תוקף מפרסם להורדה מידע השייך לכאורה לחברת Aurion הישראלית המספקת שירותי ניהול ואחסון אתרים.

https://news.1rj.ru/str/CyberSecurityIL/5906

#ישראל #דלף_מידע #טכנולוגיה

עיריית Calgary שבקנדה מדווחת על השבתה מערכות המחשוב בספריות העירוניות בשל מתקפת סייבר.

בשלב זה אף קבוצת כופר לא לקחה אחריות למתקפה.

https://news.1rj.ru/str/CyberSecurityIL/5907

#כופר #תרבות

חברות ענק הפסידו מיליוני דולרים - שני אחים מסודאן, שהפעילו את קבוצת התקיפה "אנונימוס סודאן" נעצרו על ידי ממשלת ארה"ב ומואשמים בביצוע עשרות אלפי מתקפות דידוס.

השניים נעצרו כבר במרץ ומואשמים בביצוע 35,000 מתקפות דידוס בשנה אחת.

אגב, קבוצת אנונימוס סודאן פעלה לא מעט כנגד גופים בישראל.
באותה תקופה הצלחתי ליצור איתם קשרים טובים ובזכות כך מספר רב של חברות בישראל קיבלו ממני מודיעין על מתקפות כנגדם לפני שאלו יצאו לפועל.

מזכיר, שבעבר קיימתי איתם ראיון קצר שהובא כאן בערוץ.

https://news.1rj.ru/str/CyberSecurityIL/5909

עדכון - ההאקר USDoS נעצר על ידי גורמי אכיפה בברזיל.

המבצע קיבל את השם - Operation Data Breach 😄

עדכון 👆🏻 - משרד המשפטים בארה"ב מדווח על מעצרו של תושב אלבמה, בן 25, האחראי לפריצה לחשבון ה-Xוויטר של הרשות מוקדם יותר השנה.

במהלך הלילה - תוקף מציע למכירה גישה לרשת של סוכנות העוסקת בתחום הרפואה בישראל.

המחיר - 70,000 דולר.

https://news.1rj.ru/str/CyberSecurityIL/5913

#ישראל #רפואה

חוקר אבטחת מידע טוען כי Eset ישראל נפרצה על ידי תוקפים שהפיצו ללקוחות מייל עם נוזקת Wiper.
החברה בתגובה: החברה לא נפרצה, לקוחות לא נפגעו והאימייל הזדוני נחסם תוך 10 דק'.

במסגרת הקמפיין הזדוני תוקפים עשו שימוש בדומיין רשמי של Eset ישראל ושלחו ללקוחות מייל המפציר בהם להוריד קובץ זדוני.
לפי הפרסומים ידוע על ארגון ישראלי שנפגע מהנוזקה.

חוקר אבטחת המידע Kevin Beaumont טוען בבלוג שפירסם ובשרשור במסטודון כי התוקפים הצליחו באופן כזה או אחר להשיג גישה כלשהי לדומיין המשמש את החנות של Eset ישראל ודרכו להפיץ את הנוזקה.

ב-Eset הגיבו לנושא בציוץ ב-Xוויטר וטענו מנגד כי שרתי החברה לא נפרצו וכי כל הלקוחות בטוחים (מה שסותר במעט את הטענה שהועברה לחוקר כי כי ארגון ישראלי הותקף בנוזקה).

כמה נקודות לשים אליהן לב:

1. המייל יצא מדומיין החנות של Eset ישראל, אך גם הקובץ הזדוני אוחסן באותו דומיין מה שהגביר את האמינות של ההודעה. התוקפים למעשה לא הפנו את הקרבן לאתר צד ג' אלא לסביבה של Eset ישראל.

2. לא ברור מי קבוצת התקיפה אך מדובר בפעילות המזכירה את קבוצת Handala סביב מלחמת חרבות ברזל.

3. בבלוג ניתן למצוא את האינדיקטורים הרלוונטיים.

4. בשבוע+ האחרונים קיבלתי מספר פניות בנושא מלקוחות של Eset שקיבלו את המייל הזדוני (תמונה מצ"ב).

https://news.1rj.ru/str/CyberSecurityIL/5914

#ישראל

תגובה מעודכנת של סיסקו בנוגע לחשד לדלף מידע מצ"ב.

אמ;לק - המערכות לא נפרצו, התוקף השיג את כל המידע מפורטל DevHub וכמה מסמכים שלא אמורים להיות ציבוריים הורדו ע"י התוקף, לא דלף מידע רגיש.

- Based on our investigations, we are confident that there has been no breach of our systems.
- We have determined that the data in question is on a public-facing DevHub environment—a Cisco resource center that enables us to support our community by making available software code, noscripts, etc. for customers to use as needed.
At this stage in our investigation, we have determined that a small number of files that were not authorized for public download may have been published.
- As of now, we have not observed any confidential information such as sensitive PII or financial data to be included but continue to investigate to confirm.
Out of an abundance of caution, we have disabled public access to the site while we continue the investigation.
- Meanwhile, Cisco will engage directly with customers if we determine they have been impacted by this event.

https://news.1rj.ru/str/CyberSecurityIL/5915

שבוע וחצי אחרי הפריצה - אתר Internet Archive אמנם חזר לעבוד אך נראה שהתוקף עדיין מחזיק בגישה.

משתמשי האתר מדווחים ברשת כי קיבלו בשעות האחרונות מייל מהדומיין של Internet Archive בשם התוקף.

חברת הטכנולוגיה Nidec מדווחת כי היא סובלת מדלף מידע בעקבות מתקפת כופר.

מהצצה בפיד הכופר עולה כי שני קבוצות תקיפה פירסמו את Nidec כקרבן בחודשים האחרונים - קבוצת 8base ביוני וקבוצת Everest באוגוסט.

https://news.1rj.ru/str/CyberSecurityIL/5920

#כופר #תעשיה

בשבועיים האחרונים קבוצת תקיפה תומכת טרור העושה שימוש בשם "בני ישמעאל" טוענת כי פרצה למספר אתרי אינטרנט בישראל וגנבה מידע.

בין האתרים שהוזכרו על ידי הקבוצה:

zimmer.co.il
seret.co.il
lawforums.co.il
hebpsy.net
betipulnet.co.il
rrr.co.il
talniri.co.il

בבדיקה שלי חלק מהאתרים אכן הושפעו מהמתקפה באופן כזה או אחר כשבחלק מהמקרים עלה חשש גם לדלף מידע, עם זאת מדובר בקבוצה, ככל הנראה איראנית, עם מוניטין לא משהו.

https://news.1rj.ru/str/CyberSecurityIL/5921

#ישראל #דלף_מידע

פרויקט הקריפטו Radiant Capital מדווח ע"י תוקפים הצליחו לגנוב מהפרויקט מטבעות דיגיטליים בשווי 50 מיליון דולר.

בפוסט שפירסמו מסבירים ב-Radiant כי התוקפים הצליחו לפרוץ לשלושה ארנקים של מפתחים מרכזיים בפרויקט למרות שאלו השתמשו בארנקים קרים והיו מפוזרים גאוגרפית במקומות שונים בעולם.

https://news.1rj.ru/str/CyberSecurityIL/5922

#קריפטו

קבוצת תקיפה המשייכת את עצמה לתימן טוענת כי פרצה לנמל חיפה ולחברת נמלי ישראל.

בשעות האחרונות קיבלתי דיווחים כי עובדים בנמל חיפה קיבלו הודעות סמס לטלפון שלהם מהתוקפים.

הקבוצה מפרסמת מספר מסמכים שגנבה לכאורה מהמקומות אליהן פרצה.

למרות שמדובר בקבוצה המשייכת את עצמה לתימן נראה כי מדובר בקבוצה איראנית.

https://news.1rj.ru/str/CyberSecurityIL/5923

#ישראל #דלף_מידע #לוגיסטיקה

תוקף מציע למכירה גישה לרשת של מכללה טכנולוגית בישראל.

המחיר - 10,000 דולר.

אני מקבל מכם הרבה שאלות על התוקף הזה אז אני מרחיב טיפה:

התוקף, המכנה את עצמו DarkRaaS, פועל לא מעט בישראל כשהוא מפרסם מספר רב של קרבנות ישראלים בתקופה האחרונה.

התוקף טוען כי הוא שייך לקבוצת Darkside - אני לא יודע כמה מכם זוכרים אבל מדובר בקבוצה שתקפה בעבר הרחוק את חברת Colonial Pipeline (כתבתי על זה בהרחבה בספר "חמושים במקלדת").
מדובר בקבוצה שסחטה מקרבנות 90 מיליון דולר בתקופה קצרה של תשעה חודשים.
מאוחר יותר ביצעה Darkside מיתוג מחדש ל-Blackmatter ולבסוף סיימה את הפעילות תחת השם AlphV (Blackcat).
זוכרים את AlphV? אחת מהקבוצות הדומיננטיות ביותר.

קשה לי להאמין שיש קשר, ולו הקלוש ביותר, בין קבוצת כופר סופר רצינית, שהרוויחה לאורך השנים מאות מיליוני דולרים, לתוקף שמבקש סכומים של עשרות אלפי דולרים ומפרסם פוסטים בפורומים שונים.

הערכה שלי היא כי מדובר בתוקף שמתחזה ל-Darkside ועושה שימוש בשם כדי לייצר אמינות/מוניטין.

https://news.1rj.ru/str/CyberSecurityIL/5924

#ישראל #אקדמיה #כופר

עדכון, מצרף לכם את התגובה של Eset ישראל לאירוע (נראה שזו אכן קבוצת Handala):

אנחנו רוצים לשתף אתכם כי במסגרת המתקפה הכוללת שעוברת ישראל, והמיקוד של קבוצות תקיפה בעסקים וארגונים ישראליים, במיוחד סביב יום השנה לאירועי ה-7 לאוקטובר גם אנחנו הותקפנו.

מה קרה?
ב-8 לאוקטובר זוהתה חולשה *במערכת פגיעה, בעקבות עדכון שלא הספקנו לבצע, שאפשרה הפצת מיילים עם תוכן זדוני פרו פלסטיני הכולל סרטוני זוועות מאירועי ה-7 לאוקטובר.
(*מכיוון שהחולשה עדיין קיימת בארץ ובעולם, אנחנו לא יכולים בשלב זה לחשוף את כל הפרטים על מנת לא לעודד תוקפים נוספים לעשות בה שימוש).
ממה שאנחנו מכירים, ההתקפה בוצעה על ידי קבוצת התקיפה "Handala" הידועה בהפצת תכנים פרו-פלסטיניים. הטקטיקה שלהם מתמקדת בניצול חולשות כדי להפיץ תעמולה ולעורר חוסר יציבות.
נקטנו בצעדים מהירים לטיפול באירוע, ובתוך 10 דקות מתחילתו חסמנו את הקמפיין והסרנו את האיום. תוכן המייל נשלח לכמה אלפי נמענים ובעקבות חסימה מהירה של הקובץ, אנו יודעים כי הורידו אותו כ-300 אנשים.

על מנת לוודא טיפול מלא באירוע,
ביצענו בדיקות מקיפות הכוללות בדיקות PT, שיתוף צוותי IR, הורדנו את האתר שלנו, הטמענו פאטצ' לתיקון החולשה והשלמנו את כל הבדיקות החיוניות על מנת לאשר כי כל הלקוחות שלנו בטוחים, אין פגיעה במוצרי החברה ורק לאחר מכן העלנו בחזרה את האתר.
לא קיבלנו פניות על לקוחות שנפגעו והפניות היחידות שקיבלנו הן כאלה של נמענים בעלי מודעות גבוהה שפעלו בהתאם להמלצות במקרים של מיילים חשודים, ליצור קשר יזום עם הפונה על מנת לוודא שהמייל לגיטימי.

אנחנו ממשיכים לשפר ולתחזק את מערכות האבטחה של האתר שלנו באופן קבוע בכדי למנוע איומים באופן פרואקטיבי ולהגן על כולם בכל פעולה

תגובת חברת אלאלוף מצ"ב

"השאירו את המשקיעים באפילה"

הרשות לניירות ערך בארה"ב קונסת את חברת צ'קפוינט ב-995,000 אלף דולר בעקבות מתקפת הסייבר כנגד חברת Solarwinds.

לטענת הרשות, התוקפים הגיעו לרשת של צ'קפוינט אך החברה פירסמה עדכונים המקטינים/מסתירים את היקף הנזק האמיתי.

ביחד עם צ'קפוינט קנסה הרשות עוד שלוש חברות נוספות בסכומים שונים.
הדיווח המלא השייך לצ'קפוינט מצ"ב, הדיווח הכללי - כאן.

The SEC’s orders find that these companies provided misleading disclosures about the incidents at issue, leaving investors in the dark about the true scope of the incidents

https://news.1rj.ru/str/CyberSecurityIL/5928