Workaround Steps:

1. Boot Windows into Safe Mode or the Windows Recovery Environment

2. Navigate to the C:\Windows\System32\drivers\CrowdStrike directory

3. Locate the file matching “C-00000291*.sys”, and delete it.

4. Boot the host normally.

https://news.1rj.ru/str/CyberSecurityIL/5445

בעקבות מלא שאלות שמקבל בפרטי אז אני מבהיר שוב שהתקלה היא לא רק בישראל.
הרשת מוצפת בדיווחים על ארגונים שהושבתו, בנקים, סופרמרקטים, חברות עסקיות, בתי חולים ועוד.

השידורים של אתר החדשות Skynews הושבתו.
דיווחים ברשת על כך שמספר חברות תעופה מקרקעות טיסות בשל התקלה.

https://news.1rj.ru/str/CyberSecurityIL/5447

מקבל דיווחים כי התקלה משפיעה על רשת קרפור. בחלק מהקופות בסניפים התשלום מתאפשר רק במזומן.
כמו כן שיבושים בקופות ברשת איקאה ובפעילות בנמל אשדוד.

משרד הבריאות מעדכן כי נכון לכעת התקלה העולמית משפיעה על בתי החולים הבאים:

שערי צדק, הלל יפה, לניאדו, ברזילי, שיבא, וולפסון, שמיר אסף הרופא, רמב״ם, מעייני הישועה, נהריה, פוריה, בני ציון, זיו, בית החולים הצרפתי בנצרת, בית החולים האיטלקי בנצרת וכן על קופת חולים מאוחדת.

בשלב זה, בתי החולים עברו לעבודה ידנית. נכון לעכשיו אין תקלות במוקד 101 של מד״א, אך במידה ויתפתחו תקלות או קשיים במענה, ניתן להתקשר למוקד 100 שמסונכרן עם המוקד של מדא.

*אין פגיעה בטיפול הרפואי במטופלים בבתי החולים שהושפעו מהתקלה* והם פועלים כפי שתורגלו בשנים האחרונות בעבודה ידנית.

משרד הבריאות הנחה את מד״א לפנות מטופלים לבתי חולים שלא הושפעו מהתקלה.

מערך התקשוב של משרד הבריאות פועל לטיפול בתקלה מול החברה העולמית ובנוסף החל לתת מענה מהיר באמצעות פתרונות מקומיים מול ארגוני הבריאות בישראל עד לפתרון מהחברה בארה״ב. בעקבות כך, שירותים מסויימים החלו כבר לחזור.

שירה סולומון
דוברת משרד הבריאות

המניה של חברת Crowdstrike מאבדת חמישית מהשווי במסחר המוקדם.
מדובר בסכום מוערך של כ-16 מיליארד דולר....

https://news.1rj.ru/str/CyberSecurityIL/5450

בעוד שבכמה שדות תעופה בעולם מורגשים שיבושים נרחבים, הפעילות בנתב"ג מתנהלת כרגיל וחברות התעופה בארץ לא מושפעות באופן ישיר מהתקלה.
עם זאת בעקבות התקלה טיסת אל על לברלין נאלצה לנחות בפראג.

תודה לערוץ חדשות תעופה על המידע השוטף 🙏🏻

https://news.1rj.ru/str/CyberSecurityIL/5451

מצרף לכם עדכון של מערך הסייבר בנושא.

במקביל לדרמה עם Crowdstrike גם חברת Microsoft דיווחה הבוקר על שיבושים נרחבים בגישה לשירותי 365 בשל הגדרות תצורה שגויות.

התייחסות ראשונה של מנכ"ל Crowdstrike לאירוע:

CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. The issue has been identified, isolated and a fix has been deployed. We refer customers to the support portal for the latest updates and will continue to provide complete and continuous updates on our website. We further recommend organizations ensure they’re communicating with CrowdStrike representatives through official channels. Our team is fully mobilized to ensure the security and stability of CrowdStrike customers.

חסר לי החלק של We are deeply sorry וכו' וכו'. בכל זאת, השבתתם חצי גלובוס.

https://news.1rj.ru/str/CyberSecurityIL/5454

ראה שלא היינו מרוצים והחליט להגיב:
מנכ"ל Crowdstrike בהודעת Deeply Sorry מיוחדת לחברי ערוץ "חדשות סייבר" 😉

ראיון נוסף של מנכ"ל Crowdstrike , הפעם עם ערוץ Skynews.

01:15 - זה היה לילה ארוך, אין ספק.

מספיק Crowdstrike להיום.... תשמעו סיפור קצר.

לפני חודש וחצי בערך פנתה אלי קבוצת כופר חדשה. טענה כי היא תקפה ארגון בהולנד, הקרבן הראשון שלהם, והם רוצים שאוסיף אותם לפידים שאני מפעיל (כופר, חדשות וכו').
אמרתי להם שיעדכנו אותי כשאתר ההדלפות שלהם למעלה ואז הם יתווספו לניטור.

אחרי שבועיים הם עדכנו אותי שהם "הגיעו להסכם" עם החברה אז הם לא מרימים אתר ולא יפרסמו כלום בינתיים. בקיצור החברה שילמה את דמי הכופר (תמונה מצ"ב).

אחרי שבועיים הם פנו אלי שוב, אמרו שיש להם שלושה קרבנות חדשים (בסין וארה"ב) ושעכשיו הם ירימו את האתר ויפרסמו את הקרבנות.

האתר אכן עלה לאוויר ואני הייתי הראשון לבקר בו.

המנויים לפיד הכופר אצלי היו הראשונים בעולם לדעת על קבוצת התקיפה החדשה בשם Vanir. (ראשונים אחרי הקרבנות כמובן 😄)

שבת שלום 😇

ארז.

שבוע טוב, שימו לב שקבוצת Handala ניצלה את התקלה ב-Crowdstrike כדי להפיץ נוזקה שמוחקת מידע.

הדוא"ל הזדוני (תמונה מצ"ב) נשלח מכתובת דומיין:

crowdstrike[.]com[.]vc

מצ"ב אינדיקטורים:

96dec6e07229201a02f538310815c695cf6147c548ff1c6a0def2fe38f3dcbc8

Virustoral

4491901eff338ab52c85a77a3fbd3ce80fda738046ee3b7da7be468da5b331a3

Virustotal

https://news.1rj.ru/str/CyberSecurityIL/5458

#ישראל #פישינג

אינדיקטור נוסף (קובץ ה-pdf שצורף למייל):

19001dd441e50233d7f0addb4fcd405a70ac3d5e310ff20b331d6f1a29c634f0

Virustoral

מצרף לכם גם את ההתייחסות הרשמית של Crowdstrike לטיפול בתקלה - כאן, ואת הניתוח הראשוני שלהם לאירוע -כאן

https://news.1rj.ru/str/CyberSecurityIL/5460

עוד במהלך השבת, קבוצת התקיפה Donutleaks מפרסמת כי היא הצליחה לעקוף את מנגנון ההגנה של Eset Premium...

הודעה חריגה ומוזרה שלא רואים בד"כ באתרים של קבוצות הכופר.

in preparation for the next goal, eset smart security premium was tested today. He fought epically, heroically and bravely with everything, with anything (mostly rubbish in C#), but, as befits a real AB, he chose not to notice the host of the party. It's something like drinking: once you fuck the line, there's no coming back XD. It got to the point where he couldn’t even send samples... To be honest, I expected more.

I want to make a reservation right away - no drivers were used(from my side). Bootloaders were not used(from my side). Everything was fair(from my side). WinAPI(microsoft) won. XD

https://news.1rj.ru/str/CyberSecurityIL/5461

#כופר

אינדיקטורים נוספים מהמערך.

הי חברים, לגבי השיבושים בסיבוס, כרגע מדווחים שמדובר בתקלה, ללא קשר לאירוע עם Crowdstrike.

התקלה לא הייתה בסיבוס אלא באחת החברות החיצוניות שמספקת לסיבוס שירותים. התעבורה לא הצליחה להגיע לסיבוס וכל הבקשות לסליקה וכל ההזמנות נחסמו ונתקעו והדאטה לא הגיעה לסיבוס. סיבוס ישראל עובדת עם חוות שרתים GNS של חברת בזק בינלאומי, עם חומת אש של SOPHOS, ועם מערכת טראפיק של FORTINET. כרגע לא ברור במדויק באיזה מהחברות התרחשה התקלה שמונעת מהלקוחות לבצע הזמנות. 🤷🏻‍♂

מסופוס נמסר כי מבירור שעשינו בעקבות התקלה בסיבוס, אין תקלה מערכתית במוצרי Sophos בכלל וב-Firewall בפרט.

אם יהיה לי מידע נוסף אעדכן.

https://news.1rj.ru/str/CyberSecurityIL/5465

סיפקו לאחרים גישה למערכות רגישות: אישום נגד ארבעה רופאים - קיבלו שוחד של מיליונים והנפיקו רישיון לקנאביס

פרקליטות המדינה הגישה הבוקר (יום א') כתב אישום נגד ארבעה רופאים ונאשמים נוספים בגין עבירות שוחד, הפרת אמונים, קבלת דבר במרמה בנסיבות מחמירות, ועבירות נלוות. היקף השוחד הכולל הוא כחמישה מיליון שקלים, שהועברו כדי להנפיק אלפי רישיונות לשימוש רפואי בקנאביס, בניגוד לנהלים ולהנחיות משרד הבריאות.

מכתב האישום שהוגש לבית המשפט המחוזי בלוד ע"י מחלקת הסייבר בפרקליטות המדינה, עולה כי אחת הנאשמות הקימה וניהלה חברה, ששילמה שוחד לארבעה רופאים שהוסמכו על-ידי מנכ"ל משרד הבריאות כ"רופאים מאשרים", על מנת להפיק תוך מרמה והפרת אמונים 14,208 רישיונות לשימוש רפואי בקנאביס.

על פי כתב האישום, במסגרת פעילותה של החברה, קיבלו הנאשמים, תשלומי שוחד ממקימת החברה, בתמורה לכך שנתנו לעובדות להשתלט על מחשביהם ולהיכנס בשמם למערכת הממוחשבת הייעודית של משרד הבריאות, ולהנפיק לאלפי לקוחות אשר שילמו לחברה אלפי שקלים כל אחד, רישיונות לשימוש רפואי בקנאביס או לחידוש והגדלת כמות של שימוש רפואי בקנאביס, שעימם ניתן לרכוש באופן חוקי קנאביס בבתי מרקחת שונים.

לצד ארבעת הרופאים המאשרים, עומדים לדין, בכתבי אישום נפרדים שהגישה מחלקת הסייבר בפרקליטות המדינה לבית המשפט השלום בראשון לציון, שני מומחים פסיכיאטריים, בגין קבלת דבר במרמה בנסיבות מחמירות. על פי המיוחס להם, הם חתמו על המלצות ואבחנות כוזבות עבור שימוש רפואי בקנאביס, בתמורה להעברת תשלום כספי מהחברה ומלקוחות שונים.

בנוסף, הגישה מחלקת הסייבר בפרקליטות המדינה כתבי אישום נפרדים נגד נאשמים נוספים אשר היו מעורבים בתרמית העבריינית וביצעו עבירות שונות, לרבות עבירות כלכליות. (Ynet)

https://news.1rj.ru/str/CyberSecurityIL/5466

#ישראל #Insider_threat