אתר ההדלפות של קבוצת התקיפה NetWalker ברשת האפילה נסגר ע"י רשויות החוק.
בשלב זה לא פורסם מידע נוסף מצד רשויות החוק ולא ידוע אם הם הצליחו לשים ידם גם על מפתחות הפיענוח של הקבוצה מה שיכול לסייע למספר ארגונים.
קבוצת NetWalker היא קבוצת תקיפה הפועלת במתכונת של RAAS (Ransomware As A Service)
במסגרת הפעילות השותפים של הקבוצה מפיצים את הנוזקה של NetwWalker ולאחר שהשותפים השיגו גישה לרשת הארגונית הקבוצה לוקחת את המושכות לידיים, במקרה של תשלום הכופר השותף זוכה לעשרות אחוזים מהסכום.
בעבר דיווחה הקבוצה על רווח של 25 מיליון דולר בחמישה חודשי פעילות.
https://news.1rj.ru/str/CyberSecurityIL/719
https://www.bleepingcomputer.com/news/security/netwalker-ransomware-dark-web-sites-seized-by-law-enforcement/
בשלב זה לא פורסם מידע נוסף מצד רשויות החוק ולא ידוע אם הם הצליחו לשים ידם גם על מפתחות הפיענוח של הקבוצה מה שיכול לסייע למספר ארגונים.
קבוצת NetWalker היא קבוצת תקיפה הפועלת במתכונת של RAAS (Ransomware As A Service)
במסגרת הפעילות השותפים של הקבוצה מפיצים את הנוזקה של NetwWalker ולאחר שהשותפים השיגו גישה לרשת הארגונית הקבוצה לוקחת את המושכות לידיים, במקרה של תשלום הכופר השותף זוכה לעשרות אחוזים מהסכום.
בעבר דיווחה הקבוצה על רווח של 25 מיליון דולר בחמישה חודשי פעילות.
https://news.1rj.ru/str/CyberSecurityIL/719
https://www.bleepingcomputer.com/news/security/netwalker-ransomware-dark-web-sites-seized-by-law-enforcement/
האקר מקפריסין הואשם היום בבית המשפט בארה"ב בגין פריצה לאתרים של חברות אמריקאיות, גניבת מידע ודרישת כופר.
ג'ושוע פולוסו אפיפניו, בן 21, נעצר ב-2018 ע"י הרשויות בקפריסין והוסגר לארה"ב לפני מספר חודשים.
לפי כתב האישום ג'ושוע הרוויח מהפעילות שלו כ-56,000 דולר וגרם לנזקים המוערכים במאות אלפי דולרים.
העונש המבוקש הינו 5 שנות מאסר וקנס של 250k$ (גזר הדין יינתן במרץ).
https://news.1rj.ru/str/CyberSecurityIL/720
https://www.bankinfosecurity.com/cypriot-hacker-pleads-guilty-to-data-theft-extortion-a-15864
ג'ושוע פולוסו אפיפניו, בן 21, נעצר ב-2018 ע"י הרשויות בקפריסין והוסגר לארה"ב לפני מספר חודשים.
לפי כתב האישום ג'ושוע הרוויח מהפעילות שלו כ-56,000 דולר וגרם לנזקים המוערכים במאות אלפי דולרים.
העונש המבוקש הינו 5 שנות מאסר וקנס של 250k$ (גזר הדין יינתן במרץ).
https://news.1rj.ru/str/CyberSecurityIL/720
https://www.bankinfosecurity.com/cypriot-hacker-pleads-guilty-to-data-theft-extortion-a-15864
בוקר טוב!
היום, 28.1, חל יום הגנת הפרטיות.
קצת מויקיפדיה:
"יום הגנת הפרטיות הבינלאומי (באנגלית: Data Privacy Day; ידוע באירופה כיום הגנת המידע) חל ב-28 בינואר מדי שנה.
זהו מועד בינלאומי המצוין במדינות רבות בעולם ובהן, ארצות הברית, קנדה, ישראל, הודו ו-47 מדינות באירופה. מטרת היום היא העלאת המודעות וקידום ההגנה על הזכות לפרטיות ועל המידע האישי במרחב הדיגיטלי."
אז היום זו הזדמנות טובה להזכיר לעובדים בארגון את כללי האצבע לשמירה על הפרטיות, לדבר עם הילדים בנושא וכו'.
זו גם הזדמנות מצויינת לעשות תזכורת ללומדת פרטיול, שהזכרתי כאן לא מזמן:
פרטיול היא לומדה אינטראקטיבית לבני נוער הכוללת מידע, טיפים וכלים לשמירה על הפרטיות ברשת.
במעבר בין תחנות המידע בלומדה, הרשות להגנת הפרטיות מזמינה את בני הנוער לקבל כלים לשליטה טובה יותר על המידע האישי שלהם ברשת 👇🏻
לכניסה לפרטיול לחצו כאן
https://news.1rj.ru/str/CyberSecurityIL/721
היום, 28.1, חל יום הגנת הפרטיות.
קצת מויקיפדיה:
"יום הגנת הפרטיות הבינלאומי (באנגלית: Data Privacy Day; ידוע באירופה כיום הגנת המידע) חל ב-28 בינואר מדי שנה.
זהו מועד בינלאומי המצוין במדינות רבות בעולם ובהן, ארצות הברית, קנדה, ישראל, הודו ו-47 מדינות באירופה. מטרת היום היא העלאת המודעות וקידום ההגנה על הזכות לפרטיות ועל המידע האישי במרחב הדיגיטלי."
אז היום זו הזדמנות טובה להזכיר לעובדים בארגון את כללי האצבע לשמירה על הפרטיות, לדבר עם הילדים בנושא וכו'.
זו גם הזדמנות מצויינת לעשות תזכורת ללומדת פרטיול, שהזכרתי כאן לא מזמן:
פרטיול היא לומדה אינטראקטיבית לבני נוער הכוללת מידע, טיפים וכלים לשמירה על הפרטיות ברשת.
במעבר בין תחנות המידע בלומדה, הרשות להגנת הפרטיות מזמינה את בני הנוער לקבל כלים לשליטה טובה יותר על המידע האישי שלהם ברשת 👇🏻
לכניסה לפרטיול לחצו כאן
https://news.1rj.ru/str/CyberSecurityIL/721
פרטים אישיים של מאות אלפי אזרחים חשופים בעקבות מחדל אבטחה באתר טיב טעם.
גילוי חולשה באתר של רשת שיווק מזון אחת הגדולות בארץ "טיב טעם" מאפשרת להשיג מידע מלא על כל לקוחות החברה (חברי מועדון) אשר מצטרפים לשירות דרך הסניפים, קופאיות והרשמה אונליין.
לא נדרש שום כלי מיוחד על מנת לחשוף פרטים אודות לקוחות חברי המועדון. רק דפדפן וניסוי וטעייה - והמידע נחשף: שם מלא, תעודת זהות, טלפון נייד, דוא"ל, מין, תאריך לידה וכתובת מגורים.
את הפירצה חשף דרור דבש, מנהל וחוקר אבטחת מידע במקצועו.
https://news.1rj.ru/str/CyberSecurityIL/722
למקור ולתיאור חשיפת הנתונים לחצו כאן
גילוי חולשה באתר של רשת שיווק מזון אחת הגדולות בארץ "טיב טעם" מאפשרת להשיג מידע מלא על כל לקוחות החברה (חברי מועדון) אשר מצטרפים לשירות דרך הסניפים, קופאיות והרשמה אונליין.
לא נדרש שום כלי מיוחד על מנת לחשוף פרטים אודות לקוחות חברי המועדון. רק דפדפן וניסוי וטעייה - והמידע נחשף: שם מלא, תעודת זהות, טלפון נייד, דוא"ל, מין, תאריך לידה וכתובת מגורים.
את הפירצה חשף דרור דבש, מנהל וחוקר אבטחת מידע במקצועו.
https://news.1rj.ru/str/CyberSecurityIL/722
למקור ולתיאור חשיפת הנתונים לחצו כאן
חברת Wordfence, המספקת מערכת הגנה לאתרים מבוססי Wordpress, מפרסמת את דו"ח האיומים לסיכום שנת 2020.
כמה ממצאים מהדו"ח:
🔸 במהלך שנת 2020, עברו דרך שרתי החברה למעלה מ-90 מיליארד ניסיונות הזדהות מגורמים זדוניים.
🔸 4.3 מיליארד ניסיונות לניצול חולשות ידועות בפלטפורמת וורדפרס.
🔸האיום המרכזי לאורך השנה הגיע מתוספים וערכות עיצוב בהם היה משולב קוד זדוני.
לדו"ח המלא לחצו כאן
https://news.1rj.ru/str/CyberSecurityIL/723
כמה ממצאים מהדו"ח:
🔸 במהלך שנת 2020, עברו דרך שרתי החברה למעלה מ-90 מיליארד ניסיונות הזדהות מגורמים זדוניים.
🔸 4.3 מיליארד ניסיונות לניצול חולשות ידועות בפלטפורמת וורדפרס.
🔸האיום המרכזי לאורך השנה הגיע מתוספים וערכות עיצוב בהם היה משולב קוד זדוני.
לדו"ח המלא לחצו כאן
https://news.1rj.ru/str/CyberSecurityIL/723
נוזקת Emotet-הסוף:
היורופול, בשיתוף פעולה עם גורמי אכיפה ממספר מדינות, השתלטו על נוזקת Emotet מבפנים ושתלו קוד להשמדה עצמית.
אחרי שנוזקת Emotet פגעה במיליוני מחשבים בשנים האחרונות (החל מ-2014) וניסיונות לניטרולה באופן גורף לא צלחו, גורמי אכיפה ממספר מדינות חברו יחד, ובצעד חסר תקדים חדרו והשתלטו על תשתית הפעילות של הנוזקה, שתלו קוד שגורם להשמדה עצמית בכל המחשבים הנגועים (יתבצע בתאריך 25.3.21) וניתבו את כל התעבורה לרשת התקשורת של רשויות החוק עבור ניטור ובקרה.
נוזקת Emotet היא אחת מהנזוקות הנפוצות והמוצלחות ביותר שהפיצה סוסים טרויאנים ווירוסים שונים ברחבי העולם, היא הייתה כ"כ מוצלחת עד שאפילו קבוצות תקיפה שכרו את הנוזקה כדי להשתמש בה להפצת כופרות ונוזקות שהכינו.
לפי הדיווח של היורופול, התשתית של הנוזקה כללה מאות שרתים ברחבי העולם שתיפעלו את פעילות והתפשטות הנוזקה.
תמונה המרכזת את הפעילות של Emotet מצ"ב בתגובות.
https://news.1rj.ru/str/CyberSecurityIL/724
https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action
היורופול, בשיתוף פעולה עם גורמי אכיפה ממספר מדינות, השתלטו על נוזקת Emotet מבפנים ושתלו קוד להשמדה עצמית.
אחרי שנוזקת Emotet פגעה במיליוני מחשבים בשנים האחרונות (החל מ-2014) וניסיונות לניטרולה באופן גורף לא צלחו, גורמי אכיפה ממספר מדינות חברו יחד, ובצעד חסר תקדים חדרו והשתלטו על תשתית הפעילות של הנוזקה, שתלו קוד שגורם להשמדה עצמית בכל המחשבים הנגועים (יתבצע בתאריך 25.3.21) וניתבו את כל התעבורה לרשת התקשורת של רשויות החוק עבור ניטור ובקרה.
נוזקת Emotet היא אחת מהנזוקות הנפוצות והמוצלחות ביותר שהפיצה סוסים טרויאנים ווירוסים שונים ברחבי העולם, היא הייתה כ"כ מוצלחת עד שאפילו קבוצות תקיפה שכרו את הנוזקה כדי להשתמש בה להפצת כופרות ונוזקות שהכינו.
לפי הדיווח של היורופול, התשתית של הנוזקה כללה מאות שרתים ברחבי העולם שתיפעלו את פעילות והתפשטות הנוזקה.
תמונה המרכזת את הפעילות של Emotet מצ"ב בתגובות.
https://news.1rj.ru/str/CyberSecurityIL/724
https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action
קבוצת תקיפת הסייבר "ארזי הלבנון", המזוהה עם ארגון הטרור, תקפה כ-250 חברות תקשורת בעולם, כולל בישראל, במצרים וברשות הפלסטינית.
קבוצת תקיפת סייבר לבנונית המזוהה עם החיזבאללה תקפה מאות חברות תקשורת ואינטרנט בעולם ובישראל במטרה לאסוף מודיעין ולגנוב מידע, כך מגלה דו"ח של חברת אבטחת הסייבר קלירסקיי.
קבוצת התקיפה הלבנונית פועלת מתוך מניעים פוליטיים ואידיאולוגיים בהשראה איראנית ומכוונת את מתקפותיה נגד יחידים, חברות ומוסדות ברחבי העולם.
הקבוצה, המכונה "ארזי הלבנון", פעלה בפרופיל נמוך מאז 2012 ופרצה לכ-250 חברות, בארצות הברית, בריטניה, הודו, וגם במזרח התיכון: מצרים, ירדן, לבנון, ישראל ואפילו הרשות הפלסטינית.
להערכת החוקרים התוקפים הצליחו להשיג מידע רב באמצעות מתקפות אלה, כולל נתונים רגישים על הלקוחות, על שיחות הטלפון שניהלו ועל המיקום שלהם.
https://news.1rj.ru/str/CyberSecurityIL/725
https://m.ynet.co.il/articles/58795940
מוזמנים לעיין במסמך המלא של חברת קלירסקיי 👇🏻👇🏻
קבוצת תקיפת סייבר לבנונית המזוהה עם החיזבאללה תקפה מאות חברות תקשורת ואינטרנט בעולם ובישראל במטרה לאסוף מודיעין ולגנוב מידע, כך מגלה דו"ח של חברת אבטחת הסייבר קלירסקיי.
קבוצת התקיפה הלבנונית פועלת מתוך מניעים פוליטיים ואידיאולוגיים בהשראה איראנית ומכוונת את מתקפותיה נגד יחידים, חברות ומוסדות ברחבי העולם.
הקבוצה, המכונה "ארזי הלבנון", פעלה בפרופיל נמוך מאז 2012 ופרצה לכ-250 חברות, בארצות הברית, בריטניה, הודו, וגם במזרח התיכון: מצרים, ירדן, לבנון, ישראל ואפילו הרשות הפלסטינית.
להערכת החוקרים התוקפים הצליחו להשיג מידע רב באמצעות מתקפות אלה, כולל נתונים רגישים על הלקוחות, על שיחות הטלפון שניהלו ועל המיקום שלהם.
https://news.1rj.ru/str/CyberSecurityIL/725
https://m.ynet.co.il/articles/58795940
מוזמנים לעיין במסמך המלא של חברת קלירסקיי 👇🏻👇🏻
מאגר מידע של חברת BYKEA הושאר חשוף אונליין והכיל 200gb של מידע רגיש.
חוקרי אבטחת מידע מחברת Safety Detectives דיווחו כי איתרו מאגר מידע חשוף השייך לחברת BYKEA, חברת לוגיסטיקה ומשלוחים בפקסיטן.
המאגר, שהכיל למעלה מ-400 מיליון רשומות, כלל מידע של לקוחות ושל עובדים.
במאגר הלקוחות היה ניתן למצוא "רק": שם, כתובת דוא"ל ומספר טלפון.
במאגר העובדים המידע היה נרחב יותר והכיל: שמות, מספרי טלפון, כתובות מגורים, מספרי זהות, מספר רישיון, נתוני מיקום ועוד.
לקינוח, נמצאו במאגר גם שמות משתמשים וסיסמאות ללא הצפנה.
החוקרים דיווחו לחברה על הממצאים שסגרה את המאגר החשוף לאחר יום 🙈
https://news.1rj.ru/str/CyberSecurityIL/727
https://www.hackread.com/bykea-data-breach-pakistani-ride-hailing-app/
חוקרי אבטחת מידע מחברת Safety Detectives דיווחו כי איתרו מאגר מידע חשוף השייך לחברת BYKEA, חברת לוגיסטיקה ומשלוחים בפקסיטן.
המאגר, שהכיל למעלה מ-400 מיליון רשומות, כלל מידע של לקוחות ושל עובדים.
במאגר הלקוחות היה ניתן למצוא "רק": שם, כתובת דוא"ל ומספר טלפון.
במאגר העובדים המידע היה נרחב יותר והכיל: שמות, מספרי טלפון, כתובות מגורים, מספרי זהות, מספר רישיון, נתוני מיקום ועוד.
לקינוח, נמצאו במאגר גם שמות משתמשים וסיסמאות ללא הצפנה.
החוקרים דיווחו לחברה על הממצאים שסגרה את המאגר החשוף לאחר יום 🙈
https://news.1rj.ru/str/CyberSecurityIL/727
https://www.hackread.com/bykea-data-breach-pakistani-ride-hailing-app/
מפעילת התקשורת הסלולרית USCellular מודיעה כי מידע של לקוחות נגנב ע"י האקרים.
לפי הדיווח האקרים הצליחו להערים על כמה מעובדי החברה ולגרום להם להתקין נוזקה במחשב המשרדי, ובעזרתה הצליחו ההאקרים להתחבר מרחוק למחשב.
לאחר שהתחברו מרחוק ניגשו ההאקרים למערכת CRM שם מנוהלים פרטי הלקוחות והיו חשופים לפרטי לקוחות כגון: שמות, כתובות, מספרי טלפון, חשבוניות, תכניות שירות ועוד.
עם זאת מציינת החברה כי מספרי אשראי של לקוחות לא היו חשופים להאקרים.
https://news.1rj.ru/str/CyberSecurityIL/728
https://www.bleepingcomputer.com/news/security/uscellular-hit-by-a-data-breach-after-hackers-access-crm-software/
לפי הדיווח האקרים הצליחו להערים על כמה מעובדי החברה ולגרום להם להתקין נוזקה במחשב המשרדי, ובעזרתה הצליחו ההאקרים להתחבר מרחוק למחשב.
לאחר שהתחברו מרחוק ניגשו ההאקרים למערכת CRM שם מנוהלים פרטי הלקוחות והיו חשופים לפרטי לקוחות כגון: שמות, כתובות, מספרי טלפון, חשבוניות, תכניות שירות ועוד.
עם זאת מציינת החברה כי מספרי אשראי של לקוחות לא היו חשופים להאקרים.
https://news.1rj.ru/str/CyberSecurityIL/728
https://www.bleepingcomputer.com/news/security/uscellular-hit-by-a-data-breach-after-hackers-access-crm-software/
👍1
הדומיין Perl(.)com נגנב ע"י האקרים שכעת מפנים את כל הגולשים לאתר לכתובת ip המכילה נוזקה.
האתר, שמשמש מקור מידע נרחב עבור שפת התכנות Perl עוד משנת 1997 נגנב מהבעלים המקוריים ונרשם מחדש ע"י האקרים מסין.
מחקירה ראשונית עולה כי הדומיין נגנב כבר בספטמבר 2020 אך רק ב-27.1 הפניה לאתר שונתה לכתובת ip המכילה נוזקה.
האתר כעת מתורגם לכתובת 35.186..238.101 המוכרת ככתובת שממנה הופצה בעבר נוזקת Locky ransomware ולאחר מכן שימשה ככתובת C&C לנוזקות שונות.
בשלב זה הוקם אתר חדש עד להסדרת הנושא וכתובתו:
https://perldotcom.perl.org/
עד להודעה חדשה אין לגשת לאתר הישן.
https://news.1rj.ru/str/CyberSecurityIL/729
https://www.bleepingcomputer.com/news/security/perlcom-domain-stolen-now-using-ip-address-tied-to-malware/
האתר, שמשמש מקור מידע נרחב עבור שפת התכנות Perl עוד משנת 1997 נגנב מהבעלים המקוריים ונרשם מחדש ע"י האקרים מסין.
מחקירה ראשונית עולה כי הדומיין נגנב כבר בספטמבר 2020 אך רק ב-27.1 הפניה לאתר שונתה לכתובת ip המכילה נוזקה.
האתר כעת מתורגם לכתובת 35.186..238.101 המוכרת ככתובת שממנה הופצה בעבר נוזקת Locky ransomware ולאחר מכן שימשה ככתובת C&C לנוזקות שונות.
בשלב זה הוקם אתר חדש עד להסדרת הנושא וכתובתו:
https://perldotcom.perl.org/
עד להודעה חדשה אין לגשת לאתר הישן.
https://news.1rj.ru/str/CyberSecurityIL/729
https://www.bleepingcomputer.com/news/security/perlcom-domain-stolen-now-using-ip-address-tied-to-malware/
הרשות הממשלתית למחקר וחדשנות בבריטניה נפלה קרבן למתקפת כופרה.
בשלב זה דווח כי התוקפים הצפינו חלק מהמידע וכי 2 מערכות מרכזיות של הרשות אינן זמינות, דיווח מסודר הועבר למרכז הסייבר הלאומי ומרכז נציבות המידע הבריטית.
"בשלב זה אנו לא יודעים אם נגנב/נחשף מידע רגיש במהלך המתקפה אך נעשה מאמצים ליצור קשר עם הגורמים הרלוונטיים למניעת הונאות אפשריות" מסרו ברשות.
https://news.1rj.ru/str/CyberSecurityIL/730
https://www.bleepingcomputer.com/news/security/uk-research-and-innovation-ukri-suffers-ransomware-attack/
בשלב זה דווח כי התוקפים הצפינו חלק מהמידע וכי 2 מערכות מרכזיות של הרשות אינן זמינות, דיווח מסודר הועבר למרכז הסייבר הלאומי ומרכז נציבות המידע הבריטית.
"בשלב זה אנו לא יודעים אם נגנב/נחשף מידע רגיש במהלך המתקפה אך נעשה מאמצים ליצור קשר עם הגורמים הרלוונטיים למניעת הונאות אפשריות" מסרו ברשות.
https://news.1rj.ru/str/CyberSecurityIL/730
https://www.bleepingcomputer.com/news/security/uk-research-and-innovation-ukri-suffers-ransomware-attack/
חזרו בתשובה: קבוצת התקיפה FonixCrypter, שהחלה את פעילותה ביוני 2020, הודיעו כי הם מפסיקים את הפעילות הזדונית, שיחררו את מפתח הפיענוח הראשי ומחקו את קוד המקור של הנוזקה.
בהודעה שפירסם היום מי שמציג את עצמו כאחד ממנהלי הקבוצה הוא מודיע כי הפעילות של הקבוצה הופסקה וכי כל מי שנפגע מוזמן להוריד את מפתחות הפיענוח+הוראות כיצד לפענח את הקבצים.
מומחי אבטחה שבדקו את הקבצים שפורסמו טוענים כי הם אכן מאפשרים פיענוח של חלק מהקבצים שהוצפנו אך מזהירים כי כדאי להמתין עד לבירור מלא מחשש כי קיימת נוזקה בקבצים.
https://news.1rj.ru/str/CyberSecurityIL/731
https://securityaffairs.co/wordpress/114013/malware/fonixcrypter-ransomware-shut-down.html
בהודעה שפירסם היום מי שמציג את עצמו כאחד ממנהלי הקבוצה הוא מודיע כי הפעילות של הקבוצה הופסקה וכי כל מי שנפגע מוזמן להוריד את מפתחות הפיענוח+הוראות כיצד לפענח את הקבצים.
מומחי אבטחה שבדקו את הקבצים שפורסמו טוענים כי הם אכן מאפשרים פיענוח של חלק מהקבצים שהוצפנו אך מזהירים כי כדאי להמתין עד לבירור מלא מחשש כי קיימת נוזקה בקבצים.
https://news.1rj.ru/str/CyberSecurityIL/731
https://securityaffairs.co/wordpress/114013/malware/fonixcrypter-ransomware-shut-down.html
CLOUD-CERT-IL-W-1269.pdf
265.3 KB
מערך הסייבר הלאומי:
שיטות לתקיפת תשתיות ענן
שלום רב,
1. לאחרונה פרסמו הן ה-DHS האמריקאי והן חברת Fireeye מידע לגבי שיטות תקיפה של תשתיות ענן. פרסומים אלו מצטרפים לפרסומים קודמים של ה-NSA ומיקרוסופט.
2. הפרסומים מתרכזים בתקיפות של תשתיות ענן של חברת מיקרוסופט: M365, O365 ו-Azure. תקיפות מסוג זה נצפו באירוע Solarwinds אך גם באירועים נוספים.
3. מסמך זה יסקור את שיטות התקיפה הללו, ויפנה למידע מפורט על התמודדות עימן.
https://news.1rj.ru/str/CyberSecurityIL/732
שיטות לתקיפת תשתיות ענן
שלום רב,
1. לאחרונה פרסמו הן ה-DHS האמריקאי והן חברת Fireeye מידע לגבי שיטות תקיפה של תשתיות ענן. פרסומים אלו מצטרפים לפרסומים קודמים של ה-NSA ומיקרוסופט.
2. הפרסומים מתרכזים בתקיפות של תשתיות ענן של חברת מיקרוסופט: M365, O365 ו-Azure. תקיפות מסוג זה נצפו באירוע Solarwinds אך גם באירועים נוספים.
3. מסמך זה יסקור את שיטות התקיפה הללו, ויפנה למידע מפורט על התמודדות עימן.
https://news.1rj.ru/str/CyberSecurityIL/732
QRADAR-CERT-IL-W-1272.pdf
250.6 KB
מערך הסייבר הלאומי:
עדכוני אבטחה לתוכנת Qradar
שלום רב,
1. חברת IBM פרסמה מספר רב של עדכוני אבטחה לתוכנת Qradar.
2. מומלץ לבחון ולהתקין את גרסת התוכנה העדכנית, בהקדם האפשרי.
https://news.1rj.ru/str/CyberSecurityIL/733
עדכוני אבטחה לתוכנת Qradar
שלום רב,
1. חברת IBM פרסמה מספר רב של עדכוני אבטחה לתוכנת Qradar.
2. מומלץ לבחון ולהתקין את גרסת התוכנה העדכנית, בהקדם האפשרי.
https://news.1rj.ru/str/CyberSecurityIL/733
חברת מיקור החוץ הגלובלית Serco, העוסקת בימים אלו גם בבדיקות קורונה, הותקפה במתקפת כופרה.
החברה, שמקורה בבריטניה ומעסיקה כ-50k עובדים, מאשרת כי היא אכן סובלת ממתקפת כופרה אך לא מציינת מה ההשפעה על מערכות החברה ומה סכום הכופר.
קבוצת התקיפה Babuk שהחלה את פעילותה בינואר 2021, היא זו שאחראית למתקפה.
הפניה לחברת Serco מצד גופי תקשורת התבצעה לאחר שאלו קיבלו מידע על העלאה של הודעה הכופר לאתר VirusTotal שם נכתב ע"י התוקפים כי הם נמצאים ברשת כבר 3 שבועות ומשכו 1TB של מידע.
(לא נמסר כיצד המידע מ-VitusTotal הגיע לגופי התקשורת)
https://news.1rj.ru/str/CyberSecurityIL/734
https://news.sky.com/story/covid-19-nhs-test-and-trace-unaffected-by-cyber-attack-at-serco-firm-says-12204747
החברה, שמקורה בבריטניה ומעסיקה כ-50k עובדים, מאשרת כי היא אכן סובלת ממתקפת כופרה אך לא מציינת מה ההשפעה על מערכות החברה ומה סכום הכופר.
קבוצת התקיפה Babuk שהחלה את פעילותה בינואר 2021, היא זו שאחראית למתקפה.
הפניה לחברת Serco מצד גופי תקשורת התבצעה לאחר שאלו קיבלו מידע על העלאה של הודעה הכופר לאתר VirusTotal שם נכתב ע"י התוקפים כי הם נמצאים ברשת כבר 3 שבועות ומשכו 1TB של מידע.
(לא נמסר כיצד המידע מ-VitusTotal הגיע לגופי התקשורת)
https://news.1rj.ru/str/CyberSecurityIL/734
https://news.sky.com/story/covid-19-nhs-test-and-trace-unaffected-by-cyber-attack-at-serco-firm-says-12204747
ארצות הברית: פחות פריצות, יותר כופרות–והרבה יותר יקרות
על פי הדו"ח השנתי של מרכז המשאבים לגניבת זהות (ITRC), ב-2020 דווחו 1,108 אירועי סייבר והיקף הנפגעים מהאירועים הללו עמד על קרוב ל-301 מיליון אנשים, צניחה של 66% לעומת השנה שלפניה.
עלות התשלום הממוצעת של דמי הכופר עמדה ברבעון הרביעי של 2020 על 233 אלף דולר – נתון המשקף קפיצה של פי 23 בתוך כשנתיים, לעומת 10,000 דולר בלבד ברבעון השלישי של 2018.
גם ההתחזות סייעה לתוקפים לקצור רווחים מסיביים: היקף ההונאות העסקיות והפריצות דרך מערכות דואר אלקטרוני ארגוניות (BEC) שדווחו ל-FBI עמד ב-2020 על 1.8 מיליארד דולר – נתון המשקף מחצית מכל נזקי הסייבר במונחים כספיים.
https://news.1rj.ru/str/CyberSecurityIL/735
https://www.pc.co.il/featured/331319/
מוזמנים לעיין בדוח המלא כאן 👇🏻
על פי הדו"ח השנתי של מרכז המשאבים לגניבת זהות (ITRC), ב-2020 דווחו 1,108 אירועי סייבר והיקף הנפגעים מהאירועים הללו עמד על קרוב ל-301 מיליון אנשים, צניחה של 66% לעומת השנה שלפניה.
עלות התשלום הממוצעת של דמי הכופר עמדה ברבעון הרביעי של 2020 על 233 אלף דולר – נתון המשקף קפיצה של פי 23 בתוך כשנתיים, לעומת 10,000 דולר בלבד ברבעון השלישי של 2018.
גם ההתחזות סייעה לתוקפים לקצור רווחים מסיביים: היקף ההונאות העסקיות והפריצות דרך מערכות דואר אלקטרוני ארגוניות (BEC) שדווחו ל-FBI עמד ב-2020 על 1.8 מיליארד דולר – נתון המשקף מחצית מכל נזקי הסייבר במונחים כספיים.
https://news.1rj.ru/str/CyberSecurityIL/735
https://www.pc.co.il/featured/331319/
מוזמנים לעיין בדוח המלא כאן 👇🏻
סולארווינדס סטייל: אמולטור האנדרואיד NoxPlayer נפרץ ע"י האקרים שהפיצו נוזקות למשתמשים דרך שירות העדכונים של המוצר.
לפי הדיווח של חברת Eset האקרים פרצו לשרתי NoxPlayer והפיצו למשתמשים עדכון זדוני המכיל נוזקות.
בשלב ראשון הופצו הנוזקות דרך מערכת העדכונים של NoxPlayer ובהמשך שלחו התוקפים למחשבים הנגועים נוזקה נוספת באופן ישיר.
הנוזקות שהותקנו אצל המשתמשים מאפשרים חיבור מרחוק וניטור המחשב הנגוע.
https://news.1rj.ru/str/CyberSecurityIL/737
https://www.bleepingcomputer.com/news/security/android-emulator-supply-chain-attack-targets-gamers-with-malware/
לפי הדיווח של חברת Eset האקרים פרצו לשרתי NoxPlayer והפיצו למשתמשים עדכון זדוני המכיל נוזקות.
בשלב ראשון הופצו הנוזקות דרך מערכת העדכונים של NoxPlayer ובהמשך שלחו התוקפים למחשבים הנגועים נוזקה נוספת באופן ישיר.
הנוזקות שהותקנו אצל המשתמשים מאפשרים חיבור מרחוק וניטור המחשב הנגוע.
https://news.1rj.ru/str/CyberSecurityIL/737
https://www.bleepingcomputer.com/news/security/android-emulator-supply-chain-attack-targets-gamers-with-malware/
רשת המחשוב של בית הספר Victor Central שבניו יורק הותקפה במתקפת כופרה.
בעקבות המתקפה רשת המחשוב נותקה מהאינטרנט והלימודים הופסקו עד להודעה חדשה.
לפי הדיווח, לא נחשף מידע אישי של תלמידים או מידע פיננסי.
בשלב זה לא פורסם מי קבוצת התקיפה ומה סכום הכופר.
מוזמנים להיכנס ולקרוא את המכתב המפורט שהוציא טים, המפקח של בתי הספר להורים ולתלמידים, בו הוא מפרט את השתלשלות הדברים הידועה עד כה.
https://news.1rj.ru/str/CyberSecurityIL/738
https://www.whec.com/orleans-county-ny-news/victor-central-school-district-to-be-closed-monday-after-malware-attack/5996972/
בעקבות המתקפה רשת המחשוב נותקה מהאינטרנט והלימודים הופסקו עד להודעה חדשה.
לפי הדיווח, לא נחשף מידע אישי של תלמידים או מידע פיננסי.
בשלב זה לא פורסם מי קבוצת התקיפה ומה סכום הכופר.
מוזמנים להיכנס ולקרוא את המכתב המפורט שהוציא טים, המפקח של בתי הספר להורים ולתלמידים, בו הוא מפרט את השתלשלות הדברים הידועה עד כה.
https://news.1rj.ru/str/CyberSecurityIL/738
https://www.whec.com/orleans-county-ny-news/victor-central-school-district-to-be-closed-monday-after-malware-attack/5996972/
מידע רגיש של מאות עיתונאים ושחקני כדורעף נמצא חשוף ברשת על גבי שרת השייך לאיגוד הכדורעף האירופי.
המידע שכלל תמונות, צילומי דרכונים ועוד התאחסן בענן של מייקרוסופט ללא הגבלת גישה, חוקר אבט"מ שמצא את המידע הגלוי פנה לגורמים שונים שמצאו את הבעלים של השרת החשוף-איגוד הכדורעף האירופי.
רק לאחר חודשיים+ של פניות לכל הגורמים האפשריים באיגוד השרת נסגר וכעת הגישה אליו חסומה.
https://news.1rj.ru/str/CyberSecurityIL/739
https://www.bleepingcomputer.com/news/security/european-volleyball-orgs-azure-bucket-exposed-reporter-passports/
המידע שכלל תמונות, צילומי דרכונים ועוד התאחסן בענן של מייקרוסופט ללא הגבלת גישה, חוקר אבט"מ שמצא את המידע הגלוי פנה לגורמים שונים שמצאו את הבעלים של השרת החשוף-איגוד הכדורעף האירופי.
רק לאחר חודשיים+ של פניות לכל הגורמים האפשריים באיגוד השרת נסגר וכעת הגישה אליו חסומה.
https://news.1rj.ru/str/CyberSecurityIL/739
https://www.bleepingcomputer.com/news/security/european-volleyball-orgs-azure-bucket-exposed-reporter-passports/