EgregorRaaS-CERT-IL-W-1227.csv
4.9 KB
מערך הסייבר הלאומי:
כופרת Egregor
לאחרונה דווחו מספר תקיפות כנגד ארגונים בעולם באמצעות כופרה בשם Egregor.
מסמך זה יסקור את הכופרה, ואת דרכי הפעולה של התוקפים.
למסמך זה מצורף קובץ מזהים. מומלץ לנטרם במערכות הארגוניות.
כופרת Egregor
לאחרונה דווחו מספר תקיפות כנגד ארגונים בעולם באמצעות כופרה בשם Egregor.
מסמך זה יסקור את הכופרה, ואת דרכי הפעולה של התוקפים.
למסמך זה מצורף קובץ מזהים. מומלץ לנטרם במערכות הארגוניות.
חברת Symantec רוכשת את האנטי וירוס Avira תמורת 360 מיליון דולר במזומן.
ל-Avira יש כ-30 מיליון משתמשים פעילים וכ-1.5 מיליון מתוכם משלמים עבור גרסת פרימיום.
https://www.zdnet.com/google-amp/article/nortonlifelock-buys-avira-in-360-million-cash-deal/
ל-Avira יש כ-30 מיליון משתמשים פעילים וכ-1.5 מיליון מתוכם משלמים עבור גרסת פרימיום.
https://www.zdnet.com/google-amp/article/nortonlifelock-buys-avira-in-360-million-cash-deal/
המרכז הרפואי Greater שבעיר בליטמור, מרלינד הותקף במתקפת כופרה.
בשלב זה ידועים מעט פרטים על המתרחש בבית החולים אבל ככל הנראה מספר מערכות הושבתו וחלק מהתהליכים הרפואיים שנקבעו להיום ייאלצו להידחות.
https://www.securityweek.com/greater-baltimore-medical-center-hit-ransomware-attack
בשלב זה ידועים מעט פרטים על המתרחש בבית החולים אבל ככל הנראה מספר מערכות הושבתו וחלק מהתהליכים הרפואיים שנקבעו להיום ייאלצו להידחות.
https://www.securityweek.com/greater-baltimore-medical-center-hit-ransomware-attack
חברת PickPoint המספקת שירותי לוקרים למסירת משלוחים במוסקבה מודיעה כי בעקבות מתקפת סייבר 2,732 לוקרים נפתחו.
מלבד פתיחת הלוקרים המתקפה גרמה לנזקים בשרתי החברה שכעת עובדת על שחזור השרתים מגיבויים.
(וידאו בתגובות)
https://www.zdnet.com/google-amp/article/hacker-opens-2732-pickpoint-package-lockers-across-moscow/
מלבד פתיחת הלוקרים המתקפה גרמה לנזקים בשרתי החברה שכעת עובדת על שחזור השרתים מגיבויים.
(וידאו בתגובות)
https://www.zdnet.com/google-amp/article/hacker-opens-2732-pickpoint-package-lockers-across-moscow/
מרוצים מהערוץ?
שתפו עם חברים:
@CyberSecurityIL
https://news.1rj.ru/str/joinchat/AAAAAFUSsJ2_fpPAkiIs3w
שתפו עם חברים:
@CyberSecurityIL
https://news.1rj.ru/str/joinchat/AAAAAFUSsJ2_fpPAkiIs3w
ענקית האלקטרוניקה Foxconn המייצרת רכיבים לחברות רבות נפלה קרבן למתקפת כופרה.
מתקפת הכופרה פגעה רק בסניף הנמצא במכסיקו, קבוצת התקיפה DoppelPaymer לוקחת אחריות על המתקפה ומפרסמת דרישת כופר של 34 מיליון דולר (תמונות בתגובות).
לדברי DoppelPaymer הם הצפינו 1200 שרתים וגנבו מידע בנפח 100gb.
חברת Foxconn מעסיקה 800,000 עובדים מסביב לעולם והכנסותיה השנתיות ב-2019 הסתכמו ב-172 מיליארד דולר.
החברה מייצרת רכיבים עבור חברות רבות כגון אפל, סוני, מייקרוסופט ועוד.
https://www.bleepingcomputer.com/news/security/foxconn-electronics-giant-hit-by-ransomware-34-million-ransom/
מתקפת הכופרה פגעה רק בסניף הנמצא במכסיקו, קבוצת התקיפה DoppelPaymer לוקחת אחריות על המתקפה ומפרסמת דרישת כופר של 34 מיליון דולר (תמונות בתגובות).
לדברי DoppelPaymer הם הצפינו 1200 שרתים וגנבו מידע בנפח 100gb.
חברת Foxconn מעסיקה 800,000 עובדים מסביב לעולם והכנסותיה השנתיות ב-2019 הסתכמו ב-172 מיליארד דולר.
החברה מייצרת רכיבים עבור חברות רבות כגון אפל, סוני, מייקרוסופט ועוד.
https://www.bleepingcomputer.com/news/security/foxconn-electronics-giant-hit-by-ransomware-34-million-ransom/
חדשות סייבר - ארז דסה
ההאקר הרוסי "אלכסנדר ויניק" מתחיל היום הליך משפטי בצרפת בו הוא מואשם בעבירות סייבר הכוללות גניבה והלבנה של כספים בהיקף של מליארדי דולרים. לפי כתב התביעה מואשם אלכסנדר במתקפות כופרה כנגד 200 קורבנות מהן גבה 135 מיליון אירו, וכן מואשם ע"י ממשלת ארה"ב בהלבנת…
עדכון לכתבה שהועלתה כאן בערוץ לפני כחודש
בית המשפט בצרפת קבע היום את גזר דינו של אלכסנדר ויניק המואשם בעבירות סייבר רבות הכוללות הפצת כופרה והלבנות הון באמצעות ביטקוין.
בית המשפט קבע כי ויניק יירצה עונש מאסר בפועל של 5 שנים וישלם קנס של 100k€.
עם זאת התובעים לא הצליחו להוכיח כי ויניק עומד מאחורי הפצת הכופרה Locky מה שהיה מחמיר את עונשו של ויניק.
https://www.zdnet.com/google-amp/article/btc-e-founder-sentenced-to-five-years-in-prison-for-laundering-ransomware-funds/
שיתוף פעולה בין חברת Cloudflare ו-Apple לבניית פרוטוקול DNS מאובטח השומר על פרטיות המשתמשים.
מהנדסים משתי החברות עובדים יחד על פרוטוקול תקשורת חדש בשם ODoH אשר יבטיח כי שאילתות DNS של משתמשים יבוצעו באופן מאובטח ופרטי.
[ הרחבה טכנית קצרה למעוניינים:
כיום שאילתות DNS עוברות על גבי פורט 53 שאינו מוצפן ובעצם מאפשר לכל אחד לצפות בתעבורה ולדעת לאילו אתרים משתמשים ניגשים.
הפיתרון החלקי לבעיה זו היה DNS over Https כך שתעבורת תקשורת הקשורה לבקשות DNS תעבור על גבי תווך מוצפן.
הבעיה שנותרה: שרת ה-DNS שמקבל את הבקשה עדיין יודע מי הגיש את הבקשה ולאיזה אתר הוא מעוניין לגשת.
הפיתרון: OdOH - בפרוטוקול החדש בקשת DNS תהיה מוצפנת ותגיע לפרוקסי שידע מי המשתמש אך לא יידע מה הבקשה מכילה.
שרת ה-DNS לא יידע מי המשתמש שניגש אלא רק יעבד את הבקשה ויחזיר תשובה מוצפנת לפרוקסי שיחזיר בתורו את התשובה למשתמש ]
https://techcrunch.com/2020/12/08/cloudflare-and-apple-design-a-new-privacy-friendly-internet-protocol/amp/
מהנדסים משתי החברות עובדים יחד על פרוטוקול תקשורת חדש בשם ODoH אשר יבטיח כי שאילתות DNS של משתמשים יבוצעו באופן מאובטח ופרטי.
[ הרחבה טכנית קצרה למעוניינים:
כיום שאילתות DNS עוברות על גבי פורט 53 שאינו מוצפן ובעצם מאפשר לכל אחד לצפות בתעבורה ולדעת לאילו אתרים משתמשים ניגשים.
הפיתרון החלקי לבעיה זו היה DNS over Https כך שתעבורת תקשורת הקשורה לבקשות DNS תעבור על גבי תווך מוצפן.
הבעיה שנותרה: שרת ה-DNS שמקבל את הבקשה עדיין יודע מי הגיש את הבקשה ולאיזה אתר הוא מעוניין לגשת.
הפיתרון: OdOH - בפרוטוקול החדש בקשת DNS תהיה מוצפנת ותגיע לפרוקסי שידע מי המשתמש אך לא יידע מה הבקשה מכילה.
שרת ה-DNS לא יידע מי המשתמש שניגש אלא רק יעבד את הבקשה ויחזיר תשובה מוצפנת לפרוקסי שיחזיר בתורו את התשובה למשתמש ]
https://techcrunch.com/2020/12/08/cloudflare-and-apple-design-a-new-privacy-friendly-internet-protocol/amp/
CISCOSECMAN-CERT-IL-W-1206A.pdf
299.2 KB
מערך הסייבר הלאומי:
פגיעויות במוצר Cisco Security Manager- עדכון
חברת סיסקו פרסמה שלוש התרעות אבטחה, אחת מהן ברמת חומרה קריטית, עבור פגיעויות שהתגלו במוצר Cisco Security Manager מתוצרתה.
הפגיעות הקריטית (CVE-2020-27130) עלולה לאפשר לתוקף בלתי מאומת (unauthenticated) השגת גישה מרחוק למידע רגיש. המידע עלול לשמש לתקיפת המשך.
מומלץ לבחון ולהתקין בהקדם את הגרסה העדכנית שפורסמה על-ידי החברה.
[עדכון] חברת סיסקו פרסמה עדכון עבור פגיעות CVE-2020-27131 העלולה לאפשר לתוקף בלתי-מאומת (unauthenticated) להריץ מרחוק פקודות לבחירתו עם הרשאות System.
פגיעויות במוצר Cisco Security Manager- עדכון
חברת סיסקו פרסמה שלוש התרעות אבטחה, אחת מהן ברמת חומרה קריטית, עבור פגיעויות שהתגלו במוצר Cisco Security Manager מתוצרתה.
הפגיעות הקריטית (CVE-2020-27130) עלולה לאפשר לתוקף בלתי מאומת (unauthenticated) השגת גישה מרחוק למידע רגיש. המידע עלול לשמש לתקיפת המשך.
מומלץ לבחון ולהתקין בהקדם את הגרסה העדכנית שפורסמה על-ידי החברה.
[עדכון] חברת סיסקו פרסמה עדכון עבור פגיעות CVE-2020-27131 העלולה לאפשר לתוקף בלתי-מאומת (unauthenticated) להריץ מרחוק פקודות לבחירתו עם הרשאות System.
VMWARE-CERT-IL-W-1215C.pdf
271.5 KB
מערך הסייבר הלאומי:
[עדכון] פגיעות במוצרים של חברת VMware
[עדכון] חברת VMware פרסמה התרעת אבטחה עבור פגיעות במוצריה.
הפגיעות עלולה לאפשר הזרקת פקודות למערכת ההפעלה באמצעות ממשק administrative configurator.
טרם פורסם עדכון אבטחה עבור הפגיעות, אך החברה פרסמה מעקף זמני.
[עדכון] פורסמו עדכוני אבטחה לפגיעות.
[עדכון] ה-NSA פרסם כי פגיעויות אלו מנוצלות בפועל על ידי קבוצת תקיפה מדינתית.
[עדכון] פגיעות במוצרים של חברת VMware
[עדכון] חברת VMware פרסמה התרעת אבטחה עבור פגיעות במוצריה.
הפגיעות עלולה לאפשר הזרקת פקודות למערכת ההפעלה באמצעות ממשק administrative configurator.
טרם פורסם עדכון אבטחה עבור הפגיעות, אך החברה פרסמה מעקף זמני.
[עדכון] פורסמו עדכוני אבטחה לפגיעות.
[עדכון] ה-NSA פרסם כי פגיעויות אלו מנוצלות בפועל על ידי קבוצת תקיפה מדינתית.
חברת Crowdstrike המספקת שירותי אבטחת מידע מפרסמת דו"ח המתייחס לטיפול ותגובה באירועי אבט"מ בשנת 2020.
כמה נקודות מעניינות מהמסמך:
🔻ב-68% מהמקרים, ארגונים שחוו מתקפת סייבר מוצלחת הותקפו במתקפה נוספת תוך 12 חודשים.
🔻ב-30% מהחברות מוצר ה-EDR קיים אך לא מוגדר כראוי ולכן אינו מספק הגנה כנדרש.
🔻81% מאירועי הסייבר שנוטרו ע"י צוות Crowdstrike היו אירועי כופרה.
🔻79 ימים- זהו הזמן הממוצע בו שוהה תוקף בתוך רשת החברה (זיהוי התוקף יכול להימשך אף זמן רב יותר)
מוזמנים לקרוא את הדו"ח המלא כאן 👇🏻
כמה נקודות מעניינות מהמסמך:
🔻ב-68% מהמקרים, ארגונים שחוו מתקפת סייבר מוצלחת הותקפו במתקפה נוספת תוך 12 חודשים.
🔻ב-30% מהחברות מוצר ה-EDR קיים אך לא מוגדר כראוי ולכן אינו מספק הגנה כנדרש.
🔻81% מאירועי הסייבר שנוטרו ע"י צוות Crowdstrike היו אירועי כופרה.
🔻79 ימים- זהו הזמן הממוצע בו שוהה תוקף בתוך רשת החברה (זיהוי התוקף יכול להימשך אף זמן רב יותר)
מוזמנים לקרוא את הדו"ח המלא כאן 👇🏻
חברת FireEye, המספקת מערכות ושירותים בתחום הגנת הסייבר, מפרסמת כי היא נפלה קרבן למתקפת סייבר במהלכה נגנבו משרתי החברה כלי תקיפה המשמשים את צוותי החברה.
לדברי FireEye מאחורי התקיפה עומדת מדינה שהשקיעה מאמץ רב בתקיפה ובאיסוף מידע על לקוחות ממשלתיים. בשלב זה לא פורסמו פרטים נוספים על הדרך ועל הזמן המדוייק בו הצליחו התוקפים להיכנס לרשת החברה.
מערך הגנת הסייבר של ארה"ב (CISA) פרסם הודעה בנושא וכן מנכ"ל FireEye פרסם את הודעה רשמית על הפריצה בבלוג של החברה בה הוא מאשר כי הכלים שנגנבו אינם עושים שימוש בחולשות Zero-Day.
(מניית FireEye מגיבה בירידה של 7% במסחר המאוחר בבורסה)
https://mobile-reuters-com.cdn.ampproject.org/c/s/mobile.reuters.com/article/amp/idUSKBN28I31E
לדברי FireEye מאחורי התקיפה עומדת מדינה שהשקיעה מאמץ רב בתקיפה ובאיסוף מידע על לקוחות ממשלתיים. בשלב זה לא פורסמו פרטים נוספים על הדרך ועל הזמן המדוייק בו הצליחו התוקפים להיכנס לרשת החברה.
מערך הגנת הסייבר של ארה"ב (CISA) פרסם הודעה בנושא וכן מנכ"ל FireEye פרסם את הודעה רשמית על הפריצה בבלוג של החברה בה הוא מאשר כי הכלים שנגנבו אינם עושים שימוש בחולשות Zero-Day.
(מניית FireEye מגיבה בירידה של 7% במסחר המאוחר בבורסה)
https://mobile-reuters-com.cdn.ampproject.org/c/s/mobile.reuters.com/article/amp/idUSKBN28I31E
QNAP-CERT-IL-W-1228.pdf
291.8 KB
מערך הסייבר הלאומי:
חברת QNAP פרסמה אתמול 8 עדכוני אבטחה עבור פגיעויות העלולות לאפשר השתלטות של תוקפים על מכשירי NAS מתוצרתה.
2. מומלץ לבחון ולהתקין בהקדם את הגרסאות העדכניות שפורסמו על-ידי החברה.
חברת QNAP פרסמה אתמול 8 עדכוני אבטחה עבור פגיעויות העלולות לאפשר השתלטות של תוקפים על מכשירי NAS מתוצרתה.
2. מומלץ לבחון ולהתקין בהקדם את הגרסאות העדכניות שפורסמו על-ידי החברה.
Security Updates 2020-12.xlsx
10.5 KB
מערך הסייבר הלאומי:
ב-8 לחודש פרסמה מיקרוסופט כ-58 עדכוני אבטחה לפגיעויות בתוכנות נתמכות. 9 פגיעויות מסווגות כקריטיות.
הפגיעויות החמורות ביותר עלולות לאפשר לתוקפים הפעלת קוד מרחוק (RCE).
בתוכנת Sharepoint קיימות מספר פגיעויות המאפשרות הרצת קוד מרחוק.
בתוכנת Exchange קיימות מספר פגיעויות המאפשרות הרצת קוד מרחוק.
מומלץ מאד לבחון העדכונים בסביבת ניסוי, ולהתקינם בהקדם האפשרי.
ב-8 לחודש פרסמה מיקרוסופט כ-58 עדכוני אבטחה לפגיעויות בתוכנות נתמכות. 9 פגיעויות מסווגות כקריטיות.
הפגיעויות החמורות ביותר עלולות לאפשר לתוקפים הפעלת קוד מרחוק (RCE).
בתוכנת Sharepoint קיימות מספר פגיעויות המאפשרות הרצת קוד מרחוק.
בתוכנת Exchange קיימות מספר פגיעויות המאפשרות הרצת קוד מרחוק.
מומלץ מאד לבחון העדכונים בסביבת ניסוי, ולהתקינם בהקדם האפשרי.
חברת NetGain המספקת שירותי מחשוב לארגונים סובלת ממתקפת כופרה מזה כשבועיים.
לפי המידע שפורסם היום, ב-24.11 החברה הותקפה במתקפת כופרה ונאלצה לנתק חלק גדול מחוות השרתים מה שגרם לשיבושים אצל הלקוחות.
נכון לעכשיו, חלק מחוות השרתים של החברה עדיין מנותק מהרשת והחברה עובדת מסביב לשעון כדי לשקם את הנזקים ולחזור לפעילות שגרתית.
בימים האחרונים החלה NetGain לשלוח מכתב ללקוחות בנושא המתקפה (מצ"ב בתגובות).
https://www.bleepingcomputer.com/news/security/ransomware-forces-hosting-provider-netgain-to-take-down-data-centers/
לפי המידע שפורסם היום, ב-24.11 החברה הותקפה במתקפת כופרה ונאלצה לנתק חלק גדול מחוות השרתים מה שגרם לשיבושים אצל הלקוחות.
נכון לעכשיו, חלק מחוות השרתים של החברה עדיין מנותק מהרשת והחברה עובדת מסביב לשעון כדי לשקם את הנזקים ולחזור לפעילות שגרתית.
בימים האחרונים החלה NetGain לשלוח מכתב ללקוחות בנושא המתקפה (מצ"ב בתגובות).
https://www.bleepingcomputer.com/news/security/ransomware-forces-hosting-provider-netgain-to-take-down-data-centers/
AMNESIA33-CERT-IL-W-1230.pdf
297.2 KB
מערך הסייבר הלאומי:
פגיעויות קריטיות ב-TCP/IP Stacks של ספריות קוד פתוח
חברת Forescout Technologies חשפה 33 פגיעויות ב-TCP/IP stacks של ספריות קוד פתוח, העלולות לאפשר הרצת קוד מרחוק (RCE), מתקפת מניעת שירות (DoS), דלף מידע ו-DNS cache poisoning.
להערכת החוקרים, הספריות הפגיעות מותקנות במערכות של כ-150 יצרנים של ציוד IoT, OT ו-IT. להערכתם, מדובר במיליונים של פריטי ציוד פגיעים.
פגיעויות קריטיות ב-TCP/IP Stacks של ספריות קוד פתוח
חברת Forescout Technologies חשפה 33 פגיעויות ב-TCP/IP stacks של ספריות קוד פתוח, העלולות לאפשר הרצת קוד מרחוק (RCE), מתקפת מניעת שירות (DoS), דלף מידע ו-DNS cache poisoning.
להערכת החוקרים, הספריות הפגיעות מותקנות במערכות של כ-150 יצרנים של ציוד IoT, OT ו-IT. להערכתם, מדובר במיליונים של פריטי ציוד פגיעים.
סוכנות התרופות האירופית (EMA), שאחראית על מתן האישורים לחיסונים לקורונה, הותקפה במתקפת סייבר במהלכה התוקפים ניגשו למסמכים הקשורים לחיסונים.
לדברי חברת ביונטק, שמפתחת את החיסון ביחד עם חברת פייזר, לתקיפה לא תהיה השפעה על תהליכי הפצת החיסונים וכי התוקפים ניגשו רק למסמכים הקשורים לאישורי רגולציה עבור החיסונים.
https://www.bbc.com/news/technology-55249353
לדברי חברת ביונטק, שמפתחת את החיסון ביחד עם חברת פייזר, לתקיפה לא תהיה השפעה על תהליכי הפצת החיסונים וכי התוקפים ניגשו רק למסמכים הקשורים לאישורי רגולציה עבור החיסונים.
https://www.bbc.com/news/technology-55249353
חדשות סייבר - ארז דסה
קבוצת התקיפה Ryuk ממשיכה להכות בארגונים, והפעם - שני מרכזים רפואיים בברוקלין ובורמונט. שני המרכזים הרופאים הודיעו אמש כי הם נפלן קרבן למתקפת כופרה מסוג Ryuk ונאלצו להשבית חלק ניכר ממערכות המחשוב בכדי לנסות להתמודד עם המתקפה. בורומנט אף הודיעו כי התקיפה גרמה…
[עדכון] בית החולים בוורמונט עדיין מנסה להתאושש ממתקפת הכופרה שתקפה אותם ב-30 לאוקטובר.
לדברי מנהל בית החולים כל 5,000 המחשבים של רשת בית החולים הושפעו ונכון לעכשיו (חודש+ אחרי המתקפה) הם החזירו לפעילות מלאה 70% ממערך המחשוב.
כמה זה עולה להם? לדברי המנכ"ל העלות היומית המשוקללת מוערכת בכ-1.5 מיליון דולר לכל יום השבתה(!) .
(העלות המשוקללת כוללת הפסד הכנסות+הוצאות על שחזור הרשת והתאוששות מהמתקפה)
לדברי מנהל בית החולים כל 5,000 המחשבים של רשת בית החולים הושפעו ונכון לעכשיו (חודש+ אחרי המתקפה) הם החזירו לפעילות מלאה 70% ממערך המחשוב.
כמה זה עולה להם? לדברי המנכ"ל העלות היומית המשוקללת מוערכת בכ-1.5 מיליון דולר לכל יום השבתה(!) .
(העלות המשוקללת כוללת הפסד הכנסות+הוצאות על שחזור הרשת והתאוששות מהמתקפה)