חברת Intsights העוסקת במודיעין סייבר מפרסמת דו"ח ניתוח איומי סייבר עבור המגזר הפיננסי והבנקים.

בדו"ח מתארת החברה את דרכי הפעולה של התוקפים במגזר הפיננסי ובמגזרים נוספים המשפיעים על המגזר הפיננסי.

למעוניינים המסמך מצ"ב.

מערך הסייבר הלאומי:

עדכון האבטחה החודשי של SAP - ינואר 2021

שלום רב,

1. במסגרת עדכון האבטחה החודשי שלה, חברת SAP פרסמה 10 התרעות אבטחה, ו-7 עדכונים להתרעות אבטחה שפורסמו בעבר.

2. 5 פגיעויות עם ציון CVSS מעל 9.0. אחת עם ציון 10.0.

3. מומלץ לבחון ולהתקין את העדכונים בהקדם האפשרי.

מחקר של חברת Group-IB מעלה כי קבוצת האקרים שעסקו בהונאות רשת באמצעות פרסום הרוויחו בשנת 2020 כ-6.5 מיליון דולר.

קבוצת Classicam, שמקורה ברוסיה הפעילה עשרות עובדים שתיפעלו את רשת ההונאות.

במסגרת הפעילות פירסמה הקבוצה מודעות פרסום באתרים שונים למוצרים במחירים מוזלים, ברגע שלקוח יוצר קשר ומספק כתובת למשלוח מקימה הקבוצה אתר מתחזה, שותלת את פרטי המשלוח של המשתמש ומקום להשארת פרטי כרטיס אשראי ושולחת את הקישור למשתמש (כל הפעילות הייתה מתבצעת באופן אוטומטי בעזרת עשרות בוטים בטלגרם).

לפי המסמך של Group-IB מדובר בקבוצה מאורגנת עם היררכיה מסודרת הכוללת, מנהלים, עובדים, ומחלקה להתקשרות מול משתמשים.

https://news.1rj.ru/str/CyberSecurityIL/647

https://www.zdnet.com/google-amp/article/scam-as-a-service-operation-made-more-than-6-5-million-in-2020/

דו"ח של ה-Wall Street Journal חושף, TikTok אספה כתובות MAC של משתמשי אנדרואיד במשך 15 חודשים תוך שהיא מנצלת חולשות במערכת ההפעלה.

כתובת MAC מאפשר לזהות מכשירים באמצעות מזהה ייחודי חד ערכי המאפשר לשייך מכשיר ספציפי למשתמש מסויים.
בהתאם לתקנות הגנת הפרטיות המקוונת של ילדים בארה"ב (COPPA) כתובת MAC מסווגת כמידע רגיש.

לפי הדוח של WSJ במשך 15 חודשים, ועד לחודש נובמבר 2020 אספה חברת האם הסינית של TikTok כתובות MAC של מיליוני משתמשים תוך כדי שהיא מבצעת מעקף במערכת ההפעלה של גוגל ופועלת בניגוד להנחיות של חנות האפליקציות.

לפי הדיווח, חברת אפל מונעת מאפליקציות צד ג' לקרוא את כתובת ה-MAC במכשיר כך שאיסוף הנתונים התבצע רק מבעלי מכשירי אנדרואיד.

גוגל בתגובה: אנו חוקרים את המקרה.
טיקטוק בתגובה: הגרסה הנוכחית בחנות של גוגל לא אוספת כתובות MAC.

https://news.1rj.ru/str/CyberSecurityIL/648

https://www.securityweek.com/report-tiktok-harvested-mac-addresses-exploiting-android-loophole

מערך הסייבר הלאומי:

פגיעויות שונות במוצרי סיסקו

שלום רב,

1. לאחרונה פרסמה חברת סיסקו התרעות אבטחה בסיווג גבוה למספר מוצרים.

2. מומלץ לבחון ולעדכן המוצרים הפגיעים בהקדם האפשרי.

3. לפגיעויות בנתבים RV110W, RV130, RV130W, RV215W המיועדים לעסקים קטנים, לא יפורסם עדכון, מאחר ומוצרים אלו נכנסו לסטטוס End Of Life בחודש דצמבר 2020

https://news.1rj.ru/str/CyberSecurityIL/649

קבוצת התקיפה DoppelPaymer מפרסמת מידע השייך לחברת הביטוח Promutuel Insurance לאחר מתקפת סייבר.

את המידע מפרסמת קבוצת התקיפה באתר שלה ברשת האפילה (תמונה מצ"ב), המידע מכיל מידע מזוהה רגיש השייך ללקוחות חברת Promutuel Insurance והוא כולל פוליסות ביטוח, צילומי ת.ז ועוד.

דובר חברת הביטוח מוסר כי כמות המידע שאצל התוקפים קבצים היא מזערית וחסרת משמעות ללא מידע פיננסי ועם מעט מאד מידע רגיש 🙈

לחברת Promutuel Insurance כ-650k לקוחות.

https://news.1rj.ru/str/CyberSecurityIL/650

https://thetimeshub.in/confidential-data-stolen-from-promutuel-ends-up-online/283/

קבוצת האקרים פרצה לחשבונות טוויטר של משתמשים וקידמה באמצעותם ציוצים מזוייפים של אילון מאסק המבטיחים מתן מטבעות דיגיטליים בחינם.
הרווח של הקבוצה- 580,000 דולר בשבוע אחד.

קבוצת ההאקרים פעלה בצורה כזו:

1. פרסום ציוץ מזוייף מטעם אילון מאסק.

2.פריצה לחשבונות המאושרים ע"י טוויטר (Verified Account).

3. קידום הציוץ המזוייף באמצעות החשבונות שנפרצו (תגובות ושיתופים).

4. הקישור בציוץ המזוייף הוביל למאמר באתר Medium המסביר מדוע אילון מאסק מבצע את המהלך ומקדם ומציג את הפעילות כחוקית כאשר בסיום המאמר מופיע לינק לאתר המנהל את הפעילות.

5. משתמשים שהגיעו לאתר התבקשו לשלוח ביטקוין בסכומים מסויימים לכתובת מסוימת כאשר בתמורה הובטח להם שסכום כפול יישלח בחזרה.

לדברי חברת MalwareHunterTeam, שחקרה את הפעילות של ההאקרים וביצעה מעקב אחרי הארנקים השונים, התוקפים הרוויחו מהפעילות כ-580,000 דולר בשבוע אחד.

https://news.1rj.ru/str/CyberSecurityIL/651

https://www.bleepingcomputer.com/news/security/verified-twitter-accounts-hacked-in-580k-elon-musk-crypto-scam/

כ-12,000 רשומות השייכות לחברת Nohow International הושארו חשופות על גבי שרת בענן של מייקרוסופט.

חברת Nohow International הינה חברת תעסוקה המספקת צוותי ניהול ובנייה לחברות בענף הבניה.

את המידע החשוף גילו חוקרי אבט"מ מאתר Cybernews, לדבריהם המידע בשרת היה רגיש מאד וכלל חוזי תעסוקה, צילומי רישיונות נהיגה, כתובות מגורים, מספרי ביטוח לאומי ועוד מידע רב השייך לעובדים בחברה.

החוקרים פנו לחברה עם הממצאים אך לא קיבלו מענה. לאחר שבוע של חוסר תגובה פנו החוקרים למייקרוסופט וזו דאגה לסגור את השרת כך שלא יהיה חשוף באופן ציבורי.

https://news.1rj.ru/str/CyberSecurityIL/652

https://cybernews.com/security/12000-workers-ids-banking-details-and-other-personal-data-leaked-by-uk-staffing-agency/

חוקר אבט"מ חשף פגיעות במוצר F5 APM המאפשר לתוקף לבצע מתקפת DoS.

הפגיעות פורסמה לפני כשבועיים וחברת F5 ממליצה ללקוחות לבצע עדכון לגרסאות מתקדמות הסוגרות חולשה זו.

קישור לפגיעות באתר NVD

https://news.1rj.ru/str/CyberSecurityIL/653

https://securityaffairs.co/wordpress/113440/security/f5-big-ip-dos.html

חולשות בנוזקות: ג'ון פייג', חוקר אבטחת מידע, הקים אתר המפרסם פגיעויות הקיימות בתוך נוזקות.

האתר, MalVuln, פרסם בשלב זה 26 חולשות הקיימות בתוך וירוסים שונים, והוא כולל מידע רחב על אופן ניצול החולשה ומציג POC לכל אחד מהממצאים.

לדברי החוקר, הממצאים באתר יכולים לסייע לצוותי תגובה בזמן אירוע וכן בתחקור אירועים אך קשה להתעלם מהתועלת שתצמח מאתר כזה גם לתוקפים המתחזקים את הנוזקות 🤷🏻‍♂

https://news.1rj.ru/str/CyberSecurityIL/654

https://www.securityweek.com/malvuln-project-catalogues-vulnerabilities-found-malware

הסוכנות להגנת הסביבה בסקוטלנד (SEPA) מעדכנת כי היא נפלה קרבן למתקפת כופרה.

לדברי הסוכנות המתקפה השביתה מספר מערכות, כולל מערכת הדוא"ל ושחזור הסביבות יקח לא מעט זמן, חלק מהשרתים לא ישוחזרו ויוחלפו בחדשים.

קבוצת התקיפה Conti היא זו שאחראית למתקפה על SEPA ושחררה באתר שלה כ-7% מהחומרים שנגנבו.

בין המידע שנגנב וחלקו פורסם: מסמכי דיונים פנימיים, תכניות של פרוייקטים ומידע אישי של עובדי החברה.

https://news.1rj.ru/str/CyberSecurityIL/655

https://www.bleepingcomputer.com/news/security/scotland-environmental-regulator-hit-by-ongoing-ransomware-attack/

הסוכנות האירופית לתרופות: האקרים שינו ופירסמו מידע שנגנב מחברת Pfizer ו-Biontech כדי לפגוע באמינות החיסונים של החברה.

לפי הדיווח, חקירה מתמשכת בנושא גניבת המידע מהחברות העלה כי ההאקרים שינו את המידע כך שיפגע במוניטין של החברה ובאמינות החיסונים ורק לאחר מכן פירסמו את המידע ברשת.

https://news.1rj.ru/str/CyberSecurityIL/656

https://www.ema.europa.eu/en/news/cyberattack-ema-update-5

האקר הצליח לחדור לכל מערך מצלמות התנועה של הרכבות ברוסיה.

ההאקר, שפירסם את הממצאים בפורום ובבלוג, מפרט איך הצליח להיכנס לראוטרים של מערך המצלמות באמצעות שם משתמש וסיסמה שהוגדרו כברירת מחדל ע"י היצרן.

באמצעות הכניסה לראוטרים הצליח ההאקר לגשת לכל מערך מצלמות האבטחה וכן ללוחות הזמנים הדיגיטליים שבתחנות הרכבת.

הגישה למערכת הקנתה להאקר את האפשרות להשבית את מערך המצלמות באופן גורף מה שהיה גורם לנזק משוער של 1.8 מיליון דולר והשבתה של חודש לכל מערך המצלמות.

מערך המחשוב של הרכבת זיהה שההאקר ניגש למערכת וסגר את הגישה תוך 24 שעות.

https://news.1rj.ru/str/CyberSecurityIL/657

https://www.ehackingnews.com/2021/01/hackers-accessed-thousands-of.html

אתר Joker's Stash ששימש כשוק לכרטיסי אשראי גנובים ברשת האפילה הודיעה על סגירת האתר החל מה-15 לפברואר.

אחרי 6 שנים ורווח משוער של כמיליארד דולר המנהל של אתר Joker's Stash הודיעה כי האתר ייסגר, את הסיבה לסגירת האתר הוא לא ציין במפורש.

האתר שימש במשך שנים פלטפורמה למכירת מספרי כרטיסי אשראי וצבר מוניטין חיובי בקרב הרוכשים.

עם זאת בשנה האחרונה ה-FBI עשה לאתר חיים לא קלים כאשר השבית 4 שרתים ששימשו את האתר.

רק בשנת 2020 פורסמו ב-Joker's Stash כ-40 מיליון מספרי כרטיסי אשראי, רובם המוחלט נגנבו מעדות תשלום וחלקן מפריצות למאגרי מידע.

כאמור מנהל האתר פרסם פוסט (תמונה מצ"ב בתגובות) המודיע על סגירת האתר החל מעוד חודש.

אתר Joker's Stash מצטרף לאתר DarkMarket שרק לפני מספר ימים נסגר ע" י היורופול.

https://news.1rj.ru/str/CyberSecurityIL/658

https://www.bleepingcomputer.com/news/security/stolen-credit-card-shop-jokers-stash-closes-after-making-a-fortune/

המרכז הרפואי Hendrick שבטקסס פירסם הודעה כי מידע רגיש של לקוחות נגנב במתקפת סייבר.

לפי הדיווח, גורמים בלתי מזוהים חדרו לרשת המרכז בין במהלך חודש אוקטובר 2020 וניגשו למידע רגיש של לקוחות.

בין המידע שדלף: שמות של לקוחות, מספרי ביטוח לאומי ועוד.
המרכז הרפואי מוסר כי מידע רפואי אישי לא היה חשוף לתוקפים.

https://news.1rj.ru/str/CyberSecurityIL/659

https://www.reporternews.com/story/money/business/local/2021/01/15/hendrick-health-computer-network-it-breach-hack-compromised-some-patient-information-cybersecurity/4177234001/

חברת ThinkMarket, העוסקת במסחר במטבעות זרים (פורקס), תובעת עובד באגף המחשוב באשמה שמסר מידע פנימי של הארגון לחברה מתחרה.

העובד, ג'יימס סורנסון, עבר בחברה במשך 5 שנים באגף המחשוב.
לפי כתב התביעה, ג'יימס עשה שימוש בהרשאות גבוהות וניגש למידע פנימי של החברה, כולל התכתבויות בדוא"ל של מנהלי החברה.

את המידע שגנב העביר ג'יימס לחברה מתחרה IS Group.

מלבד גניבת המידע חשוד עוד ג'יימס גם במחיקת קטעי קוד מקור של החברה.

כיום עובד ג'יימס בחברת IS Group אליה העביר את המידע. 🙈

https://news.1rj.ru/str/CyberSecurityIL/660

https://www.financemagnates.com/forex/brokers/thinkmarkets-sues-former-employee-for-data-theft/

מערך הסייבר הלאומי:

פגיעויות שונות במוצרי Juniper

שלום רב,

1. לאחרונה פרסמה חברת Juniper התרעות אבטחה בסיווג גבוה וקריטי למספר מוצרים, המבוססים על מערכת ההפעלה Junos.

2. מומלץ לבחון את העדכונים ולהתקינם במוצרים הרלוונטיים בהקדם האפשרי.

חברת NBB שבגרמניה נקנסה בסכום של 12.5 מיליון דולר בשל הפרת תקנות GDPR.

את הקנס השית על החברה הגוף הממונה על הגנת הנתונים והפרטיות בגרמניה בשל צילום וידאו רציף שביצעה NBB על העובדים לאורך כל שעות היום.

החברה, שעוסקת בשיווק ומכירה של מחשבים ניידים רישתה לפני כשנתיים את כל המשרדים במצלמות מעקב וזאת מבלי לקבל את הסכמת העובדים.

לדברי הרגולטור, צילום העובדים באופן כזה מחייב את הסכמת וידיעת העובדים ומשלא קיבלה זאת במפורש הפרה בכך NBB את הגנת הפרטיות של העובדים.

חברת NBB הודיעה כי תערער על ההחלטה ה"לא מידתית".

https://news.1rj.ru/str/CyberSecurityIL/662

https://www.zdnet.com/google-amp/article/gdpr-german-laptop-retailer-fined-eur10-4m-for-video-monitoring-employees/

ראוטרים של חברת FiberHome המיוצרים בסין מכילים מספר פגיעויות ו-Backdoors.

חוקר אבט"מ, Pierre Kim, פירסם דו"ח לפיו בשני דגמים של הראוטרים של החברה (HG6245D+RP2602) נמצאו מספר פגיעויות ודלתות אחוריות המאפשרות לתוקפים לגשת בקלות לממשק הניהול של הראוטר.

בין הממצאים, רשימה של 22 שמות משתמשים וסיסמאות השמורות באופן חשוף בראוטר.
לדברי החוקר, מדובר ב-Backdoor שהוטמעו ככל הנראה ע"י היצרן.

מוזמנים לעיין בדוח המלא של Pierre Kim כאן.

(מזכיר כי לא מזמן פורסם שראוטרים שיוצרו בסין ונמכרו ב-וולמארט הכילו פגיעויות מובנות המאפשרות ליצרן להשתלט מרחוק על המכשיר.)

https://news.1rj.ru/str/CyberSecurityIL/663

https://www.zdnet.com/article/multiple-backdoors-and-vulnerabilities-discovered-in-fiberhome-routers/

מחר, 19.1.21, בשעה 17:00 (שעון ישראל) תקיים חברת פאלו אלטו סיור וירטואלי ב-SOC של החברה.

ה-SOC של פאלו אלטו מרכז התראות מכ-20,000 נקודות קצה, 8,000 עובדים ו-13 מרכזי שרתים.

למעוניינים, ניתן להירשם כאן.

(המושג SOC הוא ראשי תיבות של Security Operation Center, מרכז השליטה והבקרה של החברה אליו זורמות התראות אבט"מ שונות)

https://news.1rj.ru/str/CyberSecurityIL/664

2 חוקרי אבט"מ מצאו מספר פגיעויות במערכות של אפל ותוגמלו בסכום של 50,000 דולר.

השניים, ג'ייסוואל וראול, קראו לפני מספר חודשים כי אפל תיגמלה חוקרי אבט"מ בעשרות אלפי דולרים על מציאת פגיעויות והחליטו לנסות את מזלם.

במסגרת המחקר שביצעו השניים הם הצליחו למצוא מספר פגיעויות במערכות של אפל כולל גישה לשרתי קבצים ללא הרשאה, הרצת סקריפטים למשיכת נתונים ועוד.

השניים דיווחו לאפל על הממצאים, שתיקנה את הדרוש ותיגמלה את החוקרים ב-50,000 דולר.

https://news.1rj.ru/str/CyberSecurityIL/665

https://www.securityweek.com/researchers-earn-50000-hacking-apple-servers