מאגר מידע של חברת BYKEA הושאר חשוף אונליין והכיל 200gb של מידע רגיש.

חוקרי אבטחת מידע מחברת Safety Detectives דיווחו כי איתרו מאגר מידע חשוף השייך לחברת BYKEA, חברת לוגיסטיקה ומשלוחים בפקסיטן.

המאגר, שהכיל למעלה מ-400 מיליון רשומות, כלל מידע של לקוחות ושל עובדים.
במאגר הלקוחות היה ניתן למצוא "רק": שם, כתובת דוא"ל ומספר טלפון.
במאגר העובדים המידע היה נרחב יותר והכיל: שמות, מספרי טלפון, כתובות מגורים, מספרי זהות, מספר רישיון, נתוני מיקום ועוד.
לקינוח, נמצאו במאגר גם שמות משתמשים וסיסמאות ללא הצפנה.

החוקרים דיווחו לחברה על הממצאים שסגרה את המאגר החשוף לאחר יום 🙈

https://news.1rj.ru/str/CyberSecurityIL/727

https://www.hackread.com/bykea-data-breach-pakistani-ride-hailing-app/

מפעילת התקשורת הסלולרית USCellular מודיעה כי מידע של לקוחות נגנב ע"י האקרים.

לפי הדיווח האקרים הצליחו להערים על כמה מעובדי החברה ולגרום להם להתקין נוזקה במחשב המשרדי, ובעזרתה הצליחו ההאקרים להתחבר מרחוק למחשב.

לאחר שהתחברו מרחוק ניגשו ההאקרים למערכת CRM שם מנוהלים פרטי הלקוחות והיו חשופים לפרטי לקוחות כגון: שמות, כתובות, מספרי טלפון, חשבוניות, תכניות שירות ועוד.

עם זאת מציינת החברה כי מספרי אשראי של לקוחות לא היו חשופים להאקרים.

https://news.1rj.ru/str/CyberSecurityIL/728

https://www.bleepingcomputer.com/news/security/uscellular-hit-by-a-data-breach-after-hackers-access-crm-software/

הדומיין Perl(.)com נגנב ע"י האקרים שכעת מפנים את כל הגולשים לאתר לכתובת ip המכילה נוזקה.

האתר, שמשמש מקור מידע נרחב עבור שפת התכנות Perl עוד משנת 1997 נגנב מהבעלים המקוריים ונרשם מחדש ע"י האקרים מסין.

מחקירה ראשונית עולה כי הדומיין נגנב כבר בספטמבר 2020 אך רק ב-27.1 הפניה לאתר שונתה לכתובת ip המכילה נוזקה.

האתר כעת מתורגם לכתובת 35.186..238.101 המוכרת ככתובת שממנה הופצה בעבר נוזקת Locky ransomware ולאחר מכן שימשה ככתובת C&C לנוזקות שונות.

בשלב זה הוקם אתר חדש עד להסדרת הנושא וכתובתו:

https://perldotcom.perl.org/

עד להודעה חדשה אין לגשת לאתר הישן.

https://news.1rj.ru/str/CyberSecurityIL/729

https://www.bleepingcomputer.com/news/security/perlcom-domain-stolen-now-using-ip-address-tied-to-malware/

הרשות הממשלתית למחקר וחדשנות בבריטניה נפלה קרבן למתקפת כופרה.

בשלב זה דווח כי התוקפים הצפינו חלק מהמידע וכי 2 מערכות מרכזיות של הרשות אינן זמינות, דיווח מסודר הועבר למרכז הסייבר הלאומי ומרכז נציבות המידע הבריטית.

"בשלב זה אנו לא יודעים אם נגנב/נחשף מידע רגיש במהלך המתקפה אך נעשה מאמצים ליצור קשר עם הגורמים הרלוונטיים למניעת הונאות אפשריות" מסרו ברשות.

https://news.1rj.ru/str/CyberSecurityIL/730

https://www.bleepingcomputer.com/news/security/uk-research-and-innovation-ukri-suffers-ransomware-attack/

חזרו בתשובה: קבוצת התקיפה FonixCrypter, שהחלה את פעילותה ביוני 2020, הודיעו כי הם מפסיקים את הפעילות הזדונית, שיחררו את מפתח הפיענוח הראשי ומחקו את קוד המקור של הנוזקה.

בהודעה שפירסם היום מי שמציג את עצמו כאחד ממנהלי הקבוצה הוא מודיע כי הפעילות של הקבוצה הופסקה וכי כל מי שנפגע מוזמן להוריד את מפתחות הפיענוח+הוראות כיצד לפענח את הקבצים.

מומחי אבטחה שבדקו את הקבצים שפורסמו טוענים כי הם אכן מאפשרים פיענוח של חלק מהקבצים שהוצפנו אך מזהירים כי כדאי להמתין עד לבירור מלא מחשש כי קיימת נוזקה בקבצים.

https://news.1rj.ru/str/CyberSecurityIL/731

https://securityaffairs.co/wordpress/114013/malware/fonixcrypter-ransomware-shut-down.html

מערך הסייבר הלאומי:

שיטות לתקיפת תשתיות ענן

שלום רב,

1. לאחרונה פרסמו הן ה-DHS האמריקאי והן חברת Fireeye מידע לגבי שיטות תקיפה של תשתיות ענן. פרסומים אלו מצטרפים לפרסומים קודמים של ה-NSA ומיקרוסופט.

2. הפרסומים מתרכזים בתקיפות של תשתיות ענן של חברת מיקרוסופט: M365, O365 ו-Azure. תקיפות מסוג זה נצפו באירוע Solarwinds אך גם באירועים נוספים.

3. מסמך זה יסקור את שיטות התקיפה הללו, ויפנה למידע מפורט על התמודדות עימן.

https://news.1rj.ru/str/CyberSecurityIL/732

מערך הסייבר הלאומי:

עדכוני אבטחה לתוכנת Qradar

שלום רב,

1. חברת IBM פרסמה מספר רב של עדכוני אבטחה לתוכנת Qradar.

2. מומלץ לבחון ולהתקין את גרסת התוכנה העדכנית, בהקדם האפשרי.

https://news.1rj.ru/str/CyberSecurityIL/733

חברת מיקור החוץ הגלובלית Serco, העוסקת בימים אלו גם בבדיקות קורונה, הותקפה במתקפת כופרה.

החברה, שמקורה בבריטניה ומעסיקה כ-50k עובדים, מאשרת כי היא אכן סובלת ממתקפת כופרה אך לא מציינת מה ההשפעה על מערכות החברה ומה סכום הכופר.

קבוצת התקיפה Babuk שהחלה את פעילותה בינואר 2021, היא זו שאחראית למתקפה.

הפניה לחברת Serco מצד גופי תקשורת התבצעה לאחר שאלו קיבלו מידע על העלאה של הודעה הכופר לאתר VirusTotal שם נכתב ע"י התוקפים כי הם נמצאים ברשת כבר 3 שבועות ומשכו 1TB של מידע.

(לא נמסר כיצד המידע מ-VitusTotal הגיע לגופי התקשורת)

https://news.1rj.ru/str/CyberSecurityIL/734

https://news.sky.com/story/covid-19-nhs-test-and-trace-unaffected-by-cyber-attack-at-serco-firm-says-12204747

ארצות הברית: פחות פריצות, יותר כופרות–והרבה יותר יקרות

על פי הדו"ח השנתי של מרכז המשאבים לגניבת זהות (ITRC), ב-2020 דווחו 1,108 אירועי סייבר והיקף הנפגעים מהאירועים הללו עמד על קרוב ל-301 מיליון אנשים, צניחה של 66% לעומת השנה שלפניה.

עלות התשלום הממוצעת של דמי הכופר עמדה ברבעון הרביעי של 2020 על 233 אלף דולר – נתון המשקף קפיצה של פי 23 בתוך כשנתיים, לעומת 10,000 דולר בלבד ברבעון השלישי של 2018.

גם ההתחזות סייעה לתוקפים לקצור רווחים מסיביים: היקף ההונאות העסקיות והפריצות דרך מערכות דואר אלקטרוני ארגוניות (BEC) שדווחו ל-FBI עמד ב-2020 על 1.8 מיליארד דולר – נתון המשקף מחצית מכל נזקי הסייבר במונחים כספיים.

https://news.1rj.ru/str/CyberSecurityIL/735

https://www.pc.co.il/featured/331319/

מוזמנים לעיין בדוח המלא כאן 👇🏻

סולארווינדס סטייל: אמולטור האנדרואיד NoxPlayer נפרץ ע"י האקרים שהפיצו נוזקות למשתמשים דרך שירות העדכונים של המוצר.

לפי הדיווח של חברת Eset האקרים פרצו לשרתי NoxPlayer והפיצו למשתמשים עדכון זדוני המכיל נוזקות.

בשלב ראשון הופצו הנוזקות דרך מערכת העדכונים של NoxPlayer ובהמשך שלחו התוקפים למחשבים הנגועים נוזקה נוספת באופן ישיר.
הנוזקות שהותקנו אצל המשתמשים מאפשרים חיבור מרחוק וניטור המחשב הנגוע.

https://news.1rj.ru/str/CyberSecurityIL/737

https://www.bleepingcomputer.com/news/security/android-emulator-supply-chain-attack-targets-gamers-with-malware/

רשת המחשוב של בית הספר Victor Central שבניו יורק הותקפה במתקפת כופרה.

בעקבות המתקפה רשת המחשוב נותקה מהאינטרנט והלימודים הופסקו עד להודעה חדשה.

לפי הדיווח, לא נחשף מידע אישי של תלמידים או מידע פיננסי.
בשלב זה לא פורסם מי קבוצת התקיפה ומה סכום הכופר.

מוזמנים להיכנס ולקרוא את המכתב המפורט שהוציא טים, המפקח של בתי הספר להורים ולתלמידים, בו הוא מפרט את השתלשלות הדברים הידועה עד כה.

https://news.1rj.ru/str/CyberSecurityIL/738

https://www.whec.com/orleans-county-ny-news/victor-central-school-district-to-be-closed-monday-after-malware-attack/5996972/

מידע רגיש של מאות עיתונאים ושחקני כדורעף נמצא חשוף ברשת על גבי שרת השייך לאיגוד הכדורעף האירופי.

המידע שכלל תמונות, צילומי דרכונים ועוד התאחסן בענן של מייקרוסופט ללא הגבלת גישה, חוקר אבט"מ שמצא את המידע הגלוי פנה לגורמים שונים שמצאו את הבעלים של השרת החשוף-איגוד הכדורעף האירופי.

רק לאחר חודשיים+ של פניות לכל הגורמים האפשריים באיגוד השרת נסגר וכעת הגישה אליו חסומה.

https://news.1rj.ru/str/CyberSecurityIL/739

https://www.bleepingcomputer.com/news/security/european-volleyball-orgs-azure-bucket-exposed-reporter-passports/

הקרבן הבא: משרד מבקר המדינה בוושינגטון מעדכן כי האקרים ניגשו למידע רגיש לאחר ניצול חולשה במוצר של Accellion.

בעקבות הפריצה נחשף מידע של 1.6 מיליון אזרחים מבקשי עבודה והוא כולל שמות, מספרי ביטוח לאומי, מספר חשבון בנק, צילומי רישיונות נהיגה ועוד.

נזכיר כי מדובר במוצר לגאסי של חברת Accellion שכבר לא נמכר ללקוחות, כמו כן החברה הוציאה עדכון למוצר בחודש דצמבר וככל הנראה העדכון לא בוצע במשרד שנפגע.

לא מזמן פורסם כי גם הבנק בניו זילנד וגם המועצה האוסטרלית לניירות ערך חוו פריצה דומה לאחר ניצול החולשה במוצר של Accellion.

https://news.1rj.ru/str/CyberSecurityIL/740

https://www.govtech.com/security/Washington-State-Auditors-Office-Issues-Breach-Warning.html

מערך הסייבר הלאומי:

[עדכון] Apple פרסמה עדכוני אבטחה ל-3 פגיעויות Zero Day

שלום רב,

1. חברת אפל פרסמה עדכוני אבטחה למערכות הפעלה מתוצרתה.

2. קיים דיווח כי פגיעויות אלו מנוצלות בפועל על ידי תוקפים בעולם (Zero Day).

3. [עדכון] החברה עדכנה את הפרסום וחשפה עשרות עדכוני אבטחה נוספים.

4. [עדכון] החברה עדכנה כי הפגיעויות קיימות במערכת הפעלה נוספת מתוצרתה.

5. מומלץ לבחון ולהתקין את גרסת התוכנה העדכנית, בהקדם האפשרי.

https://news.1rj.ru/str/CyberSecurityIL/741

חברת Flashpoint, העוסקת במודיעין סייבר, מפרסמת נתונים על מתקפות כופרה בשנת 2020.

קצת נתונים מהממצאים שאספה החברה מ-1,100 אירועי כופרה:

🔸 55% מהמתקפות היו על חברות הממוקמות בארה"ב.

🔸 שלושת המגזרים המותקפים ביותר הם קמעונאות, מפעלי ייצור וגופי בריאות.

🔸 מתוך קבוצות תקיפה, קבוצת Maze מובילה במספר התקיפות וזאת למרות שהודיעה על השבתה בנובמבר 2020.

🔸 חלק מקבוצות התקיפה הרוויחו מעל 100 מיליון דולר בשנת 2020.

https://news.1rj.ru/str/CyberSecurityIL/742

https://www.flashpoint-intel.com/blog/ransomware-retrospective-analyzing-1100-attacks-from-2020/

חברת SolarWinds מפרסמת עדכון ל-3 ממצאים ברמת סיכון גבוהה עבור המוצר Orion.

הממצאים שנחשפו ע"י חוקר אבט"מ מחברת SpiderLabs מאפשרים לתוקף לקבל שליטה מלאה על כל המערכת.

העדכונים הסוגרים חולשות אלו הם גרסה 2020.2.4 וכן Hotfix גרסה 15.2.2 עבור שרת Serv-U FTP.

https://news.1rj.ru/str/CyberSecurityIL/743

https://www.bleepingcomputer.com/news/security/solarwinds-patches-critical-vulnerabilities-in-the-orion-platform/

מידע רגיש של לקוחות סוכנות הנדל"ן הבריטית Foxtons הודלף ברשת האפילה.

בתחילת אוקטובר 2020 חברת האם Foxtons Group חוותה מתקפת סייבר אך יצאה בהצהרה כי מידע רגיש של לקוחות לא נגנב.

בדיעבד מתברר כי מידע רגיש בהחלט נגנב ואף פורסם ברשת האפילה, בין המידע שפורסם, מספרי כרטיסי אשראי של כ-16k לקוחות כאשר אלפים מהכרטיסים עוד פעילים.

כעת החברה מואשמת בכך שלא עידכנה את הלקוחות שנפגעו והסתירה מידע קריטי הקשור למתקפה ולמידע שנגנב.

https://news.1rj.ru/str/CyberSecurityIL/744

https://www.itpro.co.uk/security/data-breaches/358510/foxtons-customer-data-found-available-on-dark-web

הודעה מסודרת ממערך הסייבר הלאומי בהמשך לנ"ל.

חברת Claroty, העוסקת באבטחת מידע בסביבות ה-OT, מפרסמת היום את דו"ח הממצאים השנתי לשנת 2020 בעולמות התשתיות הקריטיות (Scada)

קצת נתונים מעניינים מהדו"ח:

🔺71% מהפגיעויות בעולמות ה-Scada מתבצעות מרחוק על גבי רשת התקשורת הארגונית.

🔺ב-76% מהפגיעויות התוקף לא צריך נתוני הזדהות על מנת לנצל את החולשה ולפגוע בתשתית.

🔺65% מהפגיעויות שמנוצלות יגרמו להשבתה מלאה של זמינות התשתית.

https://news.1rj.ru/str/CyberSecurityIL/745

מוזמנים לעיין בשאר הנתונים במסמך המלא כאן 👇🏻 👇🏻