האפילה.

לפי כתב האישום הסיסמאות שמכר שימשו עבור הונאות מס שונות וכן מתקפות כופר.

https://news.1rj.ru/str/CyberSecurityIL/1306

https://www.databreaches.net/ukrainian-cyber-criminal-extradited-for-decrypting-the-credentials-of-thousands-of-computers-across-the-world-and-selling-them-on-a-dark-web-website/

קבוצת REvil חוזרת לפעילות מלאה עם קרבנות חדשים

האתרים של קבוצת REvil אמנם חזרו לפעול לפני מספר ימים אך הדעות היו חלוקות לגבי הגורם והמשמעות שמאחורי הרמת השרתים.
כעת, ניתן לאשר באופן רשמי כי קבוצת REvil, זו שאחראית למתקפות על Kaseya, JBS ועוד חברות רבות, חוזרת לפעילות מלאה ומפרסמת שני קרבנות חדשים.

האתרים של הקבוצה כבר פועלים באופן מלא (אתר ההדלפות ואתר המו"מ) וכל הטיימרים של הקרבנות הקודמים אופסו מחדש כך שחברות שהותקפו ועדיין מעוניינים למנוע דלף מידע נדרשות לשלם את דמי הכופר.

בפוסט שפירסם נציג הקבוצה באחד הפורומים הוא מפזר את הערפל מאחורי הורדת השרתים וטוען כי הקבוצה כיבתה את השרתים מאחר וחששו שגופי האכיפה עצרו את אחד ממנהלי הקבוצה.
כמו כן הוא מדווח כי מפתח הפיענוח הראשי במתקפה על Kaseya הודלף ע"י אחד מהמפעילים של הקבוצה בזמן יצירת המפתח ורק לאחר מכן הגיע לידיים של גופי האכיפה.

https://news.1rj.ru/str/CyberSecurityIL/1307

https://www.bleepingcomputer.com/news/security/revil-ransomware-is-back-in-full-attack-mode-and-leaking-data/

חברת התקשורת הסלולרית MyRepublic מדווחת על דלף מידע של כ-80,000 לקוחות.

החברה, שמספקת שירותים בסינגפור, ניו זילנד ואוסטרליה, מדווחת כי מידע של כ-80,000 לקוחות מסינגפור היה נגיש לגורם בלתי מורשה.

המידע שנחשף הכיל מידע רגיש כגון צילומי ת.ז, מספרי טלפון, חשבוניות ועוד.
ככל הנראה מדובר במידע שהוחזק בשרתים בסביבת הענן של אמזון אך ללא מנגנוני אבטחה בסיסיים, החברה מדווחת כי הפירצה נסגרה והודעה בנושא הועברה לרשויות.

https://news.1rj.ru/str/CyberSecurityIL/1308

https://www.bleepingcomputer.com/news/security/myrepublic-discloses-data-breach-exposing-government-id-cards/

המרכז הרפואי Missouri Delta Medical Center סובל ממתקפת כופר הנמשכת מזה כשבועיים וחצי.

קבוצת Hive היא זו שאחראית למתקפה כשהיא מפרסמת באתר ההדלפות שלה כי הצפינה שרתים במרכז הרפואי ואף גנבה מידע רב.

לדברי הקבוצה המידע שנגנב שייך ל-95,000 מטופלים והוא כולל מידע רפואי רגיש.

המרכז הרפואי לא מגיב לפניות התקשורת ולא פירסם אף הודעה בנושא, בינתיים קבוצת Hive כבר החלה להדליף חלק מהמידע לאחר שככל הנראה לא קיבלו התייחסות.

אתר Databreaches בדק חלק מהמידע שהודלף והוא מאשר שאכן מדובר במידע רפואי רגיש הנלקח מ-MDMC.

https://news.1rj.ru/str/CyberSecurityIL/1309

https://www.databreaches.net/missouri-delta-medical-center-silent-about-patient-data-dump-and-claimed-ransomware-attack/

משרד המשפטים בדרום אפריקה סובל ממתקפת כופר

בעקבות המתקפה כמעט כל שירותי המשרד מושבתים לאחר שקבוצת התקיפה הצפינה שרתים וגנבה מידע.

דוברות המשרד פירסמה כי כל השירותים הדיגיטליים שמספק המשרד לא יהיו זמינים לעובדים ולציבור עד לחזרה לשגרה.

בשלב זה לא פורסם מה דמי הכופר ומי קבוצת התקיפה שעומדת מאחורי המתקפה.

https://news.1rj.ru/str/CyberSecurityIL/1310

https://securityaffairs.co/wordpress/122128/cyber-crime/department-of-justice-and-constitutional-development-of-south-africa-ransomware.html

מחקר: ארגונים מעדיפים עבודה מרחוק על פני אבטחת מידע

51% מהארגונים מתקשים לשמור על אבטחת רשת מקיפה בתקופה הנוכחית, 61% מהם מתקשים לספק את האבטחה הדרושה מרחוק כדי לתמוך ביכולות עבודה מהבית, כך עולה ממחקר חדש של פאלו אלטו.

דו"ח State of Hybrid Workforce Security 2021 (מצ"ב) ניתח את תשובותיהם של יותר מ-3,000 אנשי מקצוע בתחומי IT, אבטחת מידע, ניהול רשתות ופיתוח אפליקציות.

מהדו"ח עולה, כי כמחצית (48%) מהארגונים הודו כי הם מתפשרים בנושאי אבטחת מידע, או מגדילים סיכונים, כאשר הם מפחיתים את האכיפה של מדיניות האבטחה הארגונית ומקילים על העובדים בארגונים באופן שלא היו עושים בעבר. 35% מהם הודו גם, כי העובדים בארגון שלהם משביתים, או עוקפים את אמצעי האבטחה הארגוניים – כדי לאפשר עבודה נוחה מרחוק.

53% מהארגונים העדיפו מתן גישה מרחוק לעובדים על פני אמצעי האבטחה והמדיניות הארגונית וכעת הם חשופים לסיכונים גבוהים יותר מבעבר בשל הפרות של מדיניות האבטחה, או שימוש ביישומים לא מאושרים.

https://www.pc.co.il/news/345585/

https://news.1rj.ru/str/CyberSecurityIL/1311

מוזמנים לעיין בדו"ח המלא כאן 👇🏻👇🏻

אירוע אבטחת מידע הוביל לחשיפת מידע אישי של לקוחות כביש 6, כך מדווחת הרשות להגנת הפרטיות.

הרשות להגנת הפרטיות קבעה כי דרך ארץ-הייווייז, מפעילת כביש 6, הפרה את הוראות חוק הגנת הפרטיות ותקנותיו בשל אירוע אבטחה חמור, שהוביל לחשיפה של מידע אישי אודות לקוחותיה – כך מסרה הרשות בהודעה שפרסמה היום (ב').

ראשיתה של הפרשה בדיווח שמסרה דרך ארץ על אירוע אבטחה חמור שאירע בחברה, שבעקבותיו החלה הרשות בהליך אכיפה. במסגרת אירוע האבטחה התגלו חולשות אבטחת מידע באתר התשלומים של החברה שאפשרו חשיפה של מידע רב הכולל שמות, חשבוניות, תאריכי נסיעות ועוד.

לא ניתן לדעת במדויק במשך כמה זמן גורמים לא מורשים יכולים היו לגשת למערכות החברה, בהתאם לכך, קבעה הרשות להגנת הפרטיות שהחברה לא החזיקה באמצעי הגנה מתאימים במועד האירוע. כמו כן, ממצאי הליך הפיקוח מעלים שהחברה מיפתה באופן חלקי את הסיכונים בתחום אבטחת המידע, אך לא פעלה לאורך פרק זמן של מעל שנה לתיקון הליקויים שנמצאו במבדקי החדירות.

https://news.1rj.ru/str/CyberSecurityIL/1313

https://www.pc.co.il/news/345614/

חברת הטכנולוגיה Olympus סובלת מזה מספר ימים ממתקפת כופר.

קבוצת Blackmatter היא זו שאחראית למתקפה על Olympus במהלכה ככל הנראה הוצפנו שרתים, נגנב מידע והושבתו מערכות שונות בסניפים שבאירופה, אסיה והמזרח התיכון.

החברה מסרה שהיא מתמודדת עם אירוע אבטחת מידע אך לא פירטה מעבר, עם זאת גורם המעורה בפרטים מסר כי מדובר במתקפת כופר וכי דרישה לתשלום הופיעה במחשבי החברה.
מאוחר יותר דווח כי החברה אישרה כי אכן מדובר במתקפת כופר.

https://news.1rj.ru/str/CyberSecurityIL/1314

https://techcrunch-com.cdn.ampproject.org/c/s/techcrunch.com/2021/09/12/technology-giant-olympus-hit-by-blackmatter-ransomware/amp/

מערך הסייבר הלאומי:

פגיעות Zero Day במערכות ההפעלה של מיקרוסופט

שלום רב,

חברת מיקרוסופט פרסמה לאחרונה התרעה חריגה (Out of Band - OOB) עבור פגיעות Zero Day בכל הגרסאות הנתמכות של מערכת ההפעלה Windows.

הפגיעות מנוצלת בפועל על ידי תוקפים בעולם וקיימים עבורה מספר POC ברשת.

הפגיעות עלולה לאפשר לתוקף הרצת קוד מרחוק ללא הזדהות על העמדה המותקפת.

החברה טרם פרסמה עדכון אבטחה לפגיעות.

מומלץ מאד לבחון את המעקפים שפרסמה החברה, וליישמם במערכות הרלוונטיות בהקדם האפשרי.

https://news.1rj.ru/str/CyberSecurityIL/1315

אחת מהונאות הקריפטו הגדולות התבצעה באמצעות גישה של גורם מתחזה לאתר Globenewswire.

(אמנם לא סייבר סייבר אבל מתחבר לעולם ויכול לעניין את מנויי הערוץ).

בשעתיים האחרונות עולם הקריפטו כמרקחה, אתר Globenewswire הידוע כאתר אמין להודעות לעיתונות מפרסם הודעה כי רשת וולמארט העולמית תחל לקבל תשלומים במטבע הקריפטו Litecoin.

תוך כחצי שעה כל אתרי החדשות המובילים בעולם פירסמו את ההודעה ומטבע לייטקוין נסק בעשרות אחוזים.

כעת מתברר כי גורם חיצוני הצליח להקים חשבון מתחזה של וולמארט באתר Globenewswire תחת כתובת מייל ותחת השם Walmart Inc ופירסם הודעה מקצועית ומפורטת בנושא השת"פ.

וולמארט הוציאה הבהרה כי מדובר בפייק אך הפרסום המקורי עדיין מופיע באתר Globenewswire. (עדכון: הפרסום ירד אבל צילמתי+הורדתי את העמוד, מצ"ב בתגובות)

https://news.1rj.ru/str/CyberSecurityIL/1317

הסוכנות להגנת סייבר ותשתיות בארה"ב (CISA) תקיים זו השנה הרביעית את כנס הסייבר השנתי.

הכנס ייערך במסגרת של ארבעה מפגשים במהלך חודש אוקטובר כאשר בכל יום רביעי יתקיים מפגש בנושא אחר (6/13/20/27.10).

נושאי הכנס המרכזיים מופיעים בתמונה המצ"ב בתגובות.

הכנס הוא דיגיטלי וללא עלות, ניתן להירשם כאן

https://news.1rj.ru/str/CyberSecurityIL/1318

(עדכון) אמנם ההאקר Sangkancil מאז הפרסום הראשון המשיך לפרסם בערוץ הטלגרם שלו מידע רגיש (בעיקר ת.ז, ובעיקר של תושבי הרצליה) אבל השתדלתי להתעלם ולא ראיתי צורך לעדכן כאן.

כעת, עם איום נוסף של פרסום מידע השייך ל-7 מיליון אזרחים, הוא מודיע כי הקים בוט בטלגרם שבו כל אחד יכול להכניס עד 5 מספרי ת.ז ולבדוק אם המידע שלו או של הקרובים שלו נמצא במאגר שהולך להתפרסם.

הבוט מקבל ת.ז ומחזיר חזרה את השם של האדם ומציע מחיקה מהמאגר תמורת 50 דולר.
נו, אם כל אזרחי המדינה יסכימו לשלם הוא כנראה יתעשר מאד.

שוחחתי קצת עם ההאקר בטלגרם, הוא אמנם מבקש 50 דולר תמורת מחיקת המידע אך כששאלתי איזה מידע הוא מחזיק לפי ת.ז אז הוא אמר שמדובר בשמות, מספרי טלפון ועוד. כשהקשיתי שהמידע הזה כבר קיים בדפי זהב ובעוד הרבה מקומות אז הוא אמר שיש לו גם מסמכים רגישים.

בפועל כשביקשתי, הוא לא היה יכול לזהות מסמכים עם מידע רגיש לפי מספר ת.ז, מה שמעיד כנראה שאין לו באמת יכולת לסווג ולמחוק את כל המידע של המשתמש מהמאגר שהוא כביכול מחזיק...

אגב, הצעתי לו שאשלם יותר מ-50$ רק שיוכיח שיש לו מסמכים השייכים לת.ז שלי לפי מספר שאתן לו, בשלב זה הוא כבר התחמק והפסיק לענות.

את הכסף הוא מבקש כמובן בביטקוין, מטבע שאיך נאמר, לא כ"כ זמין לרוב תושבי המדינה.
הצעתי לו תשלום בכרטיס אשראי, פייפאל, העברה בנקאית וכו' אבל זה לא הלך... (הייתה שיחה משעשעת שבמהלכה הוא מאיים עלי שיהפוך אותי למטרה ושאני בסכנה וכו' 😉)

בקיצור, מניח שכולכם מבינים למה לשלם או לשתף פעולה עם ההאקר זה רעיון גרוע.

בהזדמנות זו, גמר חתימה טובה לכולם 🙏🏻

https://news.1rj.ru/str/CyberSecurityIL/1319