עדכון למתקפת הסייבר על TfL - משטרת בריטניה מעדכנת כי עצרה שני נערים בני 17 ו-18, חברים בקבוצת Scattered Spider האחראים למתקפת הסייבר על TfL.

מתקפת סייבר על חברת SonicWall חשפה קבצי גיבוי של לקוחות, שנדרשים כעת לבצע איפוס סיסמאות.

חברת SonicWall, המספקת פתרונות סייבר שונים, הודיעה כי תוקפים גנבו קבצי גיבוי של חומות אש מחשבונות MySonicWall, המשמשים לניהול מכשירי האבטחה של החברה.
הקבצים הכילו מידע שיכול לסייע לתוקפים לגשת לרשתות של לקוחות, כולל נתוני הזדהות, טוקנים ועוד.

חברת SonicWall המליצה ללקוחות לאפס מיד את כל הסיסמאות, מפתחות API וכו' ולבדוק לוגים כדי לזהות פעילות חשודה.

מוסיף כאן הצהרה קצרה של החברה:

Our investigation determined that less than 5% of our firewall install base had backup firewall preference files stored in the cloud for these devices accessed by threat actors. While the files contained encrypted passwords, they also included information that could make it easier for attackers to potentially exploit firewalls," the spokesperson said.

"We are not presently aware of these files being leaked online by threat actors. This was not a ransomware or similar event for SonicWall, rather this was a series of account-by-account brute force attacks aimed at gaining access to the preference files stored in backup for potential further use by threat actors."

https://news.1rj.ru/str/CyberSecurityIL/7764

לא מרגיש לי כמו משהו סייברי אבל מניח כאן בכל זאת:

סכסוך בהפניקס: הוועד פנה לרשות הפרטיות נגד כפיית אפליקציית נוכחות בטלפונים של העובדים.

במסגרת המעבר למתחם האלף בראשון לציון, החליטה הנהלת הפניקס לבטל את תגי העובדים ולהחליפם באפליקציית נוכחות שתותקן על הטלפונים האישיים. ועד העובדים דרש מההנהלה לספק טלפונים לעובדים מחשש לפרטיותם, אך זו סירבה. הוועד פנה לרשות הגנת הפרטיות בדרישה לבחון את חוקיות הצעד.

הכתבה המלאה בכלכליסט

https://news.1rj.ru/str/CyberSecurityIL/7765

חברת Forta מדווחת על חולשה קריטית במוצר GoAnywhere MFT.

החולשה, CVE-2025-10035, תוקנה בגרסאות GoAnywhere MFT 7.8.4 ו- Sustain Release 7.6.3,

לפי אתר ShadowServer יש בישראל 3 שרתי GoAnywhere MFT החשופים לרשת האינטרנט (470 כאלו בעולם..)

https://news.1rj.ru/str/CyberSecurityIL/7766

קצת לפני שבת: כתבה מעניינת של כתבת בבלומברג שראיינה במשך שנה את אחד מחברי קבוצת Scattered Spider שיושב בכלא.

התוקף, היה חלק מהקבוצה כשתפקידו היה "Caller" - זה שלמעשה מתקשר לגופים תוך התחזות לגורמים שונים ומשיג מהם איפוס סיסמאות וכו' ולבסוף גישה ראשונית לארגון.

מזומנים לקרוא - כאן.

https://news.1rj.ru/str/CyberSecurityIL/7767

בשל מתקפת סייבר: ביטולים ועיכובים בטיסות רבות באירופה (גלובס)

כמה נמלי תעופה מרכזיים באירופה דיווחו היום (שבת) על עיכובים ודחיות בטיסות בעקבות מתקפת סייבר רחבה. מתקפת הסייבר השביתה מערכות צ'ק-אין והמראה בנמלים הית'רו בלונדון וכן בנמלים בבריסל ובברלין.

בבריסל אישרו כי 10 טיסות בוטלו בשל מתקפת הסייבר ונרשמו עיכובים של יותר משעה ב-17 טיסות נוספות. "עדיין מוקדם מדי לומר מתי הבעיה תיפתר", נמסר בהצהרה של הנהלת נמל התעופה בבריסל.

עוד נמסר כי "התקלה גרמה להשבתת המערכות האוטומטיות לביצוע צ'ק-אין ועלייה למטוס, מה שמאלץ את הצוותים לבצע את כל התהליך באופן ידני - מצב שמוביל, כצפוי, לשיבושים משמעותיים בלוח הטיסות". בהצהרה רשמית שפורסמה באתר של נמל התעופה, נכתב: "יש לכך השפעה גדולה על לוח הטיסות, ולמרבה הצער זה יגרום לעיכובים וביטולים"

נמל התעופה הית'רו בלונדון, אחד מהעמוסים באירופה, פרסם גם הוא הודעה רשמית ולפיה קיימים עיכובים בעקבות "תקלה טכנית אצל ספק צד שלישי" בשל מתקפת סייבר. "המתקפה גרמה לכך שהמערכות האוטומטיות אינן פועלות, ונכון לעכשיו ניתן לבצע את הפעולות רק באופן ידני", נמסר. "הדבר משפיע באופן נרחב על לוח הטיסות, ולמרבה הצער גורם לעיכובים וביטולים".

הנהלת הית'רו הוסיפה כי תגברה את צוותי הסיוע בעמדות הצ'ק-אין כדי לנסות למזער את הפגיעה בנוסעים. עם זאת, נמסר כי נוסעים שמתכננים להגיע היום לנמל מתבקשים לבדוק את סטטוס הטיסה שלהם מול חברת התעופה לפני היציאה מהבית.

גם בברלין דיווחו על תורים ארוכים והמתנה ממושכת. "עקב תקלה טכנית אצל ספק מערכות הפועל ברחבי אירופה, ישנם זמני המתנה ארוכים יותר בעמדות הצ'ק-אין. אנו פועלים למציאת פתרון מהיר", נמסר מדוברות נמל התעופה בברלין.

https://news.1rj.ru/str/CyberSecurityIL/7768

קבוצת תקיפה איראנית טוענת כי היא פרצה לחברת תרביות רה"ן.

תרביות ראש הנקרה הינה חברת אגרו-ביוטכנולוגיה, העוסקת בריבוי ובהשבחה של צמחים.

קבוצת התקיפה מפרסמת מספר צילומי מסך וקבצים שונים המעידים כביכול על הפריצה.

https://news.1rj.ru/str/CyberSecurityIL/7769

עוד במהלך השבת:

1. קמפיין זדוני תוך התחזות למשטרת ישראל והורדת קובץ זדוני.
אינדיקטורים:

- tinyurl[.]com/isrel-police
- www[.]byzentium[.]com/tes/Israel-police.msi
- byzentium[.]com
- tinyurl[.]com/pdf-polce5
- www[.]byzentium[.]com/is/11.msi

- dc4cc95b76ad2d1e28925fa8a7d168ad3fb76562b64091a01593a022b800c688
- a64d12343700e1b71e65c9ae09131dda31a504c48d19de79f4b2066629b56428

- virustotal 1
- virustotal 2

תודה לדן ושרון על המידע.
מזכיר לכם לבדוק כל סמס חשוד באתר ScanMySms.com.

2. תוקף מפרסם מאגר מידע של אתר Flyfoot (חנות נעליים בישראל)

3. משרד המשפטים בארה"ב מדווח כי קבוצת Scattered Spider סחטה בשלוש שנים האחרונות כ-115 מיליון דולר מקרבנות.

https://news.1rj.ru/str/CyberSecurityIL/7770

דיווח מעניין אבל לא מאומת: "פיצוץ גז" באיראן היה למעשה מבצע של ישראל כנגד קבוצת התקיפה האיראנית הנדלה.

מדיווחים שונים בתקשורת זרה עולה כי ביום חמישי אירע פיצוץ באחת השכונות בתבריז שבצפון מערב איראן.
באיראן דיווחו על "פיצוץ גז" אך מקורות מקומיים מדווחים כי מדובר היה ברחפן מתאבד.
דיווחים נוספים מוסרים כי בעקבות הפיצוץ נהרגו 4 אנשים הקשורים למשמרות המהפיכה.

החלק המעניין הוא שכמה גופי תקשורת זרה (בטלגרם וכדו') מציינים כי היעד לחיסול היה אחד מההאקרים המרכזיים בקבוצת התקיפה האיראנית הנדלה, וכי החיסול בוצע על ידי ישראל אחרי חודשים של מעקב.

* אני מדגיש שוב ששום דבר לא מאומת אבל אני מביא את הדיווח כאן בכל זאת כי אתם מכירים מספיק טוב את קבוצת הנדלה, והחיבור בין פעילות ישראלית, להתנקשות בהאקר על אדמת איראן, הוא בהחלט מעניין.

אם יהיה בהמשך אימות לנושא אעדכן.

https://news.1rj.ru/str/CyberSecurityIL/7771

משטרת קנדה מדווחת כי היא השביתה את בורסת הקריפטו TradeOgre ותפסה נכסים בשווי 40 מיליון דולר.

המבצע נערך בעקבות חקירה שהחלה ביוני 2024 זאת לאחר שהבורסה לא נרשמה כנדרש, לא יישמה מדיניות KYC ושימשה קבוצות תקיפה שונות.

במשטרה מציינים כי לא כל הנכסים שנתפסו קשורים בהכרח לפעילות של קבוצות תקיפה, וממליצים למשתמשים לפנות אליהם במקרה שכספיהם הוחרם ללא סיבה מוצדקת.

https://news.1rj.ru/str/CyberSecurityIL/7774

קבוצת תקיפה איראנית טוענת כי היא פרצה לחברת ACOMSTRATEGIES, חברת תקשורת שבסיסה בתל אביב המתמחה בייצוג מדיה ובייעוץ תקשורתי בינלאומי.

הקבוצה מפרסמת מספר צילומי מסך וקבצים שונים המעידים לכאורה על הפריצה.

https://news.1rj.ru/str/CyberSecurityIL/7775

קבוצת תקיפה איראנית טוענת כי השיגה גישה למצלמות השייכות לחברת "חוצות זהב" העוסקת בשילוט ופרסום חוצות.

הקבוצה מפרסמת צילומי ווידאו מהמצלמות, אך נראה כי אלו צולמו לפני כחודש ולא ברור אם הם עדיין מחזיקים בגישה כלשהי או שמדובר במתקפה ישנה.

https://news.1rj.ru/str/CyberSecurityIL/7776

בשבוע האחרון: שתי מתקפות סייבר על מרחב התעופה ברוסיה.

ב-18 בספטמבר חברת התעופה KrasAvia דיווחה על שיבושים במערכות החברה שהשפיעו על מכירת כרטיסים ובדיקת נוסעים דיגיטלית. החברה ציינה כי הטיסות המשיכו לפעול כרגיל.

כמה ימים לאחר מכן, נמל התעופה פולקובו הודיע כי אתר האינטרנט שלו נפרץ ובעקבות כך הגישה לאתר הופסקה זמנית.
הנמל ציין כי פעילות הטיסות ובדיקות הנוסעים לא נפגעו.

https://news.1rj.ru/str/CyberSecurityIL/7777

מנהל בכיר ב-GK8 קיבל הזמנה לזום וכמעט נפל למתקפה מתוחכמת
https://www.ittime.co.il/gk8-social-engineering-zoom-scam/