עדכון - עיריית המילטון מדווחת כי נדרשים לה 52 מיליון דולר בכדי להשתקם ממתקפת הכופר שהתרחשה בשנה שעברה (הכסף נדרש עבור החלפת תשתיות, רכישת מוצרי אבטחה וגיוס עובדים)

בעירייה מציינים כי לא שילמו את דמי הכופר לתוקפים.

שני עדכונים קטנים:

1. מקבל דיווחים על תקלות בספקי תקשורת שונים המשפיעים על אתרי אינטרנט בישראל. ככל הידוע לי מדובר כרגע בתקלה.

2. מקבל מכם דיווחים על מדפסות בארגונים המדפיסות דפים עם מסרים של חמאס (שוב). שימו לב שהמדפסות שלכם לא חשופות לאינטרנט וכדו'.

שימו לב, נראה שלא מדובר רק בהדפסות אלא במתקפה רחבה יותר.
אני מקבל מכם דיווחים על קבצים שהושחתו בארגונים, שינוי רקע של שולחן עבודה ועוד.
עוד לא יודע בוודאות מה ווקטור הכניסה, בשלב זה קיבלתי Hash אחד שיכול לשתף:

C316C600E82B91ECE48EF74615F121DE5E05B79A

מצרף לכם SHA256 של הקובץ הזדוני.

8cefad76c013e714c5cd8cff549b8c092ab2c9aa62ec9f22d2edf0e2c3cfdb9f

קישור ל-Virustotal - כאן.

שימו לב לתאריך יצירה של הקובץ - 7.10.23.

https://news.1rj.ru/str/CyberSecurityIL/6424

חזל"ש - טיקטוק חוזרת לפעול בארה"ב, זאת בעקבות ארכה של טראמפ לעוד 90 יום עד למציאת רוכש.

קבוצת התקיפה האיראנית Handala טוענת כי היא פרצה ל"קבוצת צוק" וגנבה 3TB של מידע.

קבוצת צוק מאגדת תחתיה מספר חברות הפועלות בתחומים שונים: צוק פיננסים בתחום המימון, צוק שיש העוסקת בייבוא ושיווק של מוצרי שיש, גרניט וכו' ועוד.

לטענת הנדלה היא פרצה לרשת של הקבוצה, גנבה מידע, השחיתה את אתרי האינטרנט ועוד.

התוקפים טוענים כי לקבוצת צוק יש קשר לגופי המודיעין בישראל 🤷🏻‍♂

בשלב זה נראה כי אתרי האינטרנט של הקבוצה לא פעילים, התוקפים מפרסמים מספר צילומי מסך וסרטונים המעידים לכאורה על הפריצה.

https://news.1rj.ru/str/CyberSecurityIL/6426

#ישראל #תעשיה #פיננסי #דלף_מידע

דלף מידע מהוצאת הספרים Scholastic לאחר שתוקף הצליח לפרוץ לפורטל העובדים.

הוצאת הספרים Scholastic אחראית להוצאה לאור של ספרי הארי פוטר, משחקי הרעב, ספרי ילדים ועוד.

התוקף שיתף את המידע עם אתר HIBP כשהוא כולל למעלה מ-4 מיליון רשומות.
לטענת התוקף הוא לא מתכוון לפרסם את המידע באופן ציבורי, "פרצתי למאגר משיעמום, שילמדו להשתמש ב-MFA"

חברת Scholastic מדווחת כי היא עובדת עם יועצי סייבר שונים כדי להתמודד עם האירוע.

https://news.1rj.ru/str/CyberSecurityIL/6429

#דלף_מידע

קבוצת התקיפה האיראנית Toufan לוקחת אחריות על המתקפה בה הודפסו מסרים שונים ממדפסות בארגונים והושחתו קבצים.

לטענת הקבוצה נפגעו במתקפה כ-200 ארגונים.

חברת HPE מגיבה למתקפה וטוענת כי הנושא בטיפול וכי למתקפה אין השפעה על הפעילות השוטפת של החברה:

HPE became aware on January 16 of claims being made by a group called IntelBroker that it was in possession of information belonging to HPE. HPE immediately activated our cyber response protocols, disabled related credentials, and launched an investigation to evaluate the validity of the claims.
There is no operational impact to our business at this time, nor evidence that customer information is involved

https://news.1rj.ru/str/CyberSecurityIL/6431

עדכון 2 👆🏻

קבוצת CL0P מפרסמת רשימה חדשה של 50 קרבנות מהם גנבה מידע במסגרת ניצול החולשה במערכת העברת הקבצים של חברת Cleo.

הרשימה הזו מתווספת לכ-60 קרבנות שכבר פורסמו על ידי הקבוצה במסגרת קמפיין התקיפה הנוכחי.

https://news.1rj.ru/str/CyberSecurityIL/6432

מקבל מכם דיווחים על תקלות צ'קפוינט בישראל.

אעדכן אם יהיה משהו סייברי.

מחקר של חברת Infoblox מציג כיצד תוקפים מנצלים חולשות בראטורים של חברת Mikrotik על מנת להפיץ נוזקות.

לפי המחקר התוקפים פרצו ל-13,000 ראוטרים וצירפו אותם לרשת בוטים המפיצה דוא״ל ספאם ונוזקות.

שימו לב שראוטרים של Mikrotik נמכרים גם בישראל.

המחקר המלא - כאן

https://news.1rj.ru/str/CyberSecurityIL/6435

הי חברים,

אני מקבל עדיין פניות לגבי כתובות ה-IP שפורסמו על ידי קבוצת Belsen.

אם אתם עדיין לא בטוחים שה-IP שלכם הוא חלק מהרשימה שפרסמה הקבוצה, יצרתי עבורכם קובץ אקסל עם כל כתובות ה-IP שהיו תחת התיקייה שקבוצת התקיפה יצרה עבור "ישראל". מצ"ב.

אם אתם רואים את כתובת ה-IP שלכם ברשימה צאו מנקודת הנחה שקבוצת Belsen ניצלה אי שם ב-2022 חולשה ב-Forti שלכם וגנבה נתוני הזדהות ו/או מידע נוסף.....
אם אתם רוצים בירור נוסף לגבי כתובת IP ספציפית מהרשימה מוזמנים לדבר איתי.

https://news.1rj.ru/str/CyberSecurityIL/6436

חברת Cloudflare טוענת כי עצרה את מתקפת הדידוס הגדולה ביותר עד כה.

לטענת החברה, המתקפה התרחשה באוקטובר שנה שעברה ונמשכה כ-80 שניות במהלכן הותקף היעד ב-5.6Tbps....

המתקפה בוצעה מ-13,000 בוטים המופעלים על ידי רשת הבוטים Mirai.

מזכיר כי הבאתי בערוץ מספר חברות שונות שהתהדרו בעצירה של מתקפות דידוס גדולות.

https://news.1rj.ru/str/CyberSecurityIL/6437

#DDoS

שימו לב, פישינג חדש שמופץ תוך התחזות לביטוח לאומי:

btleomi[.]online

מזכיר לכם לבדוק כל סמס חשוד באתר ScanMySms.com.

https://news.1rj.ru/str/CyberSecurityIL/6438

#פישינג #ישראל

קיבלתם פנייה מהתמיכה של Microsoft Teams? יש מצב שדיברתם עם קבוצת התקיפה Blackbasta.

מחקר של חברת Sophos מציג כיצד קבוצת התקיפה Blackbasta וקבוצת התקיפה Fin7 מתחזות לצוות התמיכה של Teams, זאת בכדי לגרום למשתמש לספק להם גישה לעמדה ומיד לאחר מכן להתקין נוזקות.

לפי המחקר התוקפים מפציצים את תיבת הדוא"ל של הקרבן ב-3,000 הודעות דוא"ל תוך פחות משעה ומיד לאחר מכן פונים אליו דרך ה-Teams תוך התחזות לנציג של מייקרוסופט שזיהה את הבעיה ומעוניין לטפל.

ברגע שהמשתמש עונה לתוקפים הם משכנעים אותו לשתף מסך ולאפשר להם השתלטות ומיד לאחר מכן מתקינים נוזקות בעמדה בכדי לגנוב מידע ולהצפין קבצים.

שימו לב שהתוקפים מנצלים הגדרות ברירת מחדל ב-Teams המאפשרות לגורמים מדומיין חיצוני ליצור קשר עם המשתמש.... אם אתם לא צריכים את זה בארגון תשקלו לשנות את ההגדרה.

https://news.1rj.ru/str/CyberSecurityIL/6439

#כופר

עדכון לגבי מתקפת הכופר על PowerSchool 👆🏻

לאחר שהתברר כי התוקף מחזיק במידע של עשרות מיליוני תלמידים ומורים מבתי ספר שונים בארה"ב החליטה החברה לשלם את דמי הכופר בכדי למנוע את פרסום המידע על ידי התוקף.

החברה מציינת כי היא קיבלה סרטון ווידאו מהתוקף כי המידע נמחק והבטחה כי המידע לא נשמר ולא יפורסם בעתיד.
עם זאת החברה לא ציינה מה גובה דמי הכופר ששולמו.

מזכיר לכם שכבר היו בעבר מקרים בהם קבוצה טענה שמחקה את הקבצים ומאוחר יותר התברר כי הקבצים נשמרו אצלם...

https://news.1rj.ru/str/CyberSecurityIL/6441

#כופר #טכנולוגיה #חינוך