האקרים הצליחו לנצל חולשה במנגנון ה-MFA של בורסת הקריפטו Coinbase וגנבו מטבעות דיגיטליים מכ-6,000 לקוחות
בורסת Coinbase היא בורסת הקריפטו השנייה בגודלה בעולם, עם כ-68 מיליון משתמשים במעל 100 מדינות.
בדיווח שהוציאה החברה היא מפרסמת כי בין חודשים מרץ למאי 2021 הצליחו האקרים לנצל חולשה במנגנון שליחת הודעות SMS ללקוחות שעשו שימוש בהזדהות רב שלבית (MFA), לגנוב מאלפי לקוחות מטבעות דיגיטליים ולצפות במידע רגיש.
התוקפים עשו עבודה מקדימה והשיגו את כתובת הדוא"ל של הלקוחות, הסיסמה לחשבון הדוא"ל ואת מספר הטלפון המקושר לחשבון, את הפרטים הנ"ל השיגו ככל הנראה באמצעות קמפיין פישינג.
בשלב זה ב-Coinbase מדווחים כי הם סגרו את החולשה ופיצו את כל הלקוחות שנפגעו בסכום שנגנב.
https://news.1rj.ru/str/CyberSecurityIL/1361
https://www.bleepingcomputer.com/news/security/hackers-rob-thousands-of-coinbase-customers-using-mfa-flaw/
בורסת Coinbase היא בורסת הקריפטו השנייה בגודלה בעולם, עם כ-68 מיליון משתמשים במעל 100 מדינות.
בדיווח שהוציאה החברה היא מפרסמת כי בין חודשים מרץ למאי 2021 הצליחו האקרים לנצל חולשה במנגנון שליחת הודעות SMS ללקוחות שעשו שימוש בהזדהות רב שלבית (MFA), לגנוב מאלפי לקוחות מטבעות דיגיטליים ולצפות במידע רגיש.
התוקפים עשו עבודה מקדימה והשיגו את כתובת הדוא"ל של הלקוחות, הסיסמה לחשבון הדוא"ל ואת מספר הטלפון המקושר לחשבון, את הפרטים הנ"ל השיגו ככל הנראה באמצעות קמפיין פישינג.
בשלב זה ב-Coinbase מדווחים כי הם סגרו את החולשה ופיצו את כל הלקוחות שנפגעו בסכום שנגנב.
https://news.1rj.ru/str/CyberSecurityIL/1361
https://www.bleepingcomputer.com/news/security/hackers-rob-thousands-of-coinbase-customers-using-mfa-flaw/
חברת הסייבר הישראלית Profero מפרסמת כקוד פתוח כלי לתיקון ושחזור קבצים שנפגמו במהלך ההצפנה של קבוצת RansomEXX
קצת רקע: חוקרים מקבוצת Profero חקרו ומצאו כי קבוצת התקיפה RansomEXX אינם מצפינים קבצים במערכות Linux בצורה תקינה, התוצאה היא שאפילו גופים ששילמו את דמי הכופר אינם מצליחים לבצע שחזור של חלק מהקבצים עם מפתח הפיענוח.
כעת משחררת Profero כלי קוד פתוח המאפשר תיקון ושחזור הקבצים שנפגמו במהלך ההצפנה, הכלי משוחרר כקוד פתוח כך שכל ארגון יוכל להשתמש בכלי ללא תשלום.
חשוב להדגיש, כי השימוש בכלי רלוונטי רק לחברות המחזיקות את מפתח הפיענוח כתוצאה מתשלום דמי כופר וכדו'.
https://news.1rj.ru/str/CyberSecurityIL/1362
https://www.bleepingcomputer.com/news/security/ransomexx-ransomware-linux-encryptor-may-damage-victims-files/
קצת רקע: חוקרים מקבוצת Profero חקרו ומצאו כי קבוצת התקיפה RansomEXX אינם מצפינים קבצים במערכות Linux בצורה תקינה, התוצאה היא שאפילו גופים ששילמו את דמי הכופר אינם מצליחים לבצע שחזור של חלק מהקבצים עם מפתח הפיענוח.
כעת משחררת Profero כלי קוד פתוח המאפשר תיקון ושחזור הקבצים שנפגמו במהלך ההצפנה, הכלי משוחרר כקוד פתוח כך שכל ארגון יוכל להשתמש בכלי ללא תשלום.
חשוב להדגיש, כי השימוש בכלי רלוונטי רק לחברות המחזיקות את מפתח הפיענוח כתוצאה מתשלום דמי כופר וכדו'.
https://news.1rj.ru/str/CyberSecurityIL/1362
https://www.bleepingcomputer.com/news/security/ransomexx-ransomware-linux-encryptor-may-damage-victims-files/
תביעה בגין מוות של תינוק הוגשה כנגד המרכז הרפואי Springhill שבאלבאמה, האם טוענת כי התינוק נפטר מאחר ומתקפת סייבר מנעה את האפשרות של הרופאים לעקוב אחר המדדים הרפואיים.
ביולי 2019 המרכז הרפואי Springhill סבל ממתקפת כופר בעקבותיה חלק ממערכות המחשוב הושבתו, בעוד בית החולים נמצא תחת מתקפה הגיעה ניקו סילאר ללדת את בנה, הלידה הייתה מורכבת וככל הנראה במהלכה התינוק היה במצוקה, אנשי הרפואה שעוקבים אחר המדדים של התינוק דרך מערכות המחשוב לא היו יכולים לעשות זאת בצורה תקינה מאחר ומתקפת הסייבר השביתה חלק ממערכות המחשוב.
התינוק נולד עם מספר בעיות ונפטר לאחר תשעה חודשים, כעת מגישה האם תביעה כנגד בית החולים וכנגד הרופאה שטיפלה בה בטענה כי בשל ההתמודדות הלקויה עם מתקפת הסייבר בנה נפטר.
בית החולים הגיב כי למרות מתקפת הסייבר לא נפגעה היכולת של בית החולים ללדת את התינוק בביטחה וכי על בית החולים לא חלה החובה לדווח למטופלים על מתקפת סייבר אך למרות זאת הודעה יצאה לעיתונות יום לפני הגעתה של ניקו למרכז הרפואי.
https://news.1rj.ru/str/CyberSecurityIL/1363
https://www.securityweek.com/suit-blames-babys-death-cyberattack-alabama-hospital
ביולי 2019 המרכז הרפואי Springhill סבל ממתקפת כופר בעקבותיה חלק ממערכות המחשוב הושבתו, בעוד בית החולים נמצא תחת מתקפה הגיעה ניקו סילאר ללדת את בנה, הלידה הייתה מורכבת וככל הנראה במהלכה התינוק היה במצוקה, אנשי הרפואה שעוקבים אחר המדדים של התינוק דרך מערכות המחשוב לא היו יכולים לעשות זאת בצורה תקינה מאחר ומתקפת הסייבר השביתה חלק ממערכות המחשוב.
התינוק נולד עם מספר בעיות ונפטר לאחר תשעה חודשים, כעת מגישה האם תביעה כנגד בית החולים וכנגד הרופאה שטיפלה בה בטענה כי בשל ההתמודדות הלקויה עם מתקפת הסייבר בנה נפטר.
בית החולים הגיב כי למרות מתקפת הסייבר לא נפגעה היכולת של בית החולים ללדת את התינוק בביטחה וכי על בית החולים לא חלה החובה לדווח למטופלים על מתקפת סייבר אך למרות זאת הודעה יצאה לעיתונות יום לפני הגעתה של ניקו למרכז הרפואי.
https://news.1rj.ru/str/CyberSecurityIL/1363
https://www.securityweek.com/suit-blames-babys-death-cyberattack-alabama-hospital
חברת Sandhills סובלת ממתקפת כופר בעקבותיה הושבתו מספר חברות.
החברה, שעוסקת בסחר ופרסום של מוצרים שונים, הושבתה בשל מתקפת סייבר שביצעה קבוצת Conti, כתוצאה מהמתקפה מספר רב של אתרים המתארחים ו/או מתופעלים ע"י החברה מושבתים אף הם וגורמים לשיבוש בפעילות של חברות רבות.
בשלב זה לא ידוע מה גובה דמי הכופר והאם קבוצת Conti הוציאה מידע רגיש מהרשת של Sandhills.
https://news.1rj.ru/str/CyberSecurityIL/1364
https://www.bleepingcomputer.com/news/security/sandhills-online-machinery-markets-shut-down-by-ransomware-attack/
החברה, שעוסקת בסחר ופרסום של מוצרים שונים, הושבתה בשל מתקפת סייבר שביצעה קבוצת Conti, כתוצאה מהמתקפה מספר רב של אתרים המתארחים ו/או מתופעלים ע"י החברה מושבתים אף הם וגורמים לשיבוש בפעילות של חברות רבות.
בשלב זה לא ידוע מה גובה דמי הכופר והאם קבוצת Conti הוציאה מידע רגיש מהרשת של Sandhills.
https://news.1rj.ru/str/CyberSecurityIL/1364
https://www.bleepingcomputer.com/news/security/sandhills-online-machinery-markets-shut-down-by-ransomware-attack/
קבוצת Conti מפסיקה את המו"מ עם Kenwood ומפרסמת את המידע שגנבה, לטענתם, המהלך מבוצע בשל פנייה לעיתונות.
קבוצות התקיפה ממשיכות להקשיח עמדות בכל הקשור לפנייה מצד החברות למנהלי מו"מ, גורמי אכיפה וכעת מתברר, גם גופי עיתונות.
קבוצת Conti מפרסמת באתר ההדלפות שלה מספר כללים חדשים בהם היא דורשת מחברות לא לפנות לגורמי עיתונות ולא להדליף מידע או צילומי מסך מתוך המו"מ שמתנהל בין הצדדים
הקבוצה מאיימת כי במקרה שחברות יפרו את הכללים המו"מ יופסק באופן מיידי וכל המידע שנגנב יפורסם.
את ההודעה מפרסמת קבוצת Conti בהמשך למתקפה על חברת Kenwood כאשר לדברי הקבוצה צילומי מסך מתוך המו"מ בין הצדדים הגיעו לעיתונות.
(צילום מסך מהאתר של Conti מצ"ב בתגובות)
https://www.databreaches.net/when-the-charm-offensive-didnt-work-threat-actors-just-opted-to-be-offensive/
https://news.1rj.ru/str/CyberSecurityIL/1365
קבוצות התקיפה ממשיכות להקשיח עמדות בכל הקשור לפנייה מצד החברות למנהלי מו"מ, גורמי אכיפה וכעת מתברר, גם גופי עיתונות.
קבוצת Conti מפרסמת באתר ההדלפות שלה מספר כללים חדשים בהם היא דורשת מחברות לא לפנות לגורמי עיתונות ולא להדליף מידע או צילומי מסך מתוך המו"מ שמתנהל בין הצדדים
הקבוצה מאיימת כי במקרה שחברות יפרו את הכללים המו"מ יופסק באופן מיידי וכל המידע שנגנב יפורסם.
את ההודעה מפרסמת קבוצת Conti בהמשך למתקפה על חברת Kenwood כאשר לדברי הקבוצה צילומי מסך מתוך המו"מ בין הצדדים הגיעו לעיתונות.
(צילום מסך מהאתר של Conti מצ"ב בתגובות)
https://www.databreaches.net/when-the-charm-offensive-didnt-work-threat-actors-just-opted-to-be-offensive/
https://news.1rj.ru/str/CyberSecurityIL/1365
קבוצת התקיפה Ranion מציעה למכירה חבילות שירות הכוללות נוזקה להצפנת ארגונים
קבוצות התקיפה ממשיכות לחפש אפיקי הכנסה וכעת קבוצה בשם Ranion מציעה חבילות שירות הכוללות נוזקה להצפנה, שירות לקוחות אונליין, ממשק ניהול ועוד.
הנוזקה שמציעה הקבוצה מגיעה עם מספר יכולות כגון חסינות בפני זיהוי ע"י מערכות הגנה, הצפנה ללא חיבור לרשת, שינוי רקע לשולחן העבודה ועוד.
המחירים משתנים בהתאם לסוג המנוי שתבחרו והם נעים בין 150$-1900$, מחירים זולים משמעותית ביחס לאחוזי הגבייה שדורשים קבוצות התקיפה מהשותפים (20-30% מדמי הכופר, אם בכלל).
https://news.1rj.ru/str/CyberSecurityIL/1366
https://cybernews.com/security/buckle-up-a-novel-raas-group-ranion-offers-pay-go-malware/
קבוצות התקיפה ממשיכות לחפש אפיקי הכנסה וכעת קבוצה בשם Ranion מציעה חבילות שירות הכוללות נוזקה להצפנה, שירות לקוחות אונליין, ממשק ניהול ועוד.
הנוזקה שמציעה הקבוצה מגיעה עם מספר יכולות כגון חסינות בפני זיהוי ע"י מערכות הגנה, הצפנה ללא חיבור לרשת, שינוי רקע לשולחן העבודה ועוד.
המחירים משתנים בהתאם לסוג המנוי שתבחרו והם נעים בין 150$-1900$, מחירים זולים משמעותית ביחס לאחוזי הגבייה שדורשים קבוצות התקיפה מהשותפים (20-30% מדמי הכופר, אם בכלל).
https://news.1rj.ru/str/CyberSecurityIL/1366
https://cybernews.com/security/buckle-up-a-novel-raas-group-ranion-offers-pay-go-malware/
85% מהארגונים מדווחים כי מתקפת כופר מטרידה אותם יותר מכל מתקפת סייבר אחרת.
כך עולה מדוח שפירסמה חברת Fortinet בו היא מציגה ממצאים לאחר שתישאלה מאות מנהלי אבט"מ בארגונים שונים.
כמה נתונים מעניינים מהדו"ח:
🔺הסיכון שהוגדר כמדאיג ביותר כתוצאה ממתקפת כופר הוא "אבדן מידע", הבא אחריו בתור אבדן של חיי אנוש (ככל הנראה בשל סוגי הארגונים שתושאלו)
🗒 תכנית תגובה לאירועי כופרה מורכבת ממספר תהליכים, בדירוג התהליכים המצויים ביותר בארגונים ניתן למצוא אימוני לצוותי אבט"מ, תכנית ניהול סיכונים, וגיבויים המנותקים מהאינטרנט.
💰ל-72% מהארגונים קיים נוהל ייחודי למתקפת כופר, 49% מתוך אותם ארגונים מציינים כי הם ישלמו את דמי הכופר במיידי, בעוד 25% מהם תולים את התשלום בגובה דמי הכופר.
https://news.1rj.ru/str/CyberSecurityIL/1367
מוזמנים לעיין במסמך המלא כאן 👇🏻
כך עולה מדוח שפירסמה חברת Fortinet בו היא מציגה ממצאים לאחר שתישאלה מאות מנהלי אבט"מ בארגונים שונים.
כמה נתונים מעניינים מהדו"ח:
🔺הסיכון שהוגדר כמדאיג ביותר כתוצאה ממתקפת כופר הוא "אבדן מידע", הבא אחריו בתור אבדן של חיי אנוש (ככל הנראה בשל סוגי הארגונים שתושאלו)
🗒 תכנית תגובה לאירועי כופרה מורכבת ממספר תהליכים, בדירוג התהליכים המצויים ביותר בארגונים ניתן למצוא אימוני לצוותי אבט"מ, תכנית ניהול סיכונים, וגיבויים המנותקים מהאינטרנט.
💰ל-72% מהארגונים קיים נוהל ייחודי למתקפת כופר, 49% מתוך אותם ארגונים מציינים כי הם ישלמו את דמי הכופר במיידי, בעוד 25% מהם תולים את התשלום בגובה דמי הכופר.
https://news.1rj.ru/str/CyberSecurityIL/1367
מוזמנים לעיין במסמך המלא כאן 👇🏻
שני האקרים מקבוצת תקיפה שהפעילה מתקפות כופר נעצרו באוקראינה במבצע של היורופול
בהודעה שפירסם היורופול הוא לא חושף בשלב זה את השם של קבוצת התקיפה אך מדווח כי בשיתוף פעולה עם מספר גורמי אכיפה במדינות שונות הם הצליחו לתפוס שני האקרים החברים בקבוצה תקיפה הפועלת מאז אפריל 2020 ואחראית למתקפות כופר בהן דמי הכופר עמדו נעו בין 5-70 מיליון אירו (מזכיר שקבוצת REvil דרשו 70 מיליון דולר במתקפה על Kaseya)
במהלך המעצר מלבד שני ההאקרים נתפסו גם ציוד מחשוב, 375,000 דולר במזומן, 2 רכבי יוקרה בשווי 217,000 אירו ו-1.3 מיליון דולר במטבעות דיגיטליים.
להלן קישור לסרטון מהמעצר.
https://news.1rj.ru/str/CyberSecurityIL/1369
https://www.europol.europa.eu/newsroom/news/ransomware-gang-arrested-in-ukraine-europol%E2%80%99s-support
בהודעה שפירסם היורופול הוא לא חושף בשלב זה את השם של קבוצת התקיפה אך מדווח כי בשיתוף פעולה עם מספר גורמי אכיפה במדינות שונות הם הצליחו לתפוס שני האקרים החברים בקבוצה תקיפה הפועלת מאז אפריל 2020 ואחראית למתקפות כופר בהן דמי הכופר עמדו נעו בין 5-70 מיליון אירו (מזכיר שקבוצת REvil דרשו 70 מיליון דולר במתקפה על Kaseya)
במהלך המעצר מלבד שני ההאקרים נתפסו גם ציוד מחשוב, 375,000 דולר במזומן, 2 רכבי יוקרה בשווי 217,000 אירו ו-1.3 מיליון דולר במטבעות דיגיטליים.
להלן קישור לסרטון מהמעצר.
https://news.1rj.ru/str/CyberSecurityIL/1369
https://www.europol.europa.eu/newsroom/news/ransomware-gang-arrested-in-ukraine-europol%E2%80%99s-support
👍1
חדשות סייבר - ארז דסה
שני האקרים מקבוצת תקיפה שהפעילה מתקפות כופר נעצרו באוקראינה במבצע של היורופול בהודעה שפירסם היורופול הוא לא חושף בשלב זה את השם של קבוצת התקיפה אך מדווח כי בשיתוף פעולה עם מספר גורמי אכיפה במדינות שונות הם הצליחו לתפוס שני האקרים החברים בקבוצה תקיפה הפועלת…
מי לדעתכם קבוצת התקיפה שחבריה נתפסו ע"י היורופול?
Final Results
54%
REvil
14%
Blackmatter
14%
Conti
17%
אחר
חברת Syniverse המספקת שירותי משלוח הודעות סמס למאות חברות מעדכנת כי תוקפים שהו ברשת החברה במשך 5 שנים.
בדיווח שהוציאה לבורסה מדווח כי החברה זיהתה פעילות של גורם בלתי מורשה שהצליח לחדור לרשת החברה ולצפות במידע רגיש הכולל תוכן של הודעות סמס ומידע על לקוחות (כולל הודעות שנשלחו במסגרת מנגנון זיהוי רב שלבי - MFA)
התוקפים שהו ברשת משנת 2016 אך הזיהוי שלהם בוצע רק במאי 2021.
חברת Syniverse משרתת מאות חברות תקשורת, חלקן גדולות מאד גדולות כגון At&t, Verizon, T-Mobile ועוד ומעבדת בשנה יותר מ-740 מיליארד הודעות סמס עבור לקוחות.
https://news.1rj.ru/str/CyberSecurityIL/1371
https://www.vice.com/en/article/z3xpm8/company-that-routes-billions-of-text-messages-quietly-says-it-was-hacked
בדיווח שהוציאה לבורסה מדווח כי החברה זיהתה פעילות של גורם בלתי מורשה שהצליח לחדור לרשת החברה ולצפות במידע רגיש הכולל תוכן של הודעות סמס ומידע על לקוחות (כולל הודעות שנשלחו במסגרת מנגנון זיהוי רב שלבי - MFA)
התוקפים שהו ברשת משנת 2016 אך הזיהוי שלהם בוצע רק במאי 2021.
חברת Syniverse משרתת מאות חברות תקשורת, חלקן גדולות מאד גדולות כגון At&t, Verizon, T-Mobile ועוד ומעבדת בשנה יותר מ-740 מיליארד הודעות סמס עבור לקוחות.
https://news.1rj.ru/str/CyberSecurityIL/1371
https://www.vice.com/en/article/z3xpm8/company-that-routes-billions-of-text-messages-quietly-says-it-was-hacked
מתקפת סייבר או תקלת DNS? פייסבוק, ווטסאפ ואינסטגרם מושבתות מזה כשעה
אתר BleepingComputer מדווח כי ההשבתה בשירותים השונים נובעת ככל הנראה מתקלה DNS* אך שמועות ברשת ממשיכות להתעקש כי ייתכן ומדובר במתקפת סייבר.
כזכור, אתמול, פרנסס האוגן, לשעבר מנהלת מוצר בצוות שעסק במידע כוזב בפייסבוק, חשפה בתוכנית "60 דקות" כי היא זו שעומדת מאחורי הדלפת אלפי מסמכים מתוך פייסבוק בכדי להוכיח כי פייסבוק מתעדפת רווחים על פני בטיחות.
משתמשים שונים ברשת מעריכים כי אם מדובר במתקפת סייבר הרי שהראיון של האוגן הוא ככל הנראה הטריגר.
אגב, בדיקה שלי דרך אתר Check-host מראה כי איראן זו המדינה היחידה בה הגישה לפייסבוק תקינה 🤔 (תמונה מצ"ב בתגובות)
* שירות DNS הוא השירות שמאפשר המרה מכתובת אתר לכתובת IP, מידע נוסף ניתן למצוא כאן.
https://news.1rj.ru/str/CyberSecurityIL/1372
https://www.bleepingcomputer.com/news/technology/facebook-whatsapp-and-instagram-down-due-to-dns-outage/
אתר BleepingComputer מדווח כי ההשבתה בשירותים השונים נובעת ככל הנראה מתקלה DNS* אך שמועות ברשת ממשיכות להתעקש כי ייתכן ומדובר במתקפת סייבר.
כזכור, אתמול, פרנסס האוגן, לשעבר מנהלת מוצר בצוות שעסק במידע כוזב בפייסבוק, חשפה בתוכנית "60 דקות" כי היא זו שעומדת מאחורי הדלפת אלפי מסמכים מתוך פייסבוק בכדי להוכיח כי פייסבוק מתעדפת רווחים על פני בטיחות.
משתמשים שונים ברשת מעריכים כי אם מדובר במתקפת סייבר הרי שהראיון של האוגן הוא ככל הנראה הטריגר.
אגב, בדיקה שלי דרך אתר Check-host מראה כי איראן זו המדינה היחידה בה הגישה לפייסבוק תקינה 🤔 (תמונה מצ"ב בתגובות)
* שירות DNS הוא השירות שמאפשר המרה מכתובת אתר לכתובת IP, מידע נוסף ניתן למצוא כאן.
https://news.1rj.ru/str/CyberSecurityIL/1372
https://www.bleepingcomputer.com/news/technology/facebook-whatsapp-and-instagram-down-due-to-dns-outage/
חדשות סייבר - ארז דסה
מתקפת סייבר או תקלת DNS? פייסבוק, ווטסאפ ואינסטגרם מושבתות מזה כשעה אתר BleepingComputer מדווח כי ההשבתה בשירותים השונים נובעת ככל הנראה מתקלה DNS* אך שמועות ברשת ממשיכות להתעקש כי ייתכן ומדובר במתקפת סייבר. כזכור, אתמול, פרנסס האוגן, לשעבר מנהלת מוצר בצוות…
למה פייסבוק ושלוחותיה נפלו אתמול ואיך זה קשור לדיווחים על תקלות בשירותים אחרים שאינם קשורים לפייסבוק?
רציתם שזה יהיה סייבר אבל ההשבתה של פייסבוק אתמול נגרמה בשל תקלה בהגדרות תקשורת.
חברת Cloudflare המספקת שירותי תקשורת שונים (כגון DNS, CDN, DDOS Protection ועוד) מפרסמת בבלוג שלה פוסט המסביר מדוע פייסבוק הייתה מושבתת אתמול למספר שעות, ההשבתה של פייסבוק גרמה לעומסים כבדים בשרתי ה-DNS בעולם ובשל כך גם שירותים אחרים, שאינם קשורים לפייסבוק חוו איטיות וניתוקים.
בצילומי מסך שמשתפת Cloudflare ניתן לראות כי שינויים בהגדרות BGP של פייסבוק בוצעו בשעה 18:50 ולמרות שהתקלה התארכה עד לשעות הקטנות של הלילה נראה כי כבר בשעה 23:20 הגדרות ה-BGP הוחזרו בהצלחה ע"י פייסבוק.
עוד מתברר מכלי התקשורת כי השינוי בהגדרות BGP בוצעו בחיבור מרחוק ומיד לאחר השינוי כל מי שהיה יכול לסייע מרחוק כדי לטפל בבעיה לא יכול היה להתחבר ולאלו שנמצאו פיזית ליד השרתים לא הייתה ההרשאה המתאימה לגשת לשרתים.
לבסוף נאלצו בפייסבוק לשלוח את המומחים פיזית לשרתי החברה שנפגעו ולשנות את ההגדרות אך כשאלו הגיעו לבניין התברר כי בעקבות התקלה לא מתאפשר להם להיכנס לחדר השרתים, בעזרת מסור חשמלי וכלי פריצה נוספים פרצו המומחים לחדר השרתים, שינו את ההגדרות הנדרשות והכל בא על מקומו בשלום.
מניית פייסבוק סגרה את יום האתמול עם ירידה של 4.89% וההערכה היא כי פייסבוק הפסידו מיליארדי דולרים בשל התקלה.
תודה ל-Eilon Goldberg על ההפנייה לכתבה של Cloudflare 🙏🏻
https://news.1rj.ru/str/CyberSecurityIL/1374
רציתם שזה יהיה סייבר אבל ההשבתה של פייסבוק אתמול נגרמה בשל תקלה בהגדרות תקשורת.
חברת Cloudflare המספקת שירותי תקשורת שונים (כגון DNS, CDN, DDOS Protection ועוד) מפרסמת בבלוג שלה פוסט המסביר מדוע פייסבוק הייתה מושבתת אתמול למספר שעות, ההשבתה של פייסבוק גרמה לעומסים כבדים בשרתי ה-DNS בעולם ובשל כך גם שירותים אחרים, שאינם קשורים לפייסבוק חוו איטיות וניתוקים.
בצילומי מסך שמשתפת Cloudflare ניתן לראות כי שינויים בהגדרות BGP של פייסבוק בוצעו בשעה 18:50 ולמרות שהתקלה התארכה עד לשעות הקטנות של הלילה נראה כי כבר בשעה 23:20 הגדרות ה-BGP הוחזרו בהצלחה ע"י פייסבוק.
עוד מתברר מכלי התקשורת כי השינוי בהגדרות BGP בוצעו בחיבור מרחוק ומיד לאחר השינוי כל מי שהיה יכול לסייע מרחוק כדי לטפל בבעיה לא יכול היה להתחבר ולאלו שנמצאו פיזית ליד השרתים לא הייתה ההרשאה המתאימה לגשת לשרתים.
לבסוף נאלצו בפייסבוק לשלוח את המומחים פיזית לשרתי החברה שנפגעו ולשנות את ההגדרות אך כשאלו הגיעו לבניין התברר כי בעקבות התקלה לא מתאפשר להם להיכנס לחדר השרתים, בעזרת מסור חשמלי וכלי פריצה נוספים פרצו המומחים לחדר השרתים, שינו את ההגדרות הנדרשות והכל בא על מקומו בשלום.
מניית פייסבוק סגרה את יום האתמול עם ירידה של 4.89% וההערכה היא כי פייסבוק הפסידו מיליארדי דולרים בשל התקלה.
תודה ל-Eilon Goldberg על ההפנייה לכתבה של Cloudflare 🙏🏻
https://news.1rj.ru/str/CyberSecurityIL/1374
מאגר מידע של מנויי עיתון הטלגרף הבריטי נמצא חשוף ברשת ע"י חוקר אבט"מ
החוקר בוב דיאצ'נקו שחשף את המאגר מדווח כי המאגר, בנפח 10TB, מכיל מידע על מנויי העיתון בגרסה המקוונת והוא כולל שמות, כתובות דוא"ל, כתובות ip, טוקני גישה, סיסמאות גלויות ועוד.
בוב שלח הודעה למערכת הטלגרף ואלה סגרו את המאגר החשוף לאחר כיומיים ודאגו לציין כי אף אדם מלבד בוב לא ניגש למאגר ואין חשש לדלף מידע.
https://news.1rj.ru/str/CyberSecurityIL/1375
https://www.bleepingcomputer.com/news/security/the-telegraph-exposes-10-tb-database-with-subscriber-info/
החוקר בוב דיאצ'נקו שחשף את המאגר מדווח כי המאגר, בנפח 10TB, מכיל מידע על מנויי העיתון בגרסה המקוונת והוא כולל שמות, כתובות דוא"ל, כתובות ip, טוקני גישה, סיסמאות גלויות ועוד.
בוב שלח הודעה למערכת הטלגרף ואלה סגרו את המאגר החשוף לאחר כיומיים ודאגו לציין כי אף אדם מלבד בוב לא ניגש למאגר ואין חשש לדלף מידע.
https://news.1rj.ru/str/CyberSecurityIL/1375
https://www.bleepingcomputer.com/news/security/the-telegraph-exposes-10-tb-database-with-subscriber-info/
תוך 2 דק' - בית החולים Johnson Memorial שבאינדיאנה הותקף במתקפת כופר.
בית החולים מדווח כי האקר הצליח לחדור לרשת בית החולים ביום שישי האחרון בשעה 10:31 וכעבור 2 דק', בשעה 10:33, כבר התחיל להריץ תהליך הצפנה על הרשת.
בבית החולים זיהו את התהליך תוך 15 דק' והשביתו את כל מערך המחשוב של בית החולים.
לפי הדיווח, למרות המתקפה בית החולים ממשיך לטפל כרגיל בחולים ובשלב זה לא נדחו פעולות רפואיות אך זמני ההמתנה עלולים להתארך.
ה-FBI מעורבים באירוע ומסייעים לבית החולים בחזרה לשגרה, כמו כן נכון לרגע זה לא התקבלה דרישת כופר.
https://news.1rj.ru/str/CyberSecurityIL/1376
בית החולים מדווח כי האקר הצליח לחדור לרשת בית החולים ביום שישי האחרון בשעה 10:31 וכעבור 2 דק', בשעה 10:33, כבר התחיל להריץ תהליך הצפנה על הרשת.
בבית החולים זיהו את התהליך תוך 15 דק' והשביתו את כל מערך המחשוב של בית החולים.
לפי הדיווח, למרות המתקפה בית החולים ממשיך לטפל כרגיל בחולים ובשלב זה לא נדחו פעולות רפואיות אך זמני ההמתנה עלולים להתארך.
ה-FBI מעורבים באירוע ומסייעים לבית החולים בחזרה לשגרה, כמו כן נכון לרגע זה לא התקבלה דרישת כופר.
https://news.1rj.ru/str/CyberSecurityIL/1376
מנהל רשת שפוטר מואשם כי ביצע פעולות זדוניות כנגד שני מעסיקיו לשעבר כאשר הוא מחק מידע, איפס סיסמאות ועוד.
הנאשם, אדם ג'ורג'סון,29, היה מועסק כטכנאי רשת בבית ספר תיכון שבמחוז הרבורו שבאנגליה, לאחר שפוטר ע"י המעסיק, התחבר גורג'סון לרשת בית הספר מחק מידע רב, שינה סיסמאות של אנשי צוות וגרם לעיכובים נרחבים בלמידה מרחוק שבוצעה באותה עת.
לאחר מכן עבד גורג'סון בחברת IT שבמחוז רטלנד ופוטר אף מהם לאחר זמן קצר.
לאחר שפוטר התלוננו בבית הספר כי גורם זדוני גורם לנזקים ברשת הארגון ע"י התקנת נוזקות, שינוי סיסמאות ושינוי מספרי הטלפון ליצירת קשר ע"י לקוחות.
כאמור, אדם ג'ורג'סון נעצר ע"י המשטרה כשהוא מואשם שביצע את הפעולות כנגד בית הספר וכנגד חברת ה-IT והוא יועמד למשפט בתחילת 2022.
https://news.1rj.ru/str/CyberSecurityIL/1377
https://www.leics.police.uk/news/leicestershire/news/2021/october/man-admits-breaking-into-computer-systems-of-previous-employers/
הנאשם, אדם ג'ורג'סון,29, היה מועסק כטכנאי רשת בבית ספר תיכון שבמחוז הרבורו שבאנגליה, לאחר שפוטר ע"י המעסיק, התחבר גורג'סון לרשת בית הספר מחק מידע רב, שינה סיסמאות של אנשי צוות וגרם לעיכובים נרחבים בלמידה מרחוק שבוצעה באותה עת.
לאחר מכן עבד גורג'סון בחברת IT שבמחוז רטלנד ופוטר אף מהם לאחר זמן קצר.
לאחר שפוטר התלוננו בבית הספר כי גורם זדוני גורם לנזקים ברשת הארגון ע"י התקנת נוזקות, שינוי סיסמאות ושינוי מספרי הטלפון ליצירת קשר ע"י לקוחות.
כאמור, אדם ג'ורג'סון נעצר ע"י המשטרה כשהוא מואשם שביצע את הפעולות כנגד בית הספר וכנגד חברת ה-IT והוא יועמד למשפט בתחילת 2022.
https://news.1rj.ru/str/CyberSecurityIL/1377
https://www.leics.police.uk/news/leicestershire/news/2021/october/man-admits-breaking-into-computer-systems-of-previous-employers/
👍1
נחשפה תשתית ריגול איראנית שתקפה יעדים בישראל: "סיכון גדול ומשמעותי"
קבוצת האקרים איראנים הצליחה לחדור למחשבים של יעדים אסטרטגיים שעוסקים בעיקר בתקשורת נתונים, הם השתמשו בכלי מתוחכם לריגול וגניבת מידע רגיש של תשתיות קריטיות, חברת סייבריזן שחשפה את הרשת: "הם פעלו ביסודיות ובחרו את קורבנותיהם באופן קפדני"
בתום חקירה ארוכה שנמשכה חודשים רבים, צוות המחקר של סייבריזן חשף קמפיין תקיפה רחב אשר מיוחס לקבוצת התקיפה המכונה MalKamak.
מהחקירה עולה כי הקבוצה פעלה משנת 2018 ולא נחשפה עד היום. התוקפים פעלו בצורה חשאית ומדוקדקת, וניסו לחדור ליעדים אסטרטגיים, בעיקר בקרב חברות וארגונים העוסקים בתקשורת נתונים, טכנולוגיות אוויריות וחקר החלל. הארגונים שנפגעו והגורמים הביטחוניים הרלוונטיים עודכנו, אולם טרם התבהר הנזק הממשי שנגרם.
במהלך התקיפה השתמשו התוקפים בכלי תקיפה מסוג RAT המכונה ShellClient אשר לא תועד כלל עד היום.
הנוזקה הוחדרה לתשתיות הארגונים ושימשה ככלי מרכזי לריגול וגניבת מידע רגיש.
https://news.1rj.ru/str/CyberSecurityIL/1378
https://mobile.mako.co.il/news-military/2021_q4/Article-55e728255f45c71026.htm
קבוצת האקרים איראנים הצליחה לחדור למחשבים של יעדים אסטרטגיים שעוסקים בעיקר בתקשורת נתונים, הם השתמשו בכלי מתוחכם לריגול וגניבת מידע רגיש של תשתיות קריטיות, חברת סייבריזן שחשפה את הרשת: "הם פעלו ביסודיות ובחרו את קורבנותיהם באופן קפדני"
בתום חקירה ארוכה שנמשכה חודשים רבים, צוות המחקר של סייבריזן חשף קמפיין תקיפה רחב אשר מיוחס לקבוצת התקיפה המכונה MalKamak.
מהחקירה עולה כי הקבוצה פעלה משנת 2018 ולא נחשפה עד היום. התוקפים פעלו בצורה חשאית ומדוקדקת, וניסו לחדור ליעדים אסטרטגיים, בעיקר בקרב חברות וארגונים העוסקים בתקשורת נתונים, טכנולוגיות אוויריות וחקר החלל. הארגונים שנפגעו והגורמים הביטחוניים הרלוונטיים עודכנו, אולם טרם התבהר הנזק הממשי שנגרם.
במהלך התקיפה השתמשו התוקפים בכלי תקיפה מסוג RAT המכונה ShellClient אשר לא תועד כלל עד היום.
הנוזקה הוחדרה לתשתיות הארגונים ושימשה ככלי מרכזי לריגול וגניבת מידע רגיש.
https://news.1rj.ru/str/CyberSecurityIL/1378
https://mobile.mako.co.il/news-military/2021_q4/Article-55e728255f45c71026.htm
האקר מפרסם את כל קוד המקור של פלטפורמת Twitch וכן דוחות תשלום, מוצרים בפיתוח ועוד.
פלטפורמת Twitch משמשת בעיקר את אלו הרוצים לצפות/להזרים תכנים הקשורים למשחקי מחשב וכדו', חברת Twitch היא חברת בת של אמזון.
ההאקר, פירסם מידע בנפח 125GB ללא דרישת תשלום וזאת לטענתו מאחר ולטענתו הקהילה של Twitch זו קהילה רעילה ולא מכבדת.
המידע שפורסם כולל את כל קוד המקור של המוצר, דוחות תשלום, שמות משתמשים, סיסמאות מוצפנות, פירוט על מוצרים בפיתוח שעתידים להתחרות בשירותים של חברת Steam ועוד מידע רב.
חברת Twitch מודעת לפריצה, שהתרחשה לטענתה ביום שני האחרון, אך בשלב זה החברה לא מוסרת מידע בנושא.
תודה ל- @KennySing על ההפנייה לכתבה.
https://news.1rj.ru/str/CyberSecurityIL/1379
https://www.videogameschronicle.com/news/the-entirety-of-twitch-has-reportedly-been-leaked/
פלטפורמת Twitch משמשת בעיקר את אלו הרוצים לצפות/להזרים תכנים הקשורים למשחקי מחשב וכדו', חברת Twitch היא חברת בת של אמזון.
ההאקר, פירסם מידע בנפח 125GB ללא דרישת תשלום וזאת לטענתו מאחר ולטענתו הקהילה של Twitch זו קהילה רעילה ולא מכבדת.
המידע שפורסם כולל את כל קוד המקור של המוצר, דוחות תשלום, שמות משתמשים, סיסמאות מוצפנות, פירוט על מוצרים בפיתוח שעתידים להתחרות בשירותים של חברת Steam ועוד מידע רב.
חברת Twitch מודעת לפריצה, שהתרחשה לטענתה ביום שני האחרון, אך בשלב זה החברה לא מוסרת מידע בנושא.
תודה ל- @KennySing על ההפנייה לכתבה.
https://news.1rj.ru/str/CyberSecurityIL/1379
https://www.videogameschronicle.com/news/the-entirety-of-twitch-has-reportedly-been-leaked/
דו"ח: תוקפי שירביט ובר אילן - אותה קבוצה איראנית
בחברת סנטינל וואן קובעים כי המתקפה על מערכות המחשבים של בר אילן בסוף אוגוסט נעשתה על ידי אותה קבוצה שתקפה את חברת הביטוח שירביט בדצמבר 2020. בשני המקרים מדובר במתקפה שהוסוותה כמתקפת כופר אבל מטרתה האמיתית הייתה גרימת נזק ומחיקת קבצים.
אמיתי בן שושן ארליך, חוקר במעבדות SentinelLabs של חברת סנטינל וואן, אומר שמדובר בקבוצה בשם Agrius, שמזוהה עם קבוצות איומי סייבר איראניות.
זיהוי הקבוצה התאפשר באמצעות השוואת כלי התקיפה בשני המקרים, כלי השמדה (wiper) מתקדם, שלדבריו עבר שידרוג והוספה לו היכולת לפעול ככלי כופרה. "קבוצת התקיפה פעלה באופן מאוד דומה לאירועים שבהם ראינו אותה פועלת בעבר, בשירביט וגם במתקן ממשלתי באיחוד האמירויות במפרץ, אנחנו רואים שזה כלי ייחודי לקבוצה הזאת.
קבוצת Agrius עסקה בתחילת דרכה בפעילות ריגול סייבר, ובהמשך עברה לפעילות התקפית באמצעות מחיקת קבצים של הקורבנות, בהם מספר גופים ישראליים."
https://news.1rj.ru/str/CyberSecurityIL/1380
https://m.ynet.co.il/articles/sym78r9ny
בחברת סנטינל וואן קובעים כי המתקפה על מערכות המחשבים של בר אילן בסוף אוגוסט נעשתה על ידי אותה קבוצה שתקפה את חברת הביטוח שירביט בדצמבר 2020. בשני המקרים מדובר במתקפה שהוסוותה כמתקפת כופר אבל מטרתה האמיתית הייתה גרימת נזק ומחיקת קבצים.
אמיתי בן שושן ארליך, חוקר במעבדות SentinelLabs של חברת סנטינל וואן, אומר שמדובר בקבוצה בשם Agrius, שמזוהה עם קבוצות איומי סייבר איראניות.
זיהוי הקבוצה התאפשר באמצעות השוואת כלי התקיפה בשני המקרים, כלי השמדה (wiper) מתקדם, שלדבריו עבר שידרוג והוספה לו היכולת לפעול ככלי כופרה. "קבוצת התקיפה פעלה באופן מאוד דומה לאירועים שבהם ראינו אותה פועלת בעבר, בשירביט וגם במתקן ממשלתי באיחוד האמירויות במפרץ, אנחנו רואים שזה כלי ייחודי לקבוצה הזאת.
קבוצת Agrius עסקה בתחילת דרכה בפעילות ריגול סייבר, ובהמשך עברה לפעילות התקפית באמצעות מחיקת קבצים של הקורבנות, בהם מספר גופים ישראליים."
https://news.1rj.ru/str/CyberSecurityIL/1380
https://m.ynet.co.il/articles/sym78r9ny
חברת Medtronic מפרסמת קריאה חוזרת (ריקול) בדחיפות ללקוחות העושים שימוש בשלטים למשאבת אינסולין ממשפחת MiniMed Paradigm בשל חשש ממתקפה של האקר.
חברת Medtronic זו חברה המייצרת ציוד רפואי, בין השאר משאבות אינסולין המסייעות לחולי סכרת, משאבות אלו מגיעות עם שלט אלחוטי באמצעות ניתן לשלוט במשאבה.
בהודעה שמפרסמת החברה היא מבקשת מכל מי שברשותו שלטים למשאבות אינסולין מדגם MMT-500 או MMT-503 בשילוב עם משאבה מסוג MiniMed 508 להפסיק מיידית שימוש בשלטים ולהגיע לתיקון בשל חולשה שהתגלתה ועלולה להוביל למתקפה של האקר.
השלטים הנ"ל (תמונה מצ"ב בתגובות) נמכרו בארה"ב בין השנים 1999 ליולי 2018 וככל הנראה כ-31,310 כאלו בשימוש אצל לקוחות כיום.
החולשה שהתגלתה מאפשרת לתוקף לשחזר את האות הנשלח מהשלט למשאבה ובכך למעשה לשלוט על המשאבה, לעצור את הזרמת האינסולין או לספק מנת יתר, במקרים קיצוניים הדבר עלול להביא למותם של המטופלים.
https://news.1rj.ru/str/CyberSecurityIL/1381
https://www.bleepingcomputer.com/news/security/medtronic-urgently-recalls-insulin-pump-controllers-over-hacking-concerns/
חברת Medtronic זו חברה המייצרת ציוד רפואי, בין השאר משאבות אינסולין המסייעות לחולי סכרת, משאבות אלו מגיעות עם שלט אלחוטי באמצעות ניתן לשלוט במשאבה.
בהודעה שמפרסמת החברה היא מבקשת מכל מי שברשותו שלטים למשאבות אינסולין מדגם MMT-500 או MMT-503 בשילוב עם משאבה מסוג MiniMed 508 להפסיק מיידית שימוש בשלטים ולהגיע לתיקון בשל חולשה שהתגלתה ועלולה להוביל למתקפה של האקר.
השלטים הנ"ל (תמונה מצ"ב בתגובות) נמכרו בארה"ב בין השנים 1999 ליולי 2018 וככל הנראה כ-31,310 כאלו בשימוש אצל לקוחות כיום.
החולשה שהתגלתה מאפשרת לתוקף לשחזר את האות הנשלח מהשלט למשאבה ובכך למעשה לשלוט על המשאבה, לעצור את הזרמת האינסולין או לספק מנת יתר, במקרים קיצוניים הדבר עלול להביא למותם של המטופלים.
https://news.1rj.ru/str/CyberSecurityIL/1381
https://www.bleepingcomputer.com/news/security/medtronic-urgently-recalls-insulin-pump-controllers-over-hacking-concerns/