תגובת סיסקו (אמ;לק - בודקים את הדיווח, אין שום מסקנה בשלב זה)

Cisco is aware of reports that an actor is alleging to have gained access to certain Cisco-related files.
We have launched an investigation to assess this claim, and our investigation is ongoing.

זוכרים את דלף המידע המשמעותי מחברת National Public Data?

החברה הגישה בקשה לפשיטת רגל תוך שהיא מציינת כי מלבד החקירות הפדרליות בעקבות דלף המידע, הוגשו נגד החברה גם מספר רב של תביעות ייצוגיות.

לא ברור לגמרי אם דלף המידע הוא הגורם המרכזי או היחיד לפשיטת הרגל אך אם כן, מדובר באחד המקרים הבודדים בהם חברה סגרה את הפעילות בעקבות מתקפת סייבר (זוכרים את #Vastaamo?).

הבקשה לפשיטת רגל מצ"ב.

https://news.1rj.ru/str/CyberSecurityIL/5899

עדכון - התוקף טוען כי מדובר בעיריית מגדל העמק.

83 ימים - זה הזמן שלקח למניה של חברת Crowdstrike לחזור לערך בו הייתה לפני התקלה הנרחבת.

תודה ליובל שגב על המידע 🙏🏻

בנק HSBC יחוייב לפצות לקוח בעשרות אלפי דולרים לאחר שנפל קרבן למתקפת פישינג מתוחכמת.

התוקפים התחזו לשם המשתמש של הבנק בהפצת הודעות סמס ושלחו ללקוחות סמס מזויף המתריע על פעילות חשודה בחשבון.

ההודעה הופיעה באותו השרשור בו מגיעות הודעות לגיטימיות מהבנק ובהודעה הזדונית נאמר כי אם הפעילות אינה מוכרת ללקוח יש ליצור קשר למספר טלפון מסוים.

בחיוג לטלפון הפעילו התוקפים מענה קולי המתחזה במדויק למענה הקולי של הבנק, שם ביקשו מהלקוח לספק סיסמאות אישיות על מנת לאמת את זהותו.
לאחר שהמשתמש סיפק את הסיסמאות הפורצים נכנסו לו לחשבון וגנבו עשרות אלפי דולרים.

ב-HSBC ניסו סירבו בתחילה לפצות את הלקוח בטענה כי הלקוח מסר לתוקף קוד אישי אותו הוא לא אמור למסור מרצונו החופשי.

מנגד, רשות התלונות הפיננסיות האוסטרלית (AFCA) טענה כי הטקטיקות שהפעילו התוקפים גרמו ללקוח לחשוף את הקוד האישי בניגוד לרצונו מאחר והרגיש כי הואצמוכרח להגן על חשבונו האישי.
לבסוף נפסק כי על הבנק לפצות את הלקוח בעשרות אלפי הדולרים שנגנבו מחשבונו בנוסף להוצאות משפטיות (סה"כ כ-53,000 דולר).

מדובר בהחלטה תקדימית שייתכן ותהווה פתח לתביעות דומות בהמשך.
גם בישראל ראינו בשנה האחרונה לא מעט מקרים בהם תוקפים שולחים הודעות זדוניות תחת אותה זהות של הארגון ובכך למעשה מגבירות את האמינות של ההודעה (לדוגמא).

אגב, לבנק HSBC יש פעילות בישראל והאתר שלהם אף הוזכר על ידי תוקפים במתקפות דידוס שונות בשנה האחרונה.

https://news.1rj.ru/str/CyberSecurityIL/5904

#פישינג #פיננסי

תוקף מציע למכירה גישת ניהול למערכות המחשוב של אחת מהעיריות בישראל.

המחיר 30,000 דולר.
(מדובר בפוסט חדש, ללא קשר לעיריית מגדל העמק)

https://news.1rj.ru/str/CyberSecurityIL/5905

#ישראל

תוקף מפרסם להורדה מידע השייך לכאורה לחברת Aurion הישראלית המספקת שירותי ניהול ואחסון אתרים.

https://news.1rj.ru/str/CyberSecurityIL/5906

#ישראל #דלף_מידע #טכנולוגיה

עיריית Calgary שבקנדה מדווחת על השבתה מערכות המחשוב בספריות העירוניות בשל מתקפת סייבר.

בשלב זה אף קבוצת כופר לא לקחה אחריות למתקפה.

https://news.1rj.ru/str/CyberSecurityIL/5907

#כופר #תרבות

חברות ענק הפסידו מיליוני דולרים - שני אחים מסודאן, שהפעילו את קבוצת התקיפה "אנונימוס סודאן" נעצרו על ידי ממשלת ארה"ב ומואשמים בביצוע עשרות אלפי מתקפות דידוס.

השניים נעצרו כבר במרץ ומואשמים בביצוע 35,000 מתקפות דידוס בשנה אחת.

אגב, קבוצת אנונימוס סודאן פעלה לא מעט כנגד גופים בישראל.
באותה תקופה הצלחתי ליצור איתם קשרים טובים ובזכות כך מספר רב של חברות בישראל קיבלו ממני מודיעין על מתקפות כנגדם לפני שאלו יצאו לפועל.

מזכיר, שבעבר קיימתי איתם ראיון קצר שהובא כאן בערוץ.

https://news.1rj.ru/str/CyberSecurityIL/5909

עדכון - ההאקר USDoS נעצר על ידי גורמי אכיפה בברזיל.

המבצע קיבל את השם - Operation Data Breach 😄

עדכון 👆🏻 - משרד המשפטים בארה"ב מדווח על מעצרו של תושב אלבמה, בן 25, האחראי לפריצה לחשבון ה-Xוויטר של הרשות מוקדם יותר השנה.

במהלך הלילה - תוקף מציע למכירה גישה לרשת של סוכנות העוסקת בתחום הרפואה בישראל.

המחיר - 70,000 דולר.

https://news.1rj.ru/str/CyberSecurityIL/5913

#ישראל #רפואה

חוקר אבטחת מידע טוען כי Eset ישראל נפרצה על ידי תוקפים שהפיצו ללקוחות מייל עם נוזקת Wiper.
החברה בתגובה: החברה לא נפרצה, לקוחות לא נפגעו והאימייל הזדוני נחסם תוך 10 דק'.

במסגרת הקמפיין הזדוני תוקפים עשו שימוש בדומיין רשמי של Eset ישראל ושלחו ללקוחות מייל המפציר בהם להוריד קובץ זדוני.
לפי הפרסומים ידוע על ארגון ישראלי שנפגע מהנוזקה.

חוקר אבטחת המידע Kevin Beaumont טוען בבלוג שפירסם ובשרשור במסטודון כי התוקפים הצליחו באופן כזה או אחר להשיג גישה כלשהי לדומיין המשמש את החנות של Eset ישראל ודרכו להפיץ את הנוזקה.

ב-Eset הגיבו לנושא בציוץ ב-Xוויטר וטענו מנגד כי שרתי החברה לא נפרצו וכי כל הלקוחות בטוחים (מה שסותר במעט את הטענה שהועברה לחוקר כי כי ארגון ישראלי הותקף בנוזקה).

כמה נקודות לשים אליהן לב:

1. המייל יצא מדומיין החנות של Eset ישראל, אך גם הקובץ הזדוני אוחסן באותו דומיין מה שהגביר את האמינות של ההודעה. התוקפים למעשה לא הפנו את הקרבן לאתר צד ג' אלא לסביבה של Eset ישראל.

2. לא ברור מי קבוצת התקיפה אך מדובר בפעילות המזכירה את קבוצת Handala סביב מלחמת חרבות ברזל.

3. בבלוג ניתן למצוא את האינדיקטורים הרלוונטיים.

4. בשבוע+ האחרונים קיבלתי מספר פניות בנושא מלקוחות של Eset שקיבלו את המייל הזדוני (תמונה מצ"ב).

https://news.1rj.ru/str/CyberSecurityIL/5914

#ישראל

תגובה מעודכנת של סיסקו בנוגע לחשד לדלף מידע מצ"ב.

אמ;לק - המערכות לא נפרצו, התוקף השיג את כל המידע מפורטל DevHub וכמה מסמכים שלא אמורים להיות ציבוריים הורדו ע"י התוקף, לא דלף מידע רגיש.

- Based on our investigations, we are confident that there has been no breach of our systems.
- We have determined that the data in question is on a public-facing DevHub environment—a Cisco resource center that enables us to support our community by making available software code, noscripts, etc. for customers to use as needed.
At this stage in our investigation, we have determined that a small number of files that were not authorized for public download may have been published.
- As of now, we have not observed any confidential information such as sensitive PII or financial data to be included but continue to investigate to confirm.
Out of an abundance of caution, we have disabled public access to the site while we continue the investigation.
- Meanwhile, Cisco will engage directly with customers if we determine they have been impacted by this event.

https://news.1rj.ru/str/CyberSecurityIL/5915

שבוע וחצי אחרי הפריצה - אתר Internet Archive אמנם חזר לעבוד אך נראה שהתוקף עדיין מחזיק בגישה.

משתמשי האתר מדווחים ברשת כי קיבלו בשעות האחרונות מייל מהדומיין של Internet Archive בשם התוקף.