לפעמים זה נראה שיחסית שקט כי אין הרבה דיווחים בתקשורת על מתקפות כופר.
מבדיקה קטנה שעשיתי זה ממש לא המצב, אלא להיפך (נתונים בסוף הפוסט).

במחקר מעניין שביצעו בחברת Splunk בחנו מי מקבוצות התקיפה מצפינה קבצים הכי מהר כדי להבין מה קצב התגובה הנדרש בזמן זיהוי תהליך הצפנה.
בתנאי מעבדה נבדקו נוזקות כופר של כל הקבוצות הגדולות, כשהן נדרשות להצפין כ-100,000 קבצים בנפח כולל של 53GB.

במקום הראשון "זכתה" קבוצת Lockbit עם קצב של 5:50 דק'.
במקום האחרון קבוצת Pysa עם קצב של כמעט שעתיים.
קבוצת Conti המדוברת עם תוצאה של 59 דק'.
הממוצע עומד על 43 דק' (100 נוזקות-10 משפחות כופר).

את המחקר המלא אתם מוזמנים להוריד כאן 👇🏻 (מפורסם כקובץ בתגובות)

לגבי הנתונים על כמות המתקפות, המון מתקפות מתרחשות אבל רובן לא מגיעות כלל לתקשורת. אז מדגימה קצרה של אתרי ההדלפות, זו כמות הקורבנות מתחילת מרץ:

Lockbit- 67 🥇
Conti - 58 🥈
Blackcat- 18
Hive- 17
Other small groups(combined)-50

בערך 200 קרבנות ב-23 ימים, ותוסיפו לרשימה את אלו ששילמו ולא מופיעים באתרי ההדלפות, בקיצור, לא שקט בכלל 🧟‍♂🧟‍♀🧟

https://news.1rj.ru/str/CyberSecurityIL/1798

🔔 מזכיר לכם שאם אתם מעריכים את הזמן שמושקע כאן אתם יכולים לתמוך בכוס קפה ☕, אחת לחודש, דרך Patreon 👇🏻

https://www.patreon.com/ErezDasa/membership

🙏🏻

פרצו למערכת הממוחשבת "אתר למעסיק" ואלפי פלשתינים קיבלו אישורי כניסה מזויפים.

בענף הבנייה מדווחים על חשד חמור לפריצה למערכת רגישה של צה"ל, שמשמשת לאישור כניסה לעבודה בישראל של עובדים פלשתינים, וטוענים כי מדובר ב"פריצה שיש בה כדי לפגוע בביטחון המדינה".

על פי החשד, ספסרים ברישיונות עבודה לפלשתינים פרצו למערכת, וזיהו בה תיקי קבלנים שלא מעסיקים עובדים מהרשות הפלשתינית. אותם ספסרים רשמו על שם המעסיקים הללו מאות עובדים בצורה לא חוקית.

המערכת "אתר למעסיק", שמנוהלת על ידי המינהל האזרחי, החלה לפעול בספטמבר 2021. החשד התעורר אצל קבלנים לאחר שבתקופה האחרונה הם קיבלו הודעות מרשות האוכלוסין וההגירה, שלפיהן הם מאחרים להעביר פרטים המשמשים ליצירת תלושי שכר עבור עובדים פלשתינים שהם מעסיקים, אך לאחר בירור - נתגלה כי מדובר בחברות בנייה שהפסיקו להעסיק עובדים זה מכבר.

ממתאם פעולות הממשלה בשטחים נמסר בתגובה: "עם היוודע למנהל האזרחי על כניסות לאתר שלא כדין, נחסמה הכניסה לאתר לצורך שדרוג ושיפור האבטחה.

תודה למנחם על ההפניה לכתבה.

#ישראל

https://news.1rj.ru/str/CyberSecurityIL/1800

https://www.israelhayom.co.il/business/article/9383305

פרויקט הקריפטו Cashio נפרץ ע"י האקרים שגנבו מטבעות בשווי של 28 מיליון דולר

הפרוייקט שרץ על רשת הבלוקצ'יין Solana התיימר לספק למשתמשים מטבע יציב, צמוד לשער הדולר.
לאחר שהאקר הצליח למצוא חולשה בפרוטוקול ולגנוב 28 מיליון דולר מהפרויקט ערך המטבע "היציב" צנח ב-95%.

#קריפטו

https://news.1rj.ru/str/CyberSecurityIL/1802

https://decrypt.co/95772/solana-stablecoin-project-cashio-plummets-zero-multi-million-dollar-hack

מערך הסייבר הלאומי:

פגיעויות במדפסות HP - הרצת קוד מרחוק

שלום רב,

לאחרונה פרסמה חברת HP מידע לגבי פגיעויות במאות דגמי מדפסות מתוצרתה.

הפגיעויות עלולות לאפשר לתוקף הרצת קוד מרחוק (RCE) או מימוש מתקפת מניעת שירות.

מומלץ לבחון ולהתקין גרסה עדכנית של קושחת המדפסת (Firmware) בהקדם האפשרי.

https://news.1rj.ru/str/CyberSecurityIL/1803

#מערך_הסייבר_הלאומי

חשבנו שהוא משחק במחשב: נער בן 16 מאוקספורד שבאנגליה חשוד בלקיחת חלק בקבוצת Lapsus

הנער, שנעצר ע"י משטרת לונדון עם עוד 6 נערים חשוד בכך שלקח חלק בקבוצת התקיפה Lapsus וצבר הון של כ-14 מיליון דולר ממתקפות כופר.

זהותו של הנער נחשפה ע"י האקרים שהסתכסכו עם הנער ופירסמו פרטים על שמו וכתובת מגוריו באחד הפורומים.

אבא של הנער אמר לכתב BBC כי הוא לא ידע שהבן שלי עוסק בפעילות לא חוקית אך ידע שהוא ישוב שעות רבות על המחשב וחשב שהוא משחק במשחקי מחשב.

https://news.1rj.ru/str/CyberSecurityIL/1804

https://www.bbc.com/news/technology-60864283

מעל 200 ספריות קוד פתוח זדוניות הועלו לאתר npm בניסיון לדלות מידע רגיש ממשתמשים.

מחקר של חברת Jfrog מגלה כי האקר פירסם תוך זמן קצר למעלה מ-200 ספריות קוד פתוח במטרה לגנוב מידע ממשתמשים העושים שימוש בספריות ממשפחת Azure של מייקרוסופט.

ההאקר פירסם את החבילות תחת אותן שמות של הספריות המקוריות כשהוא משמיט את החלק "@ azure" המופיע לפני שם הספריה בתקווה שמפתחים שישכחו להוסיף את הנ"ל יורידו את הספריה הזדונית.

למרות הזיהוי המהיר של הספריות הזדוניות (תוך יומיים) כל ספריה זכתה בממוצע ל-50 הורדות.

המחקר+רשימת הספריות הזדוניות +צילומי מסך מופיעים כאן

#שרשרת_אספקה #קוד_פתוח

https://news.1rj.ru/str/CyberSecurityIL/1805

חברת Ferrovie dello Stato המפעילה קווי רכבות באיטליה סובלת ממתקפת כופר, דמי הכופר - 5 מיליון דולר.

קבוצת Hive היא זו שאחראית למתקפה בעקבותיה הושבתו מכונות למכירת כרטיסי נסיעה ונרשמו שיבושים בשירותים שונים.
בהנהלת החברה הנחו את כל העובדים לכבות באופן מיידי את המחשבים.

קבוצת Hive דורשת דמי כופר של 5 מיליון דולר, שיעלו ל-10 מיליון דולר תוך 72 שעות.

#כופר #תחבורה

https://news.1rj.ru/str/CyberSecurityIL/1806

https://researchsnipers.com/italian-railways-attacked-by-ransomware-ticket-sales-stopped/

קבוצת אנונימוס מדווחת כי פרצה לבנק המרכזי ברוסיה ומפרסמת 28GB של מידע.

בין המידע שהודלף ניתן למצוא מסמכים פיננסיים רבים הקשורים לבנק החל משנת 1999.

#רוסיה_אוקראינה #דלף_מידע

https://news.1rj.ru/str/CyberSecurityIL/1807

https://euroweeklynews.com/2022/03/26/anonymous-leaks-28gb-worth-of-russian-central-bank-data/

מצטרפים לגרמניה: ועדת התקשורת הפדרלית בארה"ב מפרסמת הודעה לפיה Kaspersky מהווה סיכון לביטחון של ארה"ב.

בזאת מצטרפת Kaspersky לרשימה הלא מכובדת בארה"ב הכוללת גם את חברות Huawei, ZTE ועוד.

בנוסף אתר HackerOne הקפיא את תכנית ה-Bug Bounty של מוצרי Kaspersky מהאתר בשל הסנקציות על רוסיה.

#רוסיה_אוקראינה

https://news.1rj.ru/str/CyberSecurityIL/1808

מערך הסייבר הלאומי:

גרסה עדכנית לכרום כוללת תיקון לפגיעות Zero Day

שלום רב,

חברת גוגל שחררה לאחרונה גרסה עדכנית לדפדפן כרום מתוצרתה.

גרסה זו כוללת עדכון אבטחה לפגיעות המנוצלת בפועל בעולם (Zero Day).

מומלץ לבחון ולעדכן הדפדפן בהקדם האפשרי.

#מערך_הסייבר_הלאומי

https://news.1rj.ru/str/CyberSecurityIL/1809

חברת דומיין דה נט הישראלית מדווחת על מתקפת DDos הנמשכת מספר ימים בעקבותיה חלים שיבושים על אתרים בישראל.

החברה, שבשלב זה לא פירסמה הודעה רשמית ציבורית, הגיבה ללקוחות מודאגים במייל כי מזה מספר ימים ששרתי החברה מותקפים והדבר משפיע על לקוחות העושים שימוש בשרתי ה-DNS של החברה.

על מנת להתמודד עם המתקפה מעדכנים בדומיין דה נט כי הם חסמו גישה לאתרים מאזורים מסויימים בעולם.

מזכיר כי רק לפני מספר חודשים (נובמבר 2021) החברה סבלה ממתקפת DDos נוספת שגרמה לשיבושים נרחבים לאתרים העושים שימוש בשירותיה.

https://news.1rj.ru/str/CyberSecurityIL/1810

תודה למשתמש האנונימי על הידיעה 🙏🏻

#Ddos #ישראל

מערך הסייבר הלאומי:

פגיעות קריטית ב- Sophos Firewall

שלום רב,

לאחרונה פרסמה חברת Sophos מידע לגבי פגיעות קריטית ב-Sophos Firewall.

מומלץ לבחון ולהתקין את הגרסה העדכנית בהקדם האפשרי.

#מערך_הסייבר_הלאומי

https://news.1rj.ru/str/CyberSecurityIL/1811

פרויקט הקריפטו Revest Finance מדווח על מתקפת סייבר במהלכה האקר הצליח לגנוב מטבעות דיגיטליים בשווי 2 מיליון דולר.

במאמר מפורט שפירסמו, מסבירים ב-Revest כיצד ההאקר ניצל חולשה בקוד והצליח לגנוב את המטבעות ומתנצלים כי אין ביכולתם לפצות בשלב זה את הלקוחות שנפגעו.

#קריפטו

https://news.1rj.ru/str/CyberSecurityIL/1812

פרטים רגישים של ישראלים, מבקשי מלגות, נחשפו באתר "התכנית הלאומית להכשרת הנדסאים וטכנאים מוסמכים"

את הפרטים הרגישים חשף שמואל לנצ'נר, סטודנט בטכניון, לאחר שגילה כי בחיפוש בגוגל הוא מצליח לדלות מהאתר מידע של מבקשי מלגות כולל קבצים מצורפים רגישים כגון אישור על דרגת נכות, מסמכים עם מידע רפואי, טפסי בנק, צילומי ת.ז ועוד.

בשיתוף עם מערך הסייבר הלאומי בוצעה פניה לבעלי האתר שסגרו את החולשה.

(תמונות מצ"ב בתגובות)

#דלף_מידע #ישראל #אקדמיה

https://news.1rj.ru/str/CyberSecurityIL/1813

ספקית התקשורת הלאומית באוקראינה - Ukrtelecom, מדווחת על מתקפת סייבר בעקבותיה חלו שיבושים נרחבים במדינה.

בעקבות המתקפה דיווחה החברה כי היא השביתה את הגישה לאינטרנט לכל הלקוחות הפרטיים וזאת על מנת לספק מענה סביר לכוחות צבא ותשתיות קריטיות.

לאחר פלישת רוסיה התפוקה של Ukrtelecom ירדה ל-80% ובזמן המתקפה צנחה ל-13%.
לדברי נציג החברה, הם התגברו על המתקפה וכעת מנסים להחסיר את השירותים לסדרם.

https://news.1rj.ru/str/CyberSecurityIL/1814

https://wiki60s.com/news/60854881

#רוסיה_אוקראינה

"במהלך הנסיעה, הנהג לפתע לא שלט על הגז או הברקס" - חברת הסייבר הישראלית שמצליחה לפרוץ לרכבי טסלה.

"פריצה לרכבים היא מאוד פשוטה, יותר קשה לפרוץ לטלפון שלנו מאשר לרכב". אמר רונן שמאלי מנכ"ל ארגוס, חברה שטוענת כי יודעת לפרוץ לרכבי הטסלה היוקרתיים. בזמן מבחן שבוצע לעיני המצלמות, איליה ישב במשרדי חברת ארגוס בתל אביב בזמן שכתבנו נהג בטסלה.

במהלך הנסיעה, הנהג לפתע לא שלט על הגז או הברקס - הפחד של כל נהג כנראה. "ניתן לעשות הכול - לפוצץ כריות אוויר, לנטרל ברקסים", אמר לנו שמאלי, "לוקח זמן לפרוץ לרכב אבל זה אפשרי". יותר מכך, לדבריו כן קרו מקרים, אולם "זה לא מגיע לכותרות". אפשר רק לדמיין אם תקיפות כאלה יתרחשו באופן יום-יומי, ואיך זה ישפיע על היוקרה והמניה של טסלה.

מחברת טסלה נמסר: "אין לנו מספיק מידע על ההדגמה של חברת ארגוס". בנוסף, בטסלה הפנו אותנו למדיניות החברה שמפצירה בהאקרים ובלקוחות להתריע על כל חולשת אבטחה כדי שתטופל במהרה.

#תחבורה

https://news.1rj.ru/str/CyberSecurityIL/1815

https://mobile.mako.co.il/news-science/2022_q1/Article-907a14350124f71027.htm

הסוכנות הפדרלית לתחבורה אווירית ברוסיה (Rosaviatsia) הותקפה במתקפת סייבר במהלכה נמחקו 69TB של מידע.

בעקבות המתקפה אתר הסוכנות מושבת אך בשלב זה הסוכנות מסרבת לפרסם כי מדובר במתקפת סייבר ומפרסמת סיבות אחרות להשבתת השירותים.

לפי דיווחים של אתר The Aviation Herald בשל חוסר תקציב ממשרד האוצר ברוסיה אין גיבויים למידע שנמחק.

בשלב זה לא ידוע מי עומד מאחורי המתקפה אך ככל הנראה מדובר בקבוצת אנונימוס.

#רוסיה_אוקראינה

https://news.1rj.ru/str/CyberSecurityIL/1817

https://www.aviation24.be/miscellaneous/russo-ukrainian-war/powerful-cyber-attack-on-russias-civil-aviation-authority-servers-no-more-data-nor-back-up/

שתי קבוצות כופרה תקפו ארגון במקביל – והודעת הכופר הוצפנה.

מתקפה כפולה: זוהתה מתקפת כופר, שבמסגרתה הודעות הסחיטה שמפעילי תוכנת הכופר Karma השאירו הוצפנו 24 שעות לאחר מכן, על ידי Conti – ששהתה ברשת הקורבן באותו זמן.

חוקרי סופוס פרסמו את מחקרם על המקרה, והסבירו כיצד מפעילי ההתקפות השיגו גישה לרשת דרך שרת Microsoft Exchange שלא עודכן.

"לחטוף פגיעה כפולה ממתקפות כופרה הוא תרחיש אימה עבור כל ארגון", אמר שון גלגאהר, חוקר איומים ראשי בסופוס. "לאורך רצף הזמן המשוער היו כארבעה ימים שבהם תוקפי Conti ו-Karma היו פעילים, במקביל – ברשת הקורבן. הם נעו אחד סביב השני, כשהם מורידים ומריצים קוד, מתקינים beacons , אוספים ומחלצים נתונים ועוד". גלגאהר ציין, כי "Karma הפעילה ראשונה את השלב הסופי של ההתקפה שלה, והשאירה הודעת סחיטה במחשבים, לאחר מכן פגעה Conti – כשהיא מצפינה את נתוני הקורבן באמצעות מתקפת כופרה מסורתית יותר. בהשתלשלות המוזרה של הדברים, הודעות הסחיטה של Karma הוצפנו על ידי Conti".

#כופר

https://news.1rj.ru/str/CyberSecurityIL/1818

https://www.pc.co.il/news/359898/

פרויקט הקריפטו Ronin מדווח על מתקפת סייבר במהלכה תוקפים הצליחו לגנוב מטבעות דיגיטליים בשווי 620 מיליון דולר(!)

בהודעה שפירסמו מנהלי הפרויקט הם מדווחים כי הפריצה התאפשרה לאחר שהתוקף הצליח לפרוץ ל-5 מתוך 9 מאמתים ברשת Ronin.

בשלב זה עובדים ב-Ronin עם גופי האכיפה ומומחי קריפטו בניסיון להשיב או להקפיא לפחות חלק מהמטבעות שנגנבו במה שנראה כגניבה הגדולה ביותר בהיסטוריה של המטבעות הדיגיטליים.

מטבע RON מגיב בירידה חדה של כ-22%

#קריפטו

https://news.1rj.ru/str/CyberSecurityIL/1819

https://www.cryptojungle.co.il/600-million-usd-hack-crypto-ronin/

קבוצת Lapsus מפרסמת את הקרבן הבא- חברת Globant העוסקת במתן שירותי IT ופיתוח תוכנה.

קבוצת Lapsus מפרסמת 70GB של מידע הכולל קוד מקור של מוצרים ב-Globant עבור לקוחות וכן מפרסמת את נתוני ההזדהות למשתמשי הניהול של מערכות שונות בחברה כגון Jira, Github ועוד..

חברת Globant פועלת במספר מדינות בעולם כשהיא מעסיקה 25,000+ עובדים והכנסותיה השנתיות מסתכמות בכמעט מיליארד דולר.

#דלף_מידע #IT

https://news.1rj.ru/str/CyberSecurityIL/1820