"פרצנו לחברות ששוות מאות מיליארדי דולרים תוך 30 דקות" -
שלושה חוקרי אבט"מ ישראלים מציגים כיצד הצליחו לשתול תוסף זדוני בחנות התוספים של VSCode ולפרוץ באמצעותו לעשרות ארגונים.
עמית אסרף, איתי קרוק ועידן דרדיקמן החליטו לבדוק את רמת האבטחה בחנות התוספים של VSCode.
ויז'ואל סטודיו קוד (באנגלית: Visual Studio Code) היא פלטפורמה לכתיבת קוד המופצת על ידי חברת מייקרוסופט.
מייקרוסופט מפעילה בנוסף גם חנות תוספים ל-VSCode שם מפתחים יכולים להוריד תוספים שונים שישפרו את חווית הפיתוח.
החוקרים יצרו תוסף המתחזה לתוסף הפופולרי Dracula, המאפשר למפתחים להחליף את ערכת הצבעים של VSCode לערכה כהה הנוחה יותר לעין.
החוקרים הוסיפו כמה שורות קוד זדוניות לתוסף החדש שיצרו ונתנו לו את השם הכמעט זהה - Darcula, תוך שהם מקימים גם אתר מתחזה לאתר הרשמי של התוסף המקורי🧛 .
את האתר המתחזה הם אישרו בקלות מול חנות התוספים של VSCode ובכך למעשה הם הפכו תוך זמן קצר למפיצים של תוסף זדוני הזהה כמעט לחלוטין בשמו לתוסף המקורי.
תוך זמן קצר מאד התוסף הזדוני תופס תאוצה ומשתמשים בארגונים רבים מסביב לעולם החלו להוריד את התוסף הזדוני במקום את התוסף הרשמי.
תוך פחות מ-24 שעות כבר עשרות מחשבים הודבקו בנוזקה, כשחלק מהקרבנות אלו חברות ענק השוות מאות מיליארדי דולרים, חברות אבטחת מידע ועוד.
הנוזקה לא זוהתה על ידי מערכות ההגנה השונות בארגונים...
עד כמה המצב חמור?
החוקרים לקחו את המחקר צעד קדימה והחליטו לבדוק את מצבם של תוספים אחרים בחנות התוספים של VSCode (שמכיל כ-60k תוספים).
שימו לב לנתונים שהם גילו:
- 1,283 תוספים הכילו קוד זדוני (הותקנו 229 מיליון פעמים)
- 8,161 תוספים מבצעים תקשורת מול כתובות IP המוגדרות בתוך הקוד של התוסף.
- 1,442 תוספים מפעילים קבצי הרצה לא ידועים.
המחקר המלא זמין לכם כאן 👉🏻
חשוב לציין כי מחקר זהה בוצע לפני כשנה ע"י חוקרים ישראלים מחברת Aqua - כאן
https://news.1rj.ru/str/CyberSecurityIL/5240
שלושה חוקרי אבט"מ ישראלים מציגים כיצד הצליחו לשתול תוסף זדוני בחנות התוספים של VSCode ולפרוץ באמצעותו לעשרות ארגונים.
עמית אסרף, איתי קרוק ועידן דרדיקמן החליטו לבדוק את רמת האבטחה בחנות התוספים של VSCode.
ויז'ואל סטודיו קוד (באנגלית: Visual Studio Code) היא פלטפורמה לכתיבת קוד המופצת על ידי חברת מייקרוסופט.
מייקרוסופט מפעילה בנוסף גם חנות תוספים ל-VSCode שם מפתחים יכולים להוריד תוספים שונים שישפרו את חווית הפיתוח.
החוקרים יצרו תוסף המתחזה לתוסף הפופולרי Dracula, המאפשר למפתחים להחליף את ערכת הצבעים של VSCode לערכה כהה הנוחה יותר לעין.
החוקרים הוסיפו כמה שורות קוד זדוניות לתוסף החדש שיצרו ונתנו לו את השם הכמעט זהה - Darcula, תוך שהם מקימים גם אתר מתחזה לאתר הרשמי של התוסף המקורי
את האתר המתחזה הם אישרו בקלות מול חנות התוספים של VSCode ובכך למעשה הם הפכו תוך זמן קצר למפיצים של תוסף זדוני הזהה כמעט לחלוטין בשמו לתוסף המקורי.
תוך זמן קצר מאד התוסף הזדוני תופס תאוצה ומשתמשים בארגונים רבים מסביב לעולם החלו להוריד את התוסף הזדוני במקום את התוסף הרשמי.
תוך פחות מ-24 שעות כבר עשרות מחשבים הודבקו בנוזקה, כשחלק מהקרבנות אלו חברות ענק השוות מאות מיליארדי דולרים, חברות אבטחת מידע ועוד.
הנוזקה לא זוהתה על ידי מערכות ההגנה השונות בארגונים...
עד כמה המצב חמור?
החוקרים לקחו את המחקר צעד קדימה והחליטו לבדוק את מצבם של תוספים אחרים בחנות התוספים של VSCode (שמכיל כ-60k תוספים).
שימו לב לנתונים שהם גילו:
- 1,283 תוספים הכילו קוד זדוני (הותקנו 229 מיליון פעמים)
- 8,161 תוספים מבצעים תקשורת מול כתובות IP המוגדרות בתוך הקוד של התוסף.
- 1,442 תוספים מפעילים קבצי הרצה לא ידועים.
המחקר המלא זמין לכם כאן 👉🏻
חשוב לציין כי מחקר זהה בוצע לפני כשנה ע"י חוקרים ישראלים מחברת Aqua - כאן
https://news.1rj.ru/str/CyberSecurityIL/5240
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯113👍27❤8🤬6🫡5🔥2🦄2😈1🤓1
חדשות סייבר - ארז דסה
מתקפת הסייבר על משרד עורכי הדין הגדול מסתבכת: "אותר גורם עוין ברשת"
עדכון:
גולדפרב-זליגמן: הסתיים אירוע הסייבר, מערכות המחשוב חזרו לפעול.
בהודעה שהעביר ללקוחות ציין משרד עורכי הדין כי מערכות הסייבר של המערכות שודרגו ושהתוקף הוסר מן הרשת. עוד נאמר כי "ישנן אינדיקציות לדליפת מידע מתוך שרתי החברה, אולם למרות מאמצים רבים שננקטו, לא ניתן לקבוע את תוכנו" (כלכליסט)
https://news.1rj.ru/str/CyberSecurityIL/5241
#ישראל
גולדפרב-זליגמן: הסתיים אירוע הסייבר, מערכות המחשוב חזרו לפעול.
בהודעה שהעביר ללקוחות ציין משרד עורכי הדין כי מערכות הסייבר של המערכות שודרגו ושהתוקף הוסר מן הרשת. עוד נאמר כי "ישנן אינדיקציות לדליפת מידע מתוך שרתי החברה, אולם למרות מאמצים רבים שננקטו, לא ניתן לקבוע את תוכנו" (כלכליסט)
https://news.1rj.ru/str/CyberSecurityIL/5241
#ישראל
🤬10👍5❤3
קבוצת Handala טוענת כי היא פרצה לחברת SolidCam וגנבה 800GB של מידע.
חברת SolidCam מספקת פתרונות בתחום עיבוד שבבי ממוחשב ונחשבת לאחת מהמובילות בעולם בתחום, החברה מפעילה סניפים ברחבי העולם, ביניהם גם בישראל.
https://news.1rj.ru/str/CyberSecurityIL/5242
#ישראל #דלף_מידע #תעשיה
חברת SolidCam מספקת פתרונות בתחום עיבוד שבבי ממוחשב ונחשבת לאחת מהמובילות בעולם בתחום, החברה מפעילה סניפים ברחבי העולם, ביניהם גם בישראל.
https://news.1rj.ru/str/CyberSecurityIL/5242
#ישראל #דלף_מידע #תעשיה
👍7🤯5🤬3🔥2🤣1
בקשת חירום לתרומות דם בעקבות מתקפת כופר בלונדון.
לפני שבוע פירסמתי כי ספקית השירותים הרפואיים Synnovis סובלת ממתקפת כופר המשפיעה על מספר בתי חולים בלונדון.
קבוצת התקיפה Qilin לקחה אחריות למתקפה.
כעת משרד הבריאות בבריטניה מפרסם הודעה לפיה המערכות בהן בתי החולים משתמשים עבור איתור סוג הדם של המטופל לא מתפקדות כראוי, הדבר גורם לעיכובים במתן מנות דם דחופות ומסכן את המטופלים.
בעקבות המצב, משרד הבריאות בבריטניה פירסם קריאת חירום לבעלי דם מסוג O+/- להגיע ולתרום מנות דם, על מנת שאלו יוכלו להינתן במהירות למטופלים דחופים, שלא יכולים להמתין לחלופות, בהן בתי החולים עושים שימוש בזמן המתקפה.
🩸אני מניח שאולי קצת קשה להבין את הקשר בין הדברים, אבל תחשבו שבטיפול חירום או טיפול אחר המצריך מתן מנת דם במהירות, לרופאים לא תמיד יש זמן לבדוק את סוג הדם של המטופל, בשגרה זה נעשה במהירות באמצעות מערכות שונות אבל כעת, כשהן מושבתות, הרופאים פשוט נותנים למטופל מנת דם מסוג O- שמתאימה לכל סוגי המטופלים או O+ שמתאימה לרוב המטופלים ובעקבות כך מנות דם אלו נגמרות מהר...
https://news.1rj.ru/str/CyberSecurityIL/5243
#רפואה #כופר
לפני שבוע פירסמתי כי ספקית השירותים הרפואיים Synnovis סובלת ממתקפת כופר המשפיעה על מספר בתי חולים בלונדון.
קבוצת התקיפה Qilin לקחה אחריות למתקפה.
כעת משרד הבריאות בבריטניה מפרסם הודעה לפיה המערכות בהן בתי החולים משתמשים עבור איתור סוג הדם של המטופל לא מתפקדות כראוי, הדבר גורם לעיכובים במתן מנות דם דחופות ומסכן את המטופלים.
בעקבות המצב, משרד הבריאות בבריטניה פירסם קריאת חירום לבעלי דם מסוג O+/- להגיע ולתרום מנות דם, על מנת שאלו יוכלו להינתן במהירות למטופלים דחופים, שלא יכולים להמתין לחלופות, בהן בתי החולים עושים שימוש בזמן המתקפה.
🩸אני מניח שאולי קצת קשה להבין את הקשר בין הדברים, אבל תחשבו שבטיפול חירום או טיפול אחר המצריך מתן מנת דם במהירות, לרופאים לא תמיד יש זמן לבדוק את סוג הדם של המטופל, בשגרה זה נעשה במהירות באמצעות מערכות שונות אבל כעת, כשהן מושבתות, הרופאים פשוט נותנים למטופל מנת דם מסוג O- שמתאימה לכל סוגי המטופלים או O+ שמתאימה לרוב המטופלים ובעקבות כך מנות דם אלו נגמרות מהר...
https://news.1rj.ru/str/CyberSecurityIL/5243
#רפואה #כופר
🤯18👍7🤬4❤3
חדשות סייבר - ארז דסה
חברת Snowflake מפרסמת הכחשה וטוענת כי הרשת הארגונית של החברה לא נפרצה וכי אף תוקף לא השיג אחיזה ברשת בעזרת נתוני הזדהות של עובד החברה.
עם זאת החברה כן מאשרת שתוקף השיג נתוני הזדהות של עובד לשעבר המאפשרים גישה למערכת דמו שאינה מכילה מידע רגיש...
עם זאת החברה כן מאשרת שתוקף השיג נתוני הזדהות של עובד לשעבר המאפשרים גישה למערכת דמו שאינה מכילה מידע רגיש...
אז נפרצה או לא נפרצה? 🤔
חברת מנדיאנט שחוקרת את האירוע הנ"ל מדווחת כי Snowflake כבר דיווחה ל-165 ארגונים שהמידע שלהם ככל הנראה נגנב.
חברת מנדיאנט שחוקרת את האירוע הנ"ל מדווחת כי Snowflake כבר דיווחה ל-165 ארגונים שהמידע שלהם ככל הנראה נגנב.
🤯22👍5🔥3
עיריית ארלינגטון שבמסצ'וסטס מדווחת כי תוקפים הצליחו להערים על עובדי העירייה תוך התחזות לספק וגנבו 445,000 דולר.
לדברי העירייה התוקפים ניטרו במשך תקופה את הודעות הדוא"ל בין העירייה לספק לאחר שפרצו לכמה תיבות דוא"ל. באחד הימים הספק שלח הודעה בנוגע לתשלום שהוא צריך לקבל ואז התוקפים נכנסו לתמונה.
הם עשו שימוש בדומיין הדומה מאד לזה של הספק ושלחו לעובד מייל בשמו של הספק המבקש לשנות את פרטי חשבון הבנק ולבצע מעתה העברות בנקאיות במקום השיקים שנשלחו עד כה.
במשך ארבעה חודשים העירייה העבירה תשלומים לתוקפים במקום לספק האמיתי ורק לאחר שהספק התלונן שהוא לא קיבל את השיקים של החודשים האחרונים הבינו בעירייה כי הם נפלו להונאה.
בעזרת אחד הבנקים הצליחו בעירייה להחזיר חזרה 3,300 דולר מתוך 445,000 דולר שהועברו לתוקפים.
https://news.1rj.ru/str/CyberSecurityIL/5245
#הונאה #פישינג
לדברי העירייה התוקפים ניטרו במשך תקופה את הודעות הדוא"ל בין העירייה לספק לאחר שפרצו לכמה תיבות דוא"ל. באחד הימים הספק שלח הודעה בנוגע לתשלום שהוא צריך לקבל ואז התוקפים נכנסו לתמונה.
הם עשו שימוש בדומיין הדומה מאד לזה של הספק ושלחו לעובד מייל בשמו של הספק המבקש לשנות את פרטי חשבון הבנק ולבצע מעתה העברות בנקאיות במקום השיקים שנשלחו עד כה.
במשך ארבעה חודשים העירייה העבירה תשלומים לתוקפים במקום לספק האמיתי ורק לאחר שהספק התלונן שהוא לא קיבל את השיקים של החודשים האחרונים הבינו בעירייה כי הם נפלו להונאה.
בעזרת אחד הבנקים הצליחו בעירייה להחזיר חזרה 3,300 דולר מתוך 445,000 דולר שהועברו לתוקפים.
https://news.1rj.ru/str/CyberSecurityIL/5245
#הונאה #פישינג
🤣24🤯8👍5🤬4
כמה אירועי סייבר שהתרחשו מסביב לעולם:
🔺 חברת Niconico היפנית, המספקת פלטפורמה לשיתוף סרטונים, מדווחת על השבתה של שירותי המחשוב בשל מתקפת סייבר.
מדובר באחת החברות הגדולות ביפן לשיתוף סרטונים עם 89 מיליון משתמשים פעילים.
🔺 שירות הדואר הלאומי בוויאטנם הושבת למשך מספר ימים בשל מתקפת כופר.
🔺 חברת LendingTree מדווחת על דלף מידע בעקבות "הפריצה" לחברת Snowflake (נראה עוד לא מעט הודעות כאלו בתקופה הקרובה).
🔺 פרויקט הקריפטו UwU Lend מדווח על גניבה של מטבעות דיגיטליים בשווי של כ-20 מיליון דולר. טוען שיפצה את כל הלקוחות שכספם נגנב.
🔺 שני אזרחים בבריטניה נעצרו לאחר שהקימו אנטנה פיראטית באמצעותה שלחו אלפי הודעות פישינג תוך התחמקות מהסינון של ספקיות התקשורת במדינה.
🔺 רשת המרכזים הרפואיים Special Health Resources מדווחת על שיבושים בפעילות השוטפת בשל "בעיות טכניות". מדובר במתקפת כופר שבוצעה על ידי קבוצת Blacksuit.
🔺 אתר BreachForums שוב למטה, יחד עם ערוץ הטלגרם שהפעילו.
https://news.1rj.ru/str/CyberSecurityIL/5246
#מדיה #כופר #קריפטו #דלף_מידע #רפואה #תקשורת
🔺 חברת Niconico היפנית, המספקת פלטפורמה לשיתוף סרטונים, מדווחת על השבתה של שירותי המחשוב בשל מתקפת סייבר.
מדובר באחת החברות הגדולות ביפן לשיתוף סרטונים עם 89 מיליון משתמשים פעילים.
🔺 שירות הדואר הלאומי בוויאטנם הושבת למשך מספר ימים בשל מתקפת כופר.
🔺 חברת LendingTree מדווחת על דלף מידע בעקבות "הפריצה" לחברת Snowflake (נראה עוד לא מעט הודעות כאלו בתקופה הקרובה).
🔺 פרויקט הקריפטו UwU Lend מדווח על גניבה של מטבעות דיגיטליים בשווי של כ-20 מיליון דולר. טוען שיפצה את כל הלקוחות שכספם נגנב.
🔺 שני אזרחים בבריטניה נעצרו לאחר שהקימו אנטנה פיראטית באמצעותה שלחו אלפי הודעות פישינג תוך התחמקות מהסינון של ספקיות התקשורת במדינה.
🔺 רשת המרכזים הרפואיים Special Health Resources מדווחת על שיבושים בפעילות השוטפת בשל "בעיות טכניות". מדובר במתקפת כופר שבוצעה על ידי קבוצת Blacksuit.
🔺 אתר BreachForums שוב למטה, יחד עם ערוץ הטלגרם שהפעילו.
https://news.1rj.ru/str/CyberSecurityIL/5246
#מדיה #כופר #קריפטו #דלף_מידע #רפואה #תקשורת
👍8🤣2❤1🤯1
חדשות סייבר - ארז דסה
שני אזרחים בבריטניה נעצרו לאחר שהקימו אנטנה פיראטית באמצעותה שלחו אלפי הודעות פישינג תוך התחמקות מהסינון של ספקיות התקשורת במדינה.
לגבי האירוע הזה שמעניין אתכם:
מדובר בתהליך בו התוקפים עושים שימוש במכשיר IMSI Catcher שמשמש עבורם כפרוקסי בין הטלפון הנייד לאנטנה האמיתית של המפעיל הסלולרי.
ברגע שהמכשיר הסלולרי עובר ברדיוס של ה-IMSI Catcher הוא מבצע באופן אוטומטי הזדהות מול האנטנה ומשדר לאנטנה מידע, וזאת מבלי שיהיה צורך באימות של מפעיל האנטנה.
כאשר המכשירים מאומתים מול ה-IMSI Catcher התוקפים יכולים לעשות פעולות שונות, החל מניטור מיקום של המכשיר ועד לניטור של שיחות, הודעות סמס ועוד.
במקרה שלנו התוקפים עשו שימוש באנטנה המזויפת כדי להפיץ דרכה הודעות סמס לכל מכשירי הסלולר שביצעו רישום ל-IMSI Catcher.
חשוב לציין כי גורמי אכיפה עושים שימוש במכשירים אלו עבור מעקב, ניטור והאזנות, אך גם תוקפים החלו לעשות בזה שימוש עבור פעולות זדוניות, כך לדוגמא בשנים האחרונות נעצרו מפעילים של IMSI Catcher בוויטנאם, צרפת ונורבגיה.
אני לא בקיא בכל הפרטים של המכשיר ויש מצב שאני מפספס או לא מדייק בחלק מהדברים, מוזמנים לשאול את ChatGPT או להסתכל כאן.
https://news.1rj.ru/str/CyberSecurityIL/5247
מדובר בתהליך בו התוקפים עושים שימוש במכשיר IMSI Catcher שמשמש עבורם כפרוקסי בין הטלפון הנייד לאנטנה האמיתית של המפעיל הסלולרי.
ברגע שהמכשיר הסלולרי עובר ברדיוס של ה-IMSI Catcher הוא מבצע באופן אוטומטי הזדהות מול האנטנה ומשדר לאנטנה מידע, וזאת מבלי שיהיה צורך באימות של מפעיל האנטנה.
כאשר המכשירים מאומתים מול ה-IMSI Catcher התוקפים יכולים לעשות פעולות שונות, החל מניטור מיקום של המכשיר ועד לניטור של שיחות, הודעות סמס ועוד.
במקרה שלנו התוקפים עשו שימוש באנטנה המזויפת כדי להפיץ דרכה הודעות סמס לכל מכשירי הסלולר שביצעו רישום ל-IMSI Catcher.
חשוב לציין כי גורמי אכיפה עושים שימוש במכשירים אלו עבור מעקב, ניטור והאזנות, אך גם תוקפים החלו לעשות בזה שימוש עבור פעולות זדוניות, כך לדוגמא בשנים האחרונות נעצרו מפעילים של IMSI Catcher בוויטנאם, צרפת ונורבגיה.
אני לא בקיא בכל הפרטים של המכשיר ויש מצב שאני מפספס או לא מדייק בחלק מהדברים, מוזמנים לשאול את ChatGPT או להסתכל כאן.
https://news.1rj.ru/str/CyberSecurityIL/5247
❤17👍12🫡12🤯5🏆3
חדשות סייבר - ארז דסה
קבוצת Handala טוענת כי היא פרצה לחברת SolidCam וגנבה 800GB של מידע
הרחבה על האירוע הזה 👆🏻
קבוצת Handala תקפה לא מעט גופים בישראל, בחלק מהמקרים רק השחיתה מידע ובאחרים גנבה והדליפה.
עם זאת האירוע שהם מפרסמים ב-SolidCam נראה קצת שונה ושווה התייחסות נוספת והרחבה.
טיפה על SolidCam - מדובר בחברה המספקת תוכנות לכרסום ממוחשב ומסייעת למפעלים וחברות בחיתוך של מתכות וכדו', לחברה יש מפיצים ב-50 מדינות וכ-200,000 התקנות, חלקן בחברות ענק מסקטורים שונים. החברה מגדירה את עצמה כחברת התוכנה המובילה בתחום הייצור והיא מפעילה משרדים גם בישראל (מנכ"ל החברה הוא ישראלי).
קבוצת Handala טוענת כי היא שהתה ברשת של החברה מספר חודשים תוך שהיא שותלת Backdoor-ים ברשת הארגונית. במקביל, הקבוצה טוענת כי היא גנבה 800GB של מידע.
בשלב זה הקבוצה מפרסמת 50GB ונראה כי ייתכן והקבצים כוללים גם גרסאות תוכנה שעוד לא פורסמו.
עוד רומזת Handala כי בעקבות הפעילות שלה חברת SolidCam סבלה מ"תאונות ופיצוצים" שונים בחודשים האחרונים....
אם המתקפה הזו אכן התרחשה כפי שהיא נרמזת ומתוארת על ידי Handala, אז מדובר באירוע שהוא מעניין ברמה הגלובלית ולא רק בהקשר הישראלי.
מדובר במתקפת סייבר שייתכן ופגעה במכונות תעשייתיות, מפעלים ועוד.
פניתי לחברה כדי לנסות לקבל תגובה, אעדכן אם תהיה כזו.
https://news.1rj.ru/str/CyberSecurityIL/5248
#ישראל #OT #תעשיה #דלף_מידע
קבוצת Handala תקפה לא מעט גופים בישראל, בחלק מהמקרים רק השחיתה מידע ובאחרים גנבה והדליפה.
עם זאת האירוע שהם מפרסמים ב-SolidCam נראה קצת שונה ושווה התייחסות נוספת והרחבה.
טיפה על SolidCam - מדובר בחברה המספקת תוכנות לכרסום ממוחשב ומסייעת למפעלים וחברות בחיתוך של מתכות וכדו', לחברה יש מפיצים ב-50 מדינות וכ-200,000 התקנות, חלקן בחברות ענק מסקטורים שונים. החברה מגדירה את עצמה כחברת התוכנה המובילה בתחום הייצור והיא מפעילה משרדים גם בישראל (מנכ"ל החברה הוא ישראלי).
קבוצת Handala טוענת כי היא שהתה ברשת של החברה מספר חודשים תוך שהיא שותלת Backdoor-ים ברשת הארגונית. במקביל, הקבוצה טוענת כי היא גנבה 800GB של מידע.
בשלב זה הקבוצה מפרסמת 50GB ונראה כי ייתכן והקבצים כוללים גם גרסאות תוכנה שעוד לא פורסמו.
עוד רומזת Handala כי בעקבות הפעילות שלה חברת SolidCam סבלה מ"תאונות ופיצוצים" שונים בחודשים האחרונים....
אם המתקפה הזו אכן התרחשה כפי שהיא נרמזת ומתוארת על ידי Handala, אז מדובר באירוע שהוא מעניין ברמה הגלובלית ולא רק בהקשר הישראלי.
מדובר במתקפת סייבר שייתכן ופגעה במכונות תעשייתיות, מפעלים ועוד.
פניתי לחברה כדי לנסות לקבל תגובה, אעדכן אם תהיה כזו.
https://news.1rj.ru/str/CyberSecurityIL/5248
#ישראל #OT #תעשיה #דלף_מידע
🤯20👍16❤5🤬5🤔3🙏1
המידע כולל שם, ת.ז, תאריך לידה, כתובת מגורים, מספר טלפון, ומספר רכב, ולטענת התוקף המאגר מכיל כ-270,000 רשומות
🔺 עדכון - מדובר במידע מפוברק - פייק ניוז
https://news.1rj.ru/str/CyberSecurityIL/5249
#ישראל #דלף_מידע
🤬22👍8🤯3❤2🤣2
תקציר אירועי סייבר מסביב לעולם:
🔺 משטרת אוקראינה עצרה תושב בן 28 המואשם בחברות בקבוצות התקיפה Conti ו-Lockbit.
🔺 שירות המודיעין בהולנד מדווח כי האקרים מסין ניצלו חולשות במוצרים של חברת FortiGate ופרצו ל-20,000 מכשירים ברחבי העולם.
🔺עיריית Cleveland שבאוהיו מדווחת על השבתה של שירותי המחשוב בשל מתקפת סייבר.
🔺 מחוז בתי הספר שבטורנטו מדווח כי קבוצת כופר הצליחה לפרוץ לסביבת הטסט של המחוז.
https://news.1rj.ru/str/CyberSecurityIL/5250
#כופר #ממשלה #חינוך #מעצרים
🔺 משטרת אוקראינה עצרה תושב בן 28 המואשם בחברות בקבוצות התקיפה Conti ו-Lockbit.
🔺 שירות המודיעין בהולנד מדווח כי האקרים מסין ניצלו חולשות במוצרים של חברת FortiGate ופרצו ל-20,000 מכשירים ברחבי העולם.
🔺עיריית Cleveland שבאוהיו מדווחת על השבתה של שירותי המחשוב בשל מתקפת סייבר.
🔺 מחוז בתי הספר שבטורנטו מדווח כי קבוצת כופר הצליחה לפרוץ לסביבת הטסט של המחוז.
https://news.1rj.ru/str/CyberSecurityIL/5250
#כופר #ממשלה #חינוך #מעצרים
👍7❤1
משתמשים באפליקציות לטיולים כמו Booking ואחרים? הם אוספים עליכם יותר מידע ממה שנראה לכם.
ממחקר של אתר CyberNews עולה כי אפליקיציות הטיולים השונות מחזיקות בהרשאות גבוהות למכשירי הטלפון שלכם וזאת למרות שהן לא מצהירות על כך בחנויות האפליקציות, כך לדוגמא לחלק מהאפליקיציות יש גישה לסמסים שלכם (מישהו אמר 2fa?), למצלמה, מיקרופון, קבצים ועוד, חלקן אפילו יכולות לבצע שיחות בשמכם...
למרות שמפתחי האפליקציות צריכים להצהיר בחנות האפליקציות על ההרשאות שהן עושים בהן שימוש, חלקם מצהירים רק על מידע חלקי כשבפועל, ברגע שהאפליקציות מותקנות, הן משתמשות בהרשאות גבוהות יותר מאלו המוצהרות.
המחקר המלא זמין כאן.
https://news.1rj.ru/str/CyberSecurityIL/5251
ממחקר של אתר CyberNews עולה כי אפליקיציות הטיולים השונות מחזיקות בהרשאות גבוהות למכשירי הטלפון שלכם וזאת למרות שהן לא מצהירות על כך בחנויות האפליקציות, כך לדוגמא לחלק מהאפליקיציות יש גישה לסמסים שלכם (מישהו אמר 2fa?), למצלמה, מיקרופון, קבצים ועוד, חלקן אפילו יכולות לבצע שיחות בשמכם...
למרות שמפתחי האפליקציות צריכים להצהיר בחנות האפליקציות על ההרשאות שהן עושים בהן שימוש, חלקם מצהירים רק על מידע חלקי כשבפועל, ברגע שהאפליקציות מותקנות, הן משתמשות בהרשאות גבוהות יותר מאלו המוצהרות.
המחקר המלא זמין כאן.
https://news.1rj.ru/str/CyberSecurityIL/5251
🤬34🤯10❤6👍2
ALERT-CERT-IL-W-1745.yar_.txt
376 B
מערך הסייבר הלאומי:
קמפיין דיוג פעיל במרחב הישראלי – קבוצת התקיפה האיראנית MuddyWater
לאחרונה איתר מערך הסייבר הלאומי קמפיין דיוג פעיל במרחב הישראלי. הקמפיין פועל באופן נרחב למול כלל המגזרים במשק. מערך הסייבר הלאומי משייך קמפיין זה לקבוצת התקיפה האיראנית MuddyWater, בהתבסס על היכרות עם תשתיות הקבוצה ועם שיטות הפעולה (TTPs) האופייניות לה.
להתרעה זו מצורף קובץ מזהים. מומלץ לנטרם בכל מערכות האבטחה הארגוניות הרלוונטיות.
קובץ מזהים וכו' מצ"ב.
https://news.1rj.ru/str/CyberSecurityIL/5253
#מערך_הסייבר_הלאומי #ישראל
קמפיין דיוג פעיל במרחב הישראלי – קבוצת התקיפה האיראנית MuddyWater
לאחרונה איתר מערך הסייבר הלאומי קמפיין דיוג פעיל במרחב הישראלי. הקמפיין פועל באופן נרחב למול כלל המגזרים במשק. מערך הסייבר הלאומי משייך קמפיין זה לקבוצת התקיפה האיראנית MuddyWater, בהתבסס על היכרות עם תשתיות הקבוצה ועם שיטות הפעולה (TTPs) האופייניות לה.
להתרעה זו מצורף קובץ מזהים. מומלץ לנטרם בכל מערכות האבטחה הארגוניות הרלוונטיות.
קובץ מזהים וכו' מצ"ב.
https://news.1rj.ru/str/CyberSecurityIL/5253
#מערך_הסייבר_הלאומי #ישראל
👍6❤2🤬2👌2🤯1
https://news.1rj.ru/str/CyberSecurityIL/5255
Please open Telegram to view this post
VIEW IN TELEGRAM
🙏9❤3👍3🏆3
לא סייבר קלאסי אבל קשור:
הסתננו לבסיס 8200 - ואספו מסמכים מסווגים
מחדל אבטחתי חמור באחד מהבסיסים הרגישים ביותר של צה"ל הוביל לעונשי נזיפה וריתוק - אך ללא הדחות: צוות ביקורת מטעם המטה הכללי התחזה בלילה שבין יום הזיכרון ליום העצמאות, לפני כחודש, לקצינים בדרגות סגן אלוף ואלוף משנה - והצליח בקלות להסתנן לתוך בסיס יחידת 8200 של אמ"ן שבמחנה גלילות ברמת-השרון.
שלושת אנשי צוות הביקורת נכנסו באמצע הלילה דרך הש"ג של הבסיס השמור, מבלי שנבדקו, תוך שהם מתחזים כאמור לקצינים.
במשך קרוב לשלוש שעות הם הסתובבו באין מפריע בתוך הבסיס, הגיעו למתחמים מבצעיים, אספו מאות מסמכים מסווגים וחומרי דאטה ממחשבים סודיים, והיו יכולים, אם רצו, להסב גם נזק פיזי לתשתיות הבסיס ולחייליו.
בשעת בוקר מוקדמת, לאחר שהבינו את עומק המחדל וחופש הפעולה שלהם בבסיס 8200, גורמי הביקורת עצרו ביוזמתם את הבדיקה ויצרו קשר עם המפקדים הרלוונטיים מהיחידה הגדולה בצה"ל, זו שאחראית על פענוח צפנים וזיהוי אותות אויב.
המתחזים הודיעו למפקדי היחידה שהם נמצאים בתוך הבסיס והיו יכולים כבר מזמן לצלם ולשדר את החומרים הסודיים הרבים שאליהם נחשפו בנקל, מבלי שאף גורם יעצור בעדם. (Ynet)
https://news.1rj.ru/str/CyberSecurityIL/5256
#ישראל
הסתננו לבסיס 8200 - ואספו מסמכים מסווגים
מחדל אבטחתי חמור באחד מהבסיסים הרגישים ביותר של צה"ל הוביל לעונשי נזיפה וריתוק - אך ללא הדחות: צוות ביקורת מטעם המטה הכללי התחזה בלילה שבין יום הזיכרון ליום העצמאות, לפני כחודש, לקצינים בדרגות סגן אלוף ואלוף משנה - והצליח בקלות להסתנן לתוך בסיס יחידת 8200 של אמ"ן שבמחנה גלילות ברמת-השרון.
שלושת אנשי צוות הביקורת נכנסו באמצע הלילה דרך הש"ג של הבסיס השמור, מבלי שנבדקו, תוך שהם מתחזים כאמור לקצינים.
במשך קרוב לשלוש שעות הם הסתובבו באין מפריע בתוך הבסיס, הגיעו למתחמים מבצעיים, אספו מאות מסמכים מסווגים וחומרי דאטה ממחשבים סודיים, והיו יכולים, אם רצו, להסב גם נזק פיזי לתשתיות הבסיס ולחייליו.
בשעת בוקר מוקדמת, לאחר שהבינו את עומק המחדל וחופש הפעולה שלהם בבסיס 8200, גורמי הביקורת עצרו ביוזמתם את הבדיקה ויצרו קשר עם המפקדים הרלוונטיים מהיחידה הגדולה בצה"ל, זו שאחראית על פענוח צפנים וזיהוי אותות אויב.
המתחזים הודיעו למפקדי היחידה שהם נמצאים בתוך הבסיס והיו יכולים כבר מזמן לצלם ולשדר את החומרים הסודיים הרבים שאליהם נחשפו בנקל, מבלי שאף גורם יעצור בעדם. (Ynet)
https://news.1rj.ru/str/CyberSecurityIL/5256
#ישראל
🤯78🤬23🤣6👍3❤2😈2🤔1🦄1
סימני השאלה סביב המודל מאחורי התשואות החריגות של קרן סייברסטארטס 💰
מאז הקמתה, קרן ההון סיכון של גילי רענן שמתמחה בסייבר רשמה ביצועים יוצאי דופן. כלכליסט חושף את מאחורי הקלעים של הקרן: גיוס מנהלי אבטחת מידע (CISO) בארגונים ושיטת נקודות ששוות עשרות אלפי דולרים אם יעמיקו את הקשר עם חברות הפורטפוליו של הקרן, שכך צומחות במהירות.
בארה"ב מתעוררות תהיות סביב מודל התגמול של הקרן וניגוד העניינים האפשרי של מנהלי אבטחת המידע. רענן: "לא תגמלנו אף מנהל סייבר מעבר למודל השקוף. השמועות באות עם ההצלחה"
מנהל אבטחת המידע (CISO) הוא לרוב הדמות הבכירה ביותר בארגון שאחראית על בניית מערך ההגנה שלו ועל מניעת התקפות סייבר. הם מדווחים ישירות למנכ"ל ולעתים אף לדירקטוריון ואמונים על תקציבים של מאות אלפי דולרים בשנה בחברות הקטנות יותר במושגים אמריקאיים ובארגונים גדולים זה יכול להגיע גם למיליונים רבים בשנה.
את התקציב ה־CISO צריך לחלק בין עשרות פתרונות של חברות שמתחרות על הקשב שלו או שלה וגם על הכיס של הארגון.
לפי נתונים אחרונים של חברת פאלו אלטו, שנחשבת לגדולה ביותר בסייבר היום הן במונחי מכירות והן במונחי שווי שוק, בארגון ממוצע יש בערך 75 פתרונות סייבר שונים והמספר לא יורד. לכן ה־CISO הפכו לדמויות המחוזרות ביותר בארגון: החלטות שלהם יחרצו גורלות לא רק של לקוחות ועובדים בארגון שלהם בכל הקשור לאבטחת סייבר, אלא גם מי הסטארטאפים שיצליחו ומי ייפלו. מכאן נגזרות גם התשואות של קרנות הון סיכון שמתמחות בסייבר.
בגלל החשיבות וגם מכיוון שמדובר במומחה טכנולוגי, ה־CISO מתוגמלים בנדיבות ושכרם בארה"ב עומד בממוצע על חצי מיליון דולר. אבל רענן מציע להם את החלום הגדול של עולם השכירים — מניות בקרן הון סיכון עם חשיפה לעולם הנוצץ של היוניקורנים וההנפקות. וכאן, כפי שטוענים המבקרים, מתחיל ניגוד האינטרסים.
רענן לא המציא את הפורמט, כל הקרנות שמתמחות בסייבר מחזרות אחרי CISO ומפתות אותם בארוחות, כנסים וחלקן גם בהחזקות בקרן, אבל על פי עדויות שאסף כלכליסט של מנכ"לים של חברות גדולות, מנהלי המחשוב בארגונים (CIO), יזמים של חברות סטארט־אפ וכן גם קרנות הון סיכון אחרות, הוא שיכלל אותה לרמה אחרת לגמרי.
הפורמט שבנה מאפשר לו לשים את הסטארטאפים שלו על סטרואידים, להצמיח אותם מהר יותר, כשעל פי עדויות הוא מבטיח לצוותים של בוגרים טריים מהיחידות הטכנולוגיות לא רק השקעה וליווי בהקמת סטארטאפ אלא גם "הכנסות ראשוניות של 2 מיליון דולר בשנה". לרוב מדובר בשנת המכירות הראשונה של הסטארט־אפ, שנועדה להקפיץ אותו דרמטית מעל המתחרים שהחלו מאותה נקודה ולהבטיח לו סבב גיוס גדול מקרנות נוספות, שהן לא רק הקרנות המתמחות בסייבר, אלא השמות הגדולים הכלליים.
השלבים בתוכנית הנקודות של סייברסטארטס הם כדלקמן: הראשון הוא פגישה להצגת הפורטפוליו, משהו שכל הקרנות עושות, השלב השני פגישה עם חברת פורטפוליו, נקודות נוספות מתקבלות אם ה־CISO מסכים לנסות את המוצר במסגרת Proof of Concept, כלומר לבדוק האם ואיך המוצר עובד בשטח כדי לשפר אותו, והשלבים המתקדמים הם רכישות מהחברות.
כלכליסט ראה מספר מכתבים כאלה ששלח רענן בשמו אל ה־CISO. בניגוד לטענות שמעלים רבים בשוק הסייבר, אין בהם הבטחה ישירה לתגמול כלשהו עבור רכישות מחברות הפורטפוליו, אך כל מקבלי המכתבים ששוחחנו עמם מעידים כי ההבנה ההדדית בעל פה היא שההתקדמות בצבירת הנקודות כרוכה גם ברכישות ולא רק בפגישות, שעות ייעוץ או מענה על שאלות במייל.
את השלב האחרון בסייברסטארטס מכחישים וטוענים כי מעולם לא תיגמלו CISO עבור רכישת מוצרי חברות הפורטפוליו.
https://news.1rj.ru/str/CyberSecurityIL/5257
הכתבה המלאה - כאן
#ישראל
מאז הקמתה, קרן ההון סיכון של גילי רענן שמתמחה בסייבר רשמה ביצועים יוצאי דופן. כלכליסט חושף את מאחורי הקלעים של הקרן: גיוס מנהלי אבטחת מידע (CISO) בארגונים ושיטת נקודות ששוות עשרות אלפי דולרים אם יעמיקו את הקשר עם חברות הפורטפוליו של הקרן, שכך צומחות במהירות.
בארה"ב מתעוררות תהיות סביב מודל התגמול של הקרן וניגוד העניינים האפשרי של מנהלי אבטחת המידע. רענן: "לא תגמלנו אף מנהל סייבר מעבר למודל השקוף. השמועות באות עם ההצלחה"
מנהל אבטחת המידע (CISO) הוא לרוב הדמות הבכירה ביותר בארגון שאחראית על בניית מערך ההגנה שלו ועל מניעת התקפות סייבר. הם מדווחים ישירות למנכ"ל ולעתים אף לדירקטוריון ואמונים על תקציבים של מאות אלפי דולרים בשנה בחברות הקטנות יותר במושגים אמריקאיים ובארגונים גדולים זה יכול להגיע גם למיליונים רבים בשנה.
את התקציב ה־CISO צריך לחלק בין עשרות פתרונות של חברות שמתחרות על הקשב שלו או שלה וגם על הכיס של הארגון.
לפי נתונים אחרונים של חברת פאלו אלטו, שנחשבת לגדולה ביותר בסייבר היום הן במונחי מכירות והן במונחי שווי שוק, בארגון ממוצע יש בערך 75 פתרונות סייבר שונים והמספר לא יורד. לכן ה־CISO הפכו לדמויות המחוזרות ביותר בארגון: החלטות שלהם יחרצו גורלות לא רק של לקוחות ועובדים בארגון שלהם בכל הקשור לאבטחת סייבר, אלא גם מי הסטארטאפים שיצליחו ומי ייפלו. מכאן נגזרות גם התשואות של קרנות הון סיכון שמתמחות בסייבר.
בגלל החשיבות וגם מכיוון שמדובר במומחה טכנולוגי, ה־CISO מתוגמלים בנדיבות ושכרם בארה"ב עומד בממוצע על חצי מיליון דולר. אבל רענן מציע להם את החלום הגדול של עולם השכירים — מניות בקרן הון סיכון עם חשיפה לעולם הנוצץ של היוניקורנים וההנפקות. וכאן, כפי שטוענים המבקרים, מתחיל ניגוד האינטרסים.
רענן לא המציא את הפורמט, כל הקרנות שמתמחות בסייבר מחזרות אחרי CISO ומפתות אותם בארוחות, כנסים וחלקן גם בהחזקות בקרן, אבל על פי עדויות שאסף כלכליסט של מנכ"לים של חברות גדולות, מנהלי המחשוב בארגונים (CIO), יזמים של חברות סטארט־אפ וכן גם קרנות הון סיכון אחרות, הוא שיכלל אותה לרמה אחרת לגמרי.
הפורמט שבנה מאפשר לו לשים את הסטארטאפים שלו על סטרואידים, להצמיח אותם מהר יותר, כשעל פי עדויות הוא מבטיח לצוותים של בוגרים טריים מהיחידות הטכנולוגיות לא רק השקעה וליווי בהקמת סטארטאפ אלא גם "הכנסות ראשוניות של 2 מיליון דולר בשנה". לרוב מדובר בשנת המכירות הראשונה של הסטארט־אפ, שנועדה להקפיץ אותו דרמטית מעל המתחרים שהחלו מאותה נקודה ולהבטיח לו סבב גיוס גדול מקרנות נוספות, שהן לא רק הקרנות המתמחות בסייבר, אלא השמות הגדולים הכלליים.
השלבים בתוכנית הנקודות של סייברסטארטס הם כדלקמן: הראשון הוא פגישה להצגת הפורטפוליו, משהו שכל הקרנות עושות, השלב השני פגישה עם חברת פורטפוליו, נקודות נוספות מתקבלות אם ה־CISO מסכים לנסות את המוצר במסגרת Proof of Concept, כלומר לבדוק האם ואיך המוצר עובד בשטח כדי לשפר אותו, והשלבים המתקדמים הם רכישות מהחברות.
כלכליסט ראה מספר מכתבים כאלה ששלח רענן בשמו אל ה־CISO. בניגוד לטענות שמעלים רבים בשוק הסייבר, אין בהם הבטחה ישירה לתגמול כלשהו עבור רכישות מחברות הפורטפוליו, אך כל מקבלי המכתבים ששוחחנו עמם מעידים כי ההבנה ההדדית בעל פה היא שההתקדמות בצבירת הנקודות כרוכה גם ברכישות ולא רק בפגישות, שעות ייעוץ או מענה על שאלות במייל.
את השלב האחרון בסייברסטארטס מכחישים וטוענים כי מעולם לא תיגמלו CISO עבור רכישת מוצרי חברות הפורטפוליו.
גייסתי CISO חדש לארגון פיננסי שניהלתי מתוך רצון לרענן את מערך הגנת הסייבר. נתתי לו יד חופשית כי סמכתי עליו ואני רואה בתפקיד הזה משרת אמון. כעבור חצי שנה שמתי לב שבאופן מפתיע כמעט כל הלוגואים החדשים שהכניס אותו ה־CISO היו חברות פורטפוליו של קרן סייברסטארטס, זה לא שהיה מדובר בהכרח בפתרונות לא טובים, אלא שחלקם היו בעדיפות מאוד נמוכה מבחינתנו או פתרו בעיות לא דחופות במיוחד. לאחר שהתעמתתי עם ה־CISO בנושא, הוא הודה שהוא נמנה על רשימת היועצים של סייברסטארטס ומקבל מהם אחוזים בקרן. זמן קצר לאחר האירוע הזה הוא עזב את החברה ומיד עם מינויו של CISO חדש ביקשתי ממנו לעדכן אותי אם יוצרים עמו קשר מסייברסטארטס. בתוך שבועות ספורים הוא כבר קיבל מהם מייל ובו תיאור על מעין 'תוכנית נאמנות' שלהם שמפרטת בדיוק מה הוא יקבל ככל שיעבוד יותר עם הקרן". במכתב, שחתום על ידי רענן עצמו ומגיע מתיבת המייל שלו, יש גם משפט שמתייחס לגובה התגמול העתידי: "קשה לחזות את ביצועי הקרן, אך על פי התחזית שלנו, הנקודות שצברת עד כה מוערכות ב־X דולרים. אתה יכול לצפות להקצאות נוספות בקרנות אלה בשנים הבאות ובקרנות החדשות שנגייס בהמשך"
https://news.1rj.ru/str/CyberSecurityIL/5257
הכתבה המלאה - כאן
#ישראל
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21🤯13❤12🤬2🔥1
התעצבן שפוטר, מחק 180 שרתים וגרם לנזקים של מאות אלפי דולרים.
קנדולה נגרג'ה (Kandula Nagaraju) אזרח הודו בן 39, עבד בחברת NCS שבסינגפור בין החודשים נובמבר 2021 לאוקטובר 2022.
כחלק מצוות QA הייתה לו גישה לכל סביבות הטסט של החברה (כ-180 שרתים).
בנובמבר 22 פוטר קנדולה מהחברה בשל בעיות ביצועים, הוא לא הצליח למצוא עבודה נוספת בסינגפור ונאלץ לחזור להודו.
במהלך החודשים ינואר-פברואר 2023, עשה קנדולה שימוש במשתמש אדמין שהחזיק על מנת להתחבר לרשת של NCS מספר פעמים.
בהתחברויות אלו בחן קנדולה סקריפט שכתב בכדי למחוק שרתים וירטואליים בסביבת הטסט של החברה (איש QA כבר אמרנו, כנראה לא רצה לעלות לפרודקשיין בלי בדיקות...😄 )
ב-18 למרץ התחבר קנדולה בפעם האחרונה לרשת של NCS ואז הריץ את הסקריפט שכתב ובדק קודם לכן.
הסקריפט הזדוני מחק תוך זמן קצר את כל 180 השרתים שבסביבת הטסטים.
יום למחרת הבינו בחברה את גודל האירוע לאחר שלא הצליחו להתחבר לשרתים (180 שרתים נמחקים אחד אחרי השני ורק יום למחרת שמים לב?🤔 ).
כחודש לאחר מכן חברת NCS מוסרת לגופי האכיפה דו"ח על ממצאי האירוע בו היא מציינת כמה כתובות IP חשודות.
המשטרה מאתרת את קנדולה, מחרימה את המחשב שלו ומוצאת בפנים את הסקריפט הזדוני.
חברת NCS מדווחת לגופי האכיפה ולבית המשפט כי קנדולה גרם לחברה נזק בגובה 678,000 דולר. בית המשפט מצא את קנדולה אשם וגזר עליו השבוע עונש מאסר בפועל של שנתיים ושמונה חודשים👮
⛔ שימו לב שהנאשם התחבר לרשת עם יוזר אדמין שהחזיק, ללא קשר ליוזר המקורי שלו בחברה שכנראה הושבת עם עזיבתו.
מה קורה אצלכם בארגון כשעובד עוזב? אני מניח שבמקרה הטוב מנתקים לו את היוזר תוך X שעות. אבל מה עם כל היוזרים האחרים אליהם היה חשוף?
האם אתם מודעים לכל היוזרים האחרים שהיו נגישים לאותו עובד? אם כן, האם אתם משנים סיסמאות לאותם יוזרים כשהעובד עוזב?
https://news.1rj.ru/str/CyberSecurityIL/5258
#השחתה #insider_threat
קנדולה נגרג'ה (Kandula Nagaraju) אזרח הודו בן 39, עבד בחברת NCS שבסינגפור בין החודשים נובמבר 2021 לאוקטובר 2022.
כחלק מצוות QA הייתה לו גישה לכל סביבות הטסט של החברה (כ-180 שרתים).
בנובמבר 22 פוטר קנדולה מהחברה בשל בעיות ביצועים, הוא לא הצליח למצוא עבודה נוספת בסינגפור ונאלץ לחזור להודו.
במהלך החודשים ינואר-פברואר 2023, עשה קנדולה שימוש במשתמש אדמין שהחזיק על מנת להתחבר לרשת של NCS מספר פעמים.
בהתחברויות אלו בחן קנדולה סקריפט שכתב בכדי למחוק שרתים וירטואליים בסביבת הטסט של החברה (איש QA כבר אמרנו, כנראה לא רצה לעלות לפרודקשיין בלי בדיקות...
ב-18 למרץ התחבר קנדולה בפעם האחרונה לרשת של NCS ואז הריץ את הסקריפט שכתב ובדק קודם לכן.
הסקריפט הזדוני מחק תוך זמן קצר את כל 180 השרתים שבסביבת הטסטים.
יום למחרת הבינו בחברה את גודל האירוע לאחר שלא הצליחו להתחבר לשרתים (180 שרתים נמחקים אחד אחרי השני ורק יום למחרת שמים לב?
כחודש לאחר מכן חברת NCS מוסרת לגופי האכיפה דו"ח על ממצאי האירוע בו היא מציינת כמה כתובות IP חשודות.
המשטרה מאתרת את קנדולה, מחרימה את המחשב שלו ומוצאת בפנים את הסקריפט הזדוני.
חברת NCS מדווחת לגופי האכיפה ולבית המשפט כי קנדולה גרם לחברה נזק בגובה 678,000 דולר. בית המשפט מצא את קנדולה אשם וגזר עליו השבוע עונש מאסר בפועל של שנתיים ושמונה חודשים
מה קורה אצלכם בארגון כשעובד עוזב? אני מניח שבמקרה הטוב מנתקים לו את היוזר תוך X שעות. אבל מה עם כל היוזרים האחרים אליהם היה חשוף?
האם אתם מודעים לכל היוזרים האחרים שהיו נגישים לאותו עובד? אם כן, האם אתם משנים סיסמאות לאותם יוזרים כשהעובד עוזב?
https://news.1rj.ru/str/CyberSecurityIL/5258
#השחתה #insider_threat
Please open Telegram to view this post
VIEW IN TELEGRAM
👍63🤯20❤14🤣3😈3
משתמשים באימוגי'ס כדי לתקשר עם הנוזקה 😈
מחקר מעניין של חברת Volexity מציג את הנוזקה DISGOMOJI בה תוקפים עשו שימוש כנגד גופים בממשלת הודו.
יש מלא מחקרים כאלו אבל במקרה הזה מעניין לראות שהתוקפים עשו שימוש באימוג'יס כדי לשלוח פקודות לנוזקה משרת דיסקורד המשמש אותם כשרת C&C (שליטה ובקרה).
המחקר המלא כאן.
צירפתי תמונה עם כל האימוג'יס והמשמעות שלהם עבור התוקפים.
https://news.1rj.ru/str/CyberSecurityIL/5259
מחקר מעניין של חברת Volexity מציג את הנוזקה DISGOMOJI בה תוקפים עשו שימוש כנגד גופים בממשלת הודו.
יש מלא מחקרים כאלו אבל במקרה הזה מעניין לראות שהתוקפים עשו שימוש באימוג'יס כדי לשלוח פקודות לנוזקה משרת דיסקורד המשמש אותם כשרת C&C (שליטה ובקרה).
המחקר המלא כאן.
צירפתי תמונה עם כל האימוג'יס והמשמעות שלהם עבור התוקפים.
https://news.1rj.ru/str/CyberSecurityIL/5259
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣13😈6👍4🤓4🦄2❤1🤯1👨💻1
כל הבאסה: פירמת עו"ד Santoro Whitmire שבלאס ווגאס סגרה את העסק אך זה לא הפריע לקבוצת כופר לתקוף את שרתי החברה ולגנוב מידע רגיש של לקוחות.
ההודעה המלאה שפירסמה הפירמה ללקוחות זמינה להורדה כקובץ pdf כאן.
https://news.1rj.ru/str/CyberSecurityIL/5260
#כופר
ההודעה המלאה שפירסמה הפירמה ללקוחות זמינה להורדה כקובץ pdf כאן.
https://news.1rj.ru/str/CyberSecurityIL/5260
#כופר
😢13🤯4❤1👍1😈1