ה-FBI, בשיתוף עם גורמי אכיפה נוספים בעולם, משביתים את הפעילות באתר RaidForums.

האתר, ששימש האקרים רבים למכירת מידע גנוב נסגר ע"י גורמי האכיפה שהחזיקו בשליטה באתר במשך כמה חודשים.

https://news.1rj.ru/str/CyberSecurityIL/1847

https://edition.cnn.com/2022/04/12/politics/raidforums-seizure/index.html

קבוצת Lockbit שהתה ברשת של סוכנות ממשלתית בארה"ב במשך חמישה חודשים.

דו"ח חדש של חברת Sophos חושף כי קבוצת Lockbit הצליחה לחדור לסוכנות ממשלתית בארה"ב ושהתה ברשת הסוכנות חמישה חודשים.

בדו"ח מפרטים Sophos על תהליך ההשתלטות, חיזוק האחיזה ברשת, זיהוי התוקפים, הטעויות שנעשו בדרך ועוד.

"אירוע זה מבהיר את הצורך לעבוד עם צ'קליסט מסודר של משימות אבטחת מידע גם במצבי חירום. "

מוזמנים לעיין בדוח המלא כאן

https://news.1rj.ru/str/CyberSecurityIL/1848

#כופר

נחשפו פרצות שפוגעות במכשור במאות בתי חולים

חמש פרצות Zero-day, שמאפשרות להשתלט מרחוק על רובוטים שפועלים במאות בתי חולים ברחבי העולם, נחשפו לאחרונה.

את הפרצות, שזכו לכינוי JekyllBot:5, איתרו חוקרי סיינריו, שפועלת בעולם האבטחה למכשור רפואי וציוד אינטרנט של הדברים.

הפרצות התגלו ברובוטי TUG החכמים של Aethon, שתוכנתו לשמש כעזר לצוותים הרפואיים והתפעוליים בבתי החולים. הם ממלאים מטלות כגון חלוקת תרופות, ניקיון חדרי חולים והובלת ציוד, תוך שהם נשענים על גלי רדיו, חיישנים, מצלמות ואמצעים טכנולוגיים נוספים – כדי לפתוח דלתות, להיכנס למעליות ולנוע בכוחות עצמם בלא להתנגש בבני אדם, או בחפצים.

החוקרים ציינו כמה תרחישי קיצון לשימוש זדוני בפרצות שנתגלו: שיבוש או עיכוב במתן תרופות למטופלים ובדגימות מעבדה; הפרעה לטיפולים חיוניים ואף לניתוחים דחופים על ידי השבתה או חסימה של מעליות ומערכות נעילה של דלתות; ניטור וצילום של מטופלים חסרי ישע, אנשי צוות רפואי ועובדים, תיעוד של מידע רפואי רגיש ועוד.

#רפואה #חולשות

https://news.1rj.ru/str/CyberSecurityIL/1849

https://www.pc.co.il/news/360959/

מרבית מנהלי אבטחת מידע מודים כי התחום נדחק אחורה בסדר העדיפות של הארגון

דו"ח גלובלי חדש שמפרסמת חברת סייברארק מעיד ש-79% ממנהלי אבטחת המידע בארגונים מצהירים שאבטחת הסייבר נדחקה אחורה בסדר העדיפויות בשנה האחרונה לטובת האצה של יוזמות עסקיות דיגיטליות.

דו"ח מפת איומי הסייבר על זהויות של סייברארק לשנת 2022 מפרט כיצד הגידול במספר הזהויות האנושיות וזהויות המכונה – שמגיע לעיתים קרובות למאות או אלפי זהויות לארגון – גרם להצטברות של "חוב" סייבר בהקשר של אבטחת זהויות, וכך חושף ארגונים לסיכונים מוגברים, כגון: דליפת ססמאות, שימוש זדוני בזהות ארגונית לבצע גישה לא מורשית למידע ועוד.

https://www.israeldefense.co.il/node/54238

https://news.1rj.ru/str/CyberSecurityIL/1850

#דוחות #סטטיסטיקות

מוזמנים לעיין בדוח המלא כאן 👇🏻

חברת המשלוחים CitySprint מדווחת על דלף מידע לאחר שתוקפים הצליחו לגשת לאחת ממערכות החברה.

החברה פירסמה הודעה לפיה היא זיהתה גורם בלתי מורשה ברשת החברה ומידע רגיש של נהגי החברה נחשף לתוקפים.

בין המידע שנחשף - צילומי רישיונות נהיגה, צילומי רכבים, נתונים פיננסיים על הכנסות נהגים ועוד.

#תחבורה #דלף_מידע

https://news.1rj.ru/str/CyberSecurityIL/1852

https://grahamcluley.com/citysprint-confirms-security-breach-warns-delivery-drivers-their-personal-data-may-be-in-the-hands-of-hackers/

חברת NordeX העוסקת בייצור הפעלה ושיווק של טורבינות רוח, מדווחת על מתקפת כופר הגורמת לשיבושים בפעילות החברה.

קבוצת Conti היא זו שאחראית למתקפה לאחר שהצליחה באמצעות דוא"ל פישינג לשתול נוזקה ברשת של NordeX, בשלב זה היא לא מפרסמת מידע רגיש באתר ההדלפות של הקבוצה מה שמעיד ככל הנראה על משא ומתן המתנהל בין הצדדים.

חברת NordeX מדווחת כי בעקבות המתקפה היא השביתה את רשת המחשוב ואת החיבור מרחוק לניהול הטורבינות.

#תעשייה #כופר #אנרגיה

https://news.1rj.ru/str/CyberSecurityIL/1853

https://www.bleepingcomputer.com/news/security/wind-turbine-firm-nordex-hit-by-conti-ransomware-attack/

אתר גיטהאב מדווח כי האקרים גנבו טוקן גישה מחברות צד ג' והורידו רפוסיטורים פרטיים השייכים לגיטהאב ולעשרות לקוחות גיטהאב.

בדיווח שפירסמו ב-GitHub הם מדווחים כי האקר הצליח לגנוב טוקני Oauth של לקוחות מחברות Travis CI ו- Heroku ובעזרת טוקנים אלו ניגש למידע רגיש השייך לגיטהאב וללקוחות.

האירוע התחיל כשגיטהאב זיהתה שגורם בלתי מורשה ניגש לסביבת הפרודקשיין של npm (שבבעלות גיטהאב) בעזרת טוקן API לסביבת הענן באמזון.
עם חקירת המקרה הבינו בגיטהאב שאת ה-AWS API Token השיג התוקף מרפוסיטורי פרטי של npm המאוחסן בגיטהאב, את הגישה לרפוסיטורי הפרטי קיבל את התוקף באמצעות טוקן Oauth שגנב התוקף מחברות Travis CI ו-Heroku המחזיקות בטוקנים אלו בשביל לספק שירותים שונים ללקוחות.

מלבד הגישה לרפוסיטורים הפרטיים של גיטהאב הוריד ההאקר גם רפוסיטורים פרטיים של עשרות לקוחות המאוחסנים את קוד המקור שלהם בגיטהאב - הודעה מסודרת תצא לכל הלקוחות שנפגעו ב-72 שעות הקרובות.

https://news.1rj.ru/str/CyberSecurityIL/1854

#דלף_מידע #שרשרת_אספקה

https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/

משרד החוץ של ארה"ב מציע פרס של 5 מיליון דולר למי שיספק מידע על האקרים מצפון קוריאה.

ההודעה של משרד החוץ מגיע כיממה אחרי שה-FBI פירסם שהאקרים מצפון קוריאה (קבוצת Lazarus) אחראים ככל הנראה על מתקפת הסייבר וגניבת הקריפטו מרשת Ronin בה נגנבו מטבעות דיגיטליים בשווי של כ-600 מיליון דולר.

הודעת משרד החוץ והתגמול הכספי לא מיועדים רק לנושאי סייבר אלא לכל מידע שיסייע בשיבוש המנגנונים הפיננסים של צפון קוריאה.

https://news.1rj.ru/str/CyberSecurityIL/1855

https://therecord.media/u-s-offers-5-million-for-info-on-north-korean-cyber-operators/

פרויקט הקריפטו Beanstalk נפרץ ע"י האקרים שגנבו מטבעות דיגיטליים בשווי של 181 מיליון דולר.

במעקב אחרי הכסף, נראה כי ההאקרים תרמו מהכסף שנגנב 250,000 דולר לאוקריאנה 🙈

צוות הפרויקט מעדכן בטוויטר כי הוא חוקר את המקרה 🤷🏻‍♂

#קריפטו

https://news.1rj.ru/str/CyberSecurityIL/1856

חברת MetaMask - ארנק הקריפטו הפופולרי בעולם, מפרסמת הודעה לבעלי אייפון בה היא מזהירה משתמשים מהאקרים הגונבים מטבעות דיגיטליים באמצעות התחזות והשגת גישה לגיבוי iCloud.

לפי הדיווח כחלק מתהליך הגיבוי המתבצע לאפליקציית MetaMask במכשירי אייפון גם המפתח הפרטי המעניק גישה לארנק מגובה לשירות הענן של אפל והאקרים מנצלים זאת כדי לגנוב מטבעות של משתמשים.

השלבים בהם ההונאה מתבצעת:

1. האקרים מגישים בקשה לאיפוס סיסמה לחשבונות של משתמשים וגורמים לכך שמסםר הודעות דוא"ל עם בקשה לאיפוס יישלחו למשתמשים.

2. ההאקרים מתקשרים למשתמש ממספר המזוהה כ-Apple Inc, מתחזים לחברת אפל ומדווחות למשתמש כי זוהתה פעילות חשודה בחשבון.

3. ההאקרים (כשהם מתחזים לנציג אפל) מבקשים מהמשתמש קוד בן 4 ספרות כדי לאמת את זהותו כשלמעשה הקוד משמש אותם עבור איפוס סיסמת המשתמש

4. לאחר השגת גישה לחשבון ההאקרים מוציאים מהגיבוי את המפתח הפרטי לארנק הקריפטו MetaMask ומרוקנים את הארנק מהמטבעות הדיגיטליים.

במתקפה האחרונה המדווחת ההאקרים גנבו ממשתמש כ-655,000 דולר.

חברת MetaMask ממליצה לבעלי אייפון העושים שימוש באפליקציה לבטל את הגיבוי האוטומטי המתבצע ל-iCloud עבור MetaMask.

#קריפטו #הונאה

https://news.1rj.ru/str/CyberSecurityIL/1859

https://www.bleepingcomputer.com/news/security/hackers-steal-655k-after-picking-metamask-seed-from-icloud-backup/

📈 חברת Mandiant מפרסמת את דו"ח הטרנדים השנתי לשנת 2022

כמה נתונים מעניינים מהמסמך:

🕒 זמן הזיהוי של תוקף ברשת בשנת 2021 ירד ל-21 ימים. (בשנת 2011 הוא עמד על 416 ימים...)

🏬 הסקטורים המותקפים ביותר - פיננסי, שירותים עסקיים ובריאות.

➡ וקטור התקיפה המוביל - אפליקציות החשופות לציבור. הבאים בתור - שרשרת אספקה, ממשקים חיצוניים ופישינג.

עוד מחכה לכם במסמך:

💰 ניתוח הפעילות של קבוצות הכופר השונות, דרכי התמודדות וכו'.

🇨🇳 פעילות הסייבר של קבוצות תקיפה מסין.

🔒 חורי אבטחה נפוצים בארגונים.

#דוחות #סטטיסטיקות

https://news.1rj.ru/str/CyberSecurityIL/1860

מוזמנים לעיין במסמך המלא כאן 👇🏻

קבוצות התקיפה מאיימות על חוקרי אבטחת מידע?

בטוויטר יש חשבון בשם ido_cohen2 תחת הכינוי DarkFeed.
מניח שחלקכם מכירים את החשבון הזה כי בעבר ניסו לקשר אותו לקבוצות Pay2Key ו-BlackShadow שתקפו חברות ישראליות.

בחודשים האחרונים "עידו כהן" השתכלל והקים אתר המספק מידע על קבוצות התקיפה, בעיקר מידע אותו הוא מושך מאתרי ההדלפות ומרכז במקום אחד עם התראות וכו', במקביל בחשבון הטוויטר שלו הוא המשיך לפרסם אירועים מעניינים, התכתבויות מתוך צ'טים של משא ומתן בין תוקפים לקרבנות ועוד.

החל מהיום בבוקר החשבון של עידו כהן לא פעיל והאתר אותו הוא מנהל עבר למצב "תחזוקה".
אתר Databreaches מדווח כי גורם המזוהה עם קבוצות התקיפה הרוסיות עדכן אותו שקבוצת תקיפה לא אהבה את מה ש"עידו כהן" עושה והגיעו אליו הביתה לאחר שהשיגו מידע אישי עליו מטוויטר, וזו הסיבה שגרמה לו להשבית את הפעילות.

לטענת אותו גורם, את המידע משיגים קבוצת התקיפה באמצעות תשלום לגורם צד ג' המגיש עבורם בקשות EDR השמורות רק לגופי אכיפה.
(מזכיר כי לא מזמן פירסמתי שגם פייסבוק ואפל העבירו מידע כזה למתחזים)

בקיצור סיפור מעניין, לילה טוב. 🌙

https://news.1rj.ru/str/CyberSecurityIL/1862

האקרים פרו-איראנים מעיראק הפילו את אתר רשות שדות התעופה

האקרים פרו-איראנים מעיראק טוענים כי הצליחו להפיל הערב (רביעי) את אתר רשות שדות התעופה. זאת, לטענתם, נקמה על מותו של מפקד כוח קודס קאסם סולימאני. מרשות שדות התעופה נמסר כי "בדקות האחרונות האתר חווה התקפה של ריבוי משתמשים. אין פגיעה או חדירה למערכות המבצעיות של רשות שדות התעופה".

#ישראל #ממשלה #Ddos

https://news.1rj.ru/str/CyberSecurityIL/1863

https://news.walla.co.il/break/3501810

התגעגעתם לקבוצת REvil? האתר של קבוצת התקיפה חזר לחיים (בצורה מסויימת).

כזכור לפני מספר חודשים עצרו שירותי הביטחון ברוסיה את חברי קבוצת REvil לאחר שאלה פגעו במאות ארגונים.

כעת נראה כי כתובת אתר ההדלפות של קבוצת REvil ברשת האפילה החלה לבצע ניתוב מחדש לכתובת חדשה שיש מי שמקשרים אותה לקבוצת REvil המקורית.

באתר החדש מופיעים קרבנות ישנים של REvil ו-2 קרבנות חדשים: Visotec Group ו-Oil India שדיווחה על אירוע סייבר בשבוע שעבר.

בשלב זה אין קשר מוכח לקבוצת REvil המקורית אך חוקרי אבט"מ טוענים כי במעצר של הקבוצה לא נעצרו כל חברי הקבוצה ונראה כי כעת חלקם חוזרים לפעילות.

#כופר

https://news.1rj.ru/str/CyberSecurityIL/1864

https://www.itpro.co.uk/security/ransomware/367455/revil-ransomware-groups-infrastructure-comes-back-online-hinting-at

סיכום חדשות החג-שבת בסייבר:

🔸בטורניר ההאקינג Pwn2Own שהתקיים השנה במיאמי מצאו האקרים 26 חולשות Zero Day במוצרי ICS/SCADA וקיבלו תגמול מצטבר של 400,000 דולר.
בין המתחרים גם שתי חברות ישראליות - Claroty ו-Jfrog.

🔸חברת T-Mobile מאשרת כי קבוצת Lapsus השיגה גישה לרשת הארגונית לפני מספר שבועות אך לא נחשפה למידע רגיש.

🔸מספר משרדי ממשלה בקוסטה ריקה נפלו קרבן למתקפת כופר ע"י קבוצת Conti ונאלצו להשבית חלק ממערכות המחשוב. במשרדי הממשלה דיווחו כי הם לא מתכוונים לשלם את דמי הכופר שלפי השמועות עומדים על 10 מיליון דולר.

🔸בורסת בינאנס מדווחת כי הצליחה להשיב 5.8 מיליון דולר מהכספים שנגנבו מפרויקט Ronin (סכום זניח יחסית מה-620 מיליון דולר שנגנבו).

https://news.1rj.ru/str/CyberSecurityIL/1865

#קריפטו #ממשלה #כופר #דלף_מידע #חולשות

קבוצת Hackers Of Saviors מפרסמת כי הצליחה לגשת למאגרי המידע של בנקים בישראל, כולל גישה לחשבונות של לקוחות.

בסרטון שמפרסמת הקבוצה היא מציגה כיצד היא מצליחה להיכנס לחשבונות בנק של לקוחות בבנק לאומי ובבנק הבינלאומי.

את הכניסה הם מבצעים לאחר אחזור הסיסמה של המשתמש מתוך מאגרי המידע של הבנק.
לטענת הקבוצה מידע נוסף יפורסם בהמשך, כמו כן איומים כי ביום ירושלים האיראני (29.4.22) הם יבצעו מתקפות סייבר נוספות.

ממערך הסייבר הלאומי ובנק ישראל נמסר: "לפני מספר שעות הופץ סרטון בו מוצגת לכאורה פריצה לבנקים בישראל. הנושא נבדק על-ידי מערך הסייבר, בנק ישראל והבנקים, ועד כה לא נמצאו אינדיקציות לחדירה למערכות כלשהן במערכת הבנקאית".

#פיננסי #ישראל #דלף_מידע

https://news.1rj.ru/str/CyberSecurityIL/1866

השינוי בפיקוח על היצוא הביטחוני מערים קשיים על חברות הסייבר הישראליות

בימים האחרונים סגרה את שעריה חברת סייבר ישראלית קטנטנה ואלמונית בשם נמסיס. החברה, שניסתה להתחרות ב-NSO באמצעות רוגלה המשתלטת על מכשירי טלפון חכמים, מעולם לא נחשפה בתקשורת ואפילו לא החזיקה באתר אינטרנט, אך סגירתה מבשרת בעיני רבים בענף הסייבר הישראלי עידן חדש ביחסים שבין משרד הביטחון והתעשייה הישראלית.

משרד הביטחון, בשיתוף עם משרד החוץ, צה"ל וגופים נוספים בוחנים כל עסקה שבה חברת סייבר התקפי מעוניינת, תהליך שלוקח בדרך כלל 45 יום. בחודשים האחרונים, מדווחים בכירים בענף הסייבר, אנשי אפ"י דורשים הארכה בתקופת הבחינה שוב ושוב, כך שבקשות לרישיון שיווק עשויות לקחת חודשים רבים, ולרוב אינן מאושרות.

"זו הרעבה של תעשייה שלמה", אמר בכיר באחת מחברות הסייבר ההתקפי שביקש להיוותר בעילום שם. "מותירים אותנו באפילה, לא מספרים לנו היכן נמצאת הבקשה שלנו, ואם היא לא אושרה, לא מסבירים לנו למה."

https://news.1rj.ru/str/CyberSecurityIL/1867

https://www.globes.co.il/news/article.aspx?did=1001409922

#ישראל