מפתח שאחראי לספריית פיתוח פופלארית החליט למחות כנגד המלחמה והעלה גרסה זדונית המוחקת מידע של משתמשים ברוסיה ובלארוס.

הספריה - node-ipc נמצאת בשימוש רחב כשהיא זוכה ללמעלה ממיליון הורדות בשבוע, כעת המפתח שמנהל את הספריה החליט לפרסם עדכון הכולל קוד זדוני הפוגע במפתחים הנמצאים ברוסיה ובלארוס.
הקוד הזדוני מבצע מחיקה של כל התוכן של הקבצים במחשב של המשתמש ובמקומם שם אימוג'י של לב.

שימו לב שגם בתשתית Vue.js CLI הפופלארית עושים שימוש בספריה זו.
הפגיעות קיבלה את המזהה CVE-2022-23812.

#רוסיה_אוקראינה #שרשרת_אספקה #קוד_פתוח

https://news.1rj.ru/str/CyberSecurityIL/1785

https://www.bleepingcomputer.com/news/security/big-sabotage-famous-npm-package-deletes-files-to-protest-ukraine-war/

האקרים איראניים פרסמו את טופסי המס של ראש המוסד

בישראל מעריכים כי הטפסים נקלחו מחשבון המייל של אשתו של דוד ברנע, בהמלך הפריצה לחשבונות המייל של יאהו לפני כחצי שנה, במסגרתה נפרצו מיילים של אלפי ישראלים.
ההערכה היא כי בהמשך יפורסמו חומרים נוספים.

#דלף_מידע #ישראל

https://news.1rj.ru/str/CyberSecurityIL/1786

https://13tv.co.il/item/news/politics/security/david-barnea-taxes-902943318/

מערך הסייבר הלאומי מפרסם המלצות הגנה למצלמות ביתיות.

"בשנים האחרונות מצלמות האבטחה הביתיות הפכו לאמצעי שכיח כמעט בכל בית. באמצעותן ניתן לצפות בבית או בבית העסק בכל זמן ואף לבדוק שהילדים בסדר. אך חשוב לזכור שהמצלמות מחוברות לאינטרנט והן חשופות לסכנות ופריצות"

https://news.1rj.ru/str/CyberSecurityIL/1787

מוזמנים לעיין במדריך המלא כאן.

#מערך_הסייבר_הלאומי

קבוצת אנונימוס מפרסמים 79GB של מידע מתוך חטיבת המחקר והפיתוח של חברת Transneft המפעילה את צינורות הנפט ברוסיה.

המידע שפורסם כולל תכתובות מיילים וקבצים מצורפים עדכניים עד ל-15.3.22.

#דלף_מידע #רוסיה_אוקראינה

https://news.1rj.ru/str/CyberSecurityIL/1788

https://securityaffairs.co/wordpress/129276/data-breach/anonymous-transneft-data-leak.html

ההדלפות מקבוצת Conti נמשכות כאשר הפעם המדליף מפרסם קוד מקור לנוזקת כופר מעודכנת של Conti.

הנוזקה הקודמת שפורסמה הייתה משנת 2020 וכעת מפרסם המדליף נוזקה חדשה יותר, הפעם מינואר 2021.

בבדיקה שביצעו באתר BleepingComputer קוד המקור תקין והוא מאפשר יצירה של הנוזקה הכוללת את מפתחות ההצפנה והפיענוח בצורה מהירה.

מזכיר שכל זה לא משפיע בינתיים על Conti שפירסמו אתמול ארבעה קרבנות חדשים באתר ההדלפות.

#ContiLeaks

https://news.1rj.ru/str/CyberSecurityIL/1789

https://www.bleepingcomputer.com/news/security/more-conti-ransomware-source-code-leaked-on-twitter-out-of-revenge/

חברת TransUnion סובלת ממתקפת כופר לאחר שהתוקפים הצליחו להיכנס לרשת הארגון עם הסיסמה "password".

קבוצה בשם N4aughtysecTU לקחה אחריות על המתקפה שבוצעה כנגד יחידה של TransUnion הממוקמת בדרום אפריקה ודורשת דמי כופר של כ-15 מיליון דולר, אם לא תקבל את דמי הכופר מאיימת קבוצה כי תפרסם 4TB של מידע רגיש ואף תפנה באופן ישיר ללקוחות החברה עם דרישה לתשלום כופר.

מ-TransUnion נמסר כי הם לא מתכוונים לשלם את דמי הכופר.

#כופר #פיננסי

https://news.1rj.ru/str/CyberSecurityIL/1790

https://www.bitdefender.com/blog/hotforsecurity/hackers-demand-15-million-ransom-from-transunion-after-cracking-password-password

מייקרוסופט מדווחת כי היא בוחנת דיווחים על אירוע אבטחת מידע במהלכו האקרים ניגשו לקוד המקור של חלק ממוצרי החברה.

הדיווח של מייקרוסופט מגיע לאחר שקבוצת Lapsus פירסמה הודעה בערוץ הטלגרם שלה עם תמונה שנלקחה כביכול מתוך סביבת הפיתוח של מייקרוסופט.

כמה דקות אחרי שפירסמו את התמונה מחקו ב-Lapsus את התמונה מהערוץ ואמרו שיפרסמו אותה בהמשך 🤷🏻‍♂

https://news.1rj.ru/str/CyberSecurityIL/1791

https://www.bleepingcomputer.com/news/security/microsoft-investigating-claims-of-hacked-source-code-repositories/

קבוצת Lapsus מפרסמת הבוקר מידע משלושה קרבנות חדשים, חברת Microsoft , חברת LG וחברת OKTA.

מחברת מייקרוסופט מפרסמת הקבוצה קוד מקור (חלקי) ל-Bing מפות ול-Cortana, מחברת LG מפרסמת הקבוצה רשימה של שמות המשתמשים בארגון ו-hash-ים של סיסמאות, מחברת OKTA מפרסמת הקבוצה צילומי מסך המציגים כביכול גישה למשתמש ניהול וצילומי מסך ממערכות החברה, לפי הודעה של Lapsus הפריצה ל-OKTA בוצעה בשביל להגיע ללקוחות של החברה ולא בשביל לגנוב מידע מ-OKTA.
(אולי ככה הצליחו להגיע לכ"כ הרבה חברות גדולות? 🤔)

לפי צילומי המסך ולפי הודעה של Lapsus הם היו בתוך הרשת של OKTA כבר מחודש ינואר 2022.
ב-OKTA פירסמו הודעה לפיה הם בוחנים את הדיווחים על הפריצה לרשת החברה.

https://news.1rj.ru/str/CyberSecurityIL/1792

רשות הדואר הממשלתית ביוון מושבתת בעקבות מתקפת כופר.

חברת Elta המספקת שירותי דואר ביוון ונמצאת בבעלות המדינה מדווחת על מתקפת כופר בעקבותיה נאלצה להשבית מספר רחב של שירותים ולנתק את שרתיה מהאינטרנט.

צוותי ה-IT של Elta מדווחים כי התוקפים הצליחו לחדור לרשת הארגון באמצעות ניצול חולשה במוצר שלא עודכן בזמן.

#כופר #ממשלה #דואר

https://news.1rj.ru/str/CyberSecurityIL/1793

https://www.bleepingcomputer.com/news/security/greeces-public-postal-service-offline-due-to-ransomware-attack/

מספר חברות העוסקות בתחום הקריפטו מדווחות על דלף מידע בעקבות פריצה לספק המנהל את מאגר הלקוחות.

מספר חברות בתחום הקריפטו ביניהן Circle, BlockFi, Pantera Capital, ועוד, מדווחות על דלף מידע של לקוחות לאחר פריצה שבוצעה ל-HubSpot, ספק צד ג' שניהל עבור הנ"ל את מאגר הלקוחות לצרכי שיווק.

לפי חברת HubSpot הפורץ הצליח לגשת לכ-30 מאגרי לקוחות, כשהם כוללים שם, מספר טלפון וכתובת דוא"ל.

#דלף_מידע #קריפטו

https://news.1rj.ru/str/CyberSecurityIL/1794

https://www.protocol.com/bulletins/circle-blockfi-pantera-hacked

מייקרוסופט מאשרת כי אכן נפרצה ע"י קבוצת Lapsus לאחר שאלו הצליחו לפרוץ לחשבון של אחד העובדים, ומפרסמת מחקר על דרכי הפעולה של הקבוצה.

לדברי מייקרוסופט, לא דלף מידע של לקוחות וגישה לקוד המקור לא מגדילה את הסיכון:

" מיקרוסופט אינה מסתמכת על סודיות הקוד כאמצעי אבט"מ וצפייה בקוד המקור אינה מובילה להעלאת סיכון."

במקביל לאישור הפריצה מפרסמת מייקרוסופט מחקר שביצעה על דרכי הפעולה של קבוצת Lapsus (Dev-0537) שם היא מתארת באילו דרכים התוקפים משיגים גישה לארגון וכיצד הם פועלים לאחר השגת הגישה, המחקר המלא כאן.

https://news.1rj.ru/str/CyberSecurityIL/1795

#דלף_מידע #טכנולוגיה #IT

פרוייקט הקריפטו OneRing נפרץ ע"י האקר שגנב מטבעות בשווי של 1.5 מיליון דולר.

הפרוייקט, שרץ על רשת הבלוקצ'יין Fantom ומספק ללקוחות אפשרויות השקעה שונות במטבעות דיגיטליים יציבים, מדווח כי האקר ניצל חולשה בפרוטוקול, גנב מטבעות בשווי 1.5 מיליון דולר והסב נזק של עוד 500k דולר.

המטבע של הפרויקט הגיב בירידה של 20%.

#קריפטו

https://news.1rj.ru/str/CyberSecurityIL/1796

בהמשך למתקפה על חברת Okta מפרסמת החברה ציר זמן של המתקפה מאז החלה, בינואר 2022, ועד לאתמול, ומדווחת כי התוקפים הגיעו לחשבונות של כ-2.5% מהלקוחות (360+ חברות)

לפי הפרסום של Okta המתקפה התאפשרה לאחר שהתוקפים הצליחו לפרוץ לחשבון של עובד בחברת Sitel, כתוצאה מהמתקפה נחשף מידע השייך לכ-366 חברות העושות שימוש ב-Okta, כל החברות הרלוונטיות קיבלו הודעה מ-Okta.

במקביל מנהל אבט"מ של Okta יקיים היום שיחת זום בו יתן הצהרה על האירוע - ניתן להירשם כאן (שעה 17:00 שעון ישראל).

דיווחים שונים ברשת מצביעים על כך שנתוני ההזדהות לחשבון שנפרץ נמכרו לקבוצת Lapsus ב-Gensis Market, וגם ברגעים אלו חשבונות Okta של חברות נוספות מוצעים שם למכירה.

https://news.1rj.ru/str/CyberSecurityIL/1797

#דלף_מידע #טכנולוגיה #IT

לפעמים זה נראה שיחסית שקט כי אין הרבה דיווחים בתקשורת על מתקפות כופר.
מבדיקה קטנה שעשיתי זה ממש לא המצב, אלא להיפך (נתונים בסוף הפוסט).

במחקר מעניין שביצעו בחברת Splunk בחנו מי מקבוצות התקיפה מצפינה קבצים הכי מהר כדי להבין מה קצב התגובה הנדרש בזמן זיהוי תהליך הצפנה.
בתנאי מעבדה נבדקו נוזקות כופר של כל הקבוצות הגדולות, כשהן נדרשות להצפין כ-100,000 קבצים בנפח כולל של 53GB.

במקום הראשון "זכתה" קבוצת Lockbit עם קצב של 5:50 דק'.
במקום האחרון קבוצת Pysa עם קצב של כמעט שעתיים.
קבוצת Conti המדוברת עם תוצאה של 59 דק'.
הממוצע עומד על 43 דק' (100 נוזקות-10 משפחות כופר).

את המחקר המלא אתם מוזמנים להוריד כאן 👇🏻 (מפורסם כקובץ בתגובות)

לגבי הנתונים על כמות המתקפות, המון מתקפות מתרחשות אבל רובן לא מגיעות כלל לתקשורת. אז מדגימה קצרה של אתרי ההדלפות, זו כמות הקורבנות מתחילת מרץ:

Lockbit- 67 🥇
Conti - 58 🥈
Blackcat- 18
Hive- 17
Other small groups(combined)-50

בערך 200 קרבנות ב-23 ימים, ותוסיפו לרשימה את אלו ששילמו ולא מופיעים באתרי ההדלפות, בקיצור, לא שקט בכלל 🧟‍♂🧟‍♀🧟

https://news.1rj.ru/str/CyberSecurityIL/1798

🔔 מזכיר לכם שאם אתם מעריכים את הזמן שמושקע כאן אתם יכולים לתמוך בכוס קפה ☕, אחת לחודש, דרך Patreon 👇🏻

https://www.patreon.com/ErezDasa/membership

🙏🏻

פרצו למערכת הממוחשבת "אתר למעסיק" ואלפי פלשתינים קיבלו אישורי כניסה מזויפים.

בענף הבנייה מדווחים על חשד חמור לפריצה למערכת רגישה של צה"ל, שמשמשת לאישור כניסה לעבודה בישראל של עובדים פלשתינים, וטוענים כי מדובר ב"פריצה שיש בה כדי לפגוע בביטחון המדינה".

על פי החשד, ספסרים ברישיונות עבודה לפלשתינים פרצו למערכת, וזיהו בה תיקי קבלנים שלא מעסיקים עובדים מהרשות הפלשתינית. אותם ספסרים רשמו על שם המעסיקים הללו מאות עובדים בצורה לא חוקית.

המערכת "אתר למעסיק", שמנוהלת על ידי המינהל האזרחי, החלה לפעול בספטמבר 2021. החשד התעורר אצל קבלנים לאחר שבתקופה האחרונה הם קיבלו הודעות מרשות האוכלוסין וההגירה, שלפיהן הם מאחרים להעביר פרטים המשמשים ליצירת תלושי שכר עבור עובדים פלשתינים שהם מעסיקים, אך לאחר בירור - נתגלה כי מדובר בחברות בנייה שהפסיקו להעסיק עובדים זה מכבר.

ממתאם פעולות הממשלה בשטחים נמסר בתגובה: "עם היוודע למנהל האזרחי על כניסות לאתר שלא כדין, נחסמה הכניסה לאתר לצורך שדרוג ושיפור האבטחה.

תודה למנחם על ההפניה לכתבה.

#ישראל

https://news.1rj.ru/str/CyberSecurityIL/1800

https://www.israelhayom.co.il/business/article/9383305

פרויקט הקריפטו Cashio נפרץ ע"י האקרים שגנבו מטבעות בשווי של 28 מיליון דולר

הפרוייקט שרץ על רשת הבלוקצ'יין Solana התיימר לספק למשתמשים מטבע יציב, צמוד לשער הדולר.
לאחר שהאקר הצליח למצוא חולשה בפרוטוקול ולגנוב 28 מיליון דולר מהפרויקט ערך המטבע "היציב" צנח ב-95%.

#קריפטו

https://news.1rj.ru/str/CyberSecurityIL/1802

https://decrypt.co/95772/solana-stablecoin-project-cashio-plummets-zero-multi-million-dollar-hack

מערך הסייבר הלאומי:

פגיעויות במדפסות HP - הרצת קוד מרחוק

שלום רב,

לאחרונה פרסמה חברת HP מידע לגבי פגיעויות במאות דגמי מדפסות מתוצרתה.

הפגיעויות עלולות לאפשר לתוקף הרצת קוד מרחוק (RCE) או מימוש מתקפת מניעת שירות.

מומלץ לבחון ולהתקין גרסה עדכנית של קושחת המדפסת (Firmware) בהקדם האפשרי.

https://news.1rj.ru/str/CyberSecurityIL/1803

#מערך_הסייבר_הלאומי

חשבנו שהוא משחק במחשב: נער בן 16 מאוקספורד שבאנגליה חשוד בלקיחת חלק בקבוצת Lapsus

הנער, שנעצר ע"י משטרת לונדון עם עוד 6 נערים חשוד בכך שלקח חלק בקבוצת התקיפה Lapsus וצבר הון של כ-14 מיליון דולר ממתקפות כופר.

זהותו של הנער נחשפה ע"י האקרים שהסתכסכו עם הנער ופירסמו פרטים על שמו וכתובת מגוריו באחד הפורומים.

אבא של הנער אמר לכתב BBC כי הוא לא ידע שהבן שלי עוסק בפעילות לא חוקית אך ידע שהוא ישוב שעות רבות על המחשב וחשב שהוא משחק במשחקי מחשב.

https://news.1rj.ru/str/CyberSecurityIL/1804

https://www.bbc.com/news/technology-60864283

מעל 200 ספריות קוד פתוח זדוניות הועלו לאתר npm בניסיון לדלות מידע רגיש ממשתמשים.

מחקר של חברת Jfrog מגלה כי האקר פירסם תוך זמן קצר למעלה מ-200 ספריות קוד פתוח במטרה לגנוב מידע ממשתמשים העושים שימוש בספריות ממשפחת Azure של מייקרוסופט.

ההאקר פירסם את החבילות תחת אותן שמות של הספריות המקוריות כשהוא משמיט את החלק "@ azure" המופיע לפני שם הספריה בתקווה שמפתחים שישכחו להוסיף את הנ"ל יורידו את הספריה הזדונית.

למרות הזיהוי המהיר של הספריות הזדוניות (תוך יומיים) כל ספריה זכתה בממוצע ל-50 הורדות.

המחקר+רשימת הספריות הזדוניות +צילומי מסך מופיעים כאן

#שרשרת_אספקה #קוד_פתוח

https://news.1rj.ru/str/CyberSecurityIL/1805

חברת Ferrovie dello Stato המפעילה קווי רכבות באיטליה סובלת ממתקפת כופר, דמי הכופר - 5 מיליון דולר.

קבוצת Hive היא זו שאחראית למתקפה בעקבותיה הושבתו מכונות למכירת כרטיסי נסיעה ונרשמו שיבושים בשירותים שונים.
בהנהלת החברה הנחו את כל העובדים לכבות באופן מיידי את המחשבים.

קבוצת Hive דורשת דמי כופר של 5 מיליון דולר, שיעלו ל-10 מיליון דולר תוך 72 שעות.

#כופר #תחבורה

https://news.1rj.ru/str/CyberSecurityIL/1806

https://researchsnipers.com/italian-railways-attacked-by-ransomware-ticket-sales-stopped/