האקרים פירסמו מידע אישי של תלמידים ועובדים בבתי הספר של מחוז פיירפקס שבווירג'יניה.
כזכור, לפני כחודש תקפה קבוצת התקיפה Maze את בתי הספר של המחוז (198 בתי ספר ומעל 180,000 תלמידים).
היום כחודש אחרי (וככל הנראה לאחר שבבתי הספר החליטו לא לשלם את הכופר) פירסמה הקבוצה בפורומים שונים באינטרנט את כל הנתונים שנגנבו.
https://www.securityweek.com/hackers-publish-public-school-districts-stolen-data-online
כזכור, לפני כחודש תקפה קבוצת התקיפה Maze את בתי הספר של המחוז (198 בתי ספר ומעל 180,000 תלמידים).
היום כחודש אחרי (וככל הנראה לאחר שבבתי הספר החליטו לא לשלם את הכופר) פירסמה הקבוצה בפורומים שונים באינטרנט את כל הנתונים שנגנבו.
https://www.securityweek.com/hackers-publish-public-school-districts-stolen-data-online
מחר בשעה 19:00 יתקיים מפגש Meetup וירטואלי בנושא הגנה והתקפה על קוברנטיס.
למעוניינים, ניתן להירשם בחינם כאן:
https://www.meetup.com/CILYNX/events/273458236/?oc=evam
(למי שלא מכיר- קוברנטיס זו פלטפורמת קוד פתוח שהוקמה במקור על ידי גוגל לתחזוקה וניהול יישומים הרצים על גבי קונטיינרים)
למעוניינים, ניתן להירשם בחינם כאן:
https://www.meetup.com/CILYNX/events/273458236/?oc=evam
(למי שלא מכיר- קוברנטיס זו פלטפורמת קוד פתוח שהוקמה במקור על ידי גוגל לתחזוקה וניהול יישומים הרצים על גבי קונטיינרים)
ממשלת אירלנד משתדלת אבל לא מספיק
כל מי שנכנס בימים אלו למדינת אירלנד צריך לספק בכניסה למדינה פרטי קשר הכוללים מספר טלפון אישי.
למספר הטלפון שנמסר שולחת ממשלת אירלנד הודעת סמס המבקשת ליצור קשר במידה ומורגשים תסמיני קורונה.
סה"כ יוזמה יפה...
הבעיה - ממשלת אירלנד לא נעלה את השימוש בשם השולח וכל אחד עם קצת רצון וידע יכול לשלוח הודעת סמס (עם לינק זדוני כמובן...) מאותו שם שולח וההודעה תשורשר להודעה הקודמת ותראה לגיטימית לחלוטין.
(אם אתם עושים שימוש בשם שולח ייחודי וודאו מול ספק התקשורת שלכם כי שם השולח נעול אך ורק לשימושכם)
[בתמונה- הודעה מפוברקת, ששלח החוקר שמצא את החולשה, ומשורשרת להודעה המקורית]
https://www.theregister.com/AMP/2020/10/12/ireland_covid_advice_sms_spoofable
כל מי שנכנס בימים אלו למדינת אירלנד צריך לספק בכניסה למדינה פרטי קשר הכוללים מספר טלפון אישי.
למספר הטלפון שנמסר שולחת ממשלת אירלנד הודעת סמס המבקשת ליצור קשר במידה ומורגשים תסמיני קורונה.
סה"כ יוזמה יפה...
הבעיה - ממשלת אירלנד לא נעלה את השימוש בשם השולח וכל אחד עם קצת רצון וידע יכול לשלוח הודעת סמס (עם לינק זדוני כמובן...) מאותו שם שולח וההודעה תשורשר להודעה הקודמת ותראה לגיטימית לחלוטין.
(אם אתם עושים שימוש בשם שולח ייחודי וודאו מול ספק התקשורת שלכם כי שם השולח נעול אך ורק לשימושכם)
[בתמונה- הודעה מפוברקת, ששלח החוקר שמצא את החולשה, ומשורשרת להודעה המקורית]
https://www.theregister.com/AMP/2020/10/12/ireland_covid_advice_sms_spoofable
כמות עצומה של 3TB סרטונים ותמונות שנגנבו מעשרות אלפי מצלמות ביתיות בסינגפור פורסמו אונליין בערוצים שונים (צ'טים של Discord ואתרים מפוקפקים נוספים 🙈)
https://www.bitdefender.com/box/blog/iot-news/home-security-cams-hacked-singapore-stolen-footage-sold-adult-websites/
[ הקפידו לשנות את סיסמת ברירת המחדל המגיעה עם המצלמה שרכשתם ]
https://www.bitdefender.com/box/blog/iot-news/home-security-cams-hacked-singapore-stolen-footage-sold-adult-websites/
[ הקפידו לשנות את סיסמת ברירת המחדל המגיעה עם המצלמה שרכשתם ]
מידע רפואי של ילדים שהיו בטיפול במרכז להגנת הילד דלפו לרשת (ג'ורגיה, ארה"ב).
בחודש מאי השנה תקפו האקרים את מחלקת הבריאות ושירותי האנוש (DHS) שבמדינת ג'ורג'יה.
כעת (5 חודשים אחרי) מדווחת DHS כי במהלך אותה מתקפה נגנב ונחשף מידע רפואי ואישי של ילדים.
בין המידע שנגנב היו דוחות פסיכיאטרים, דיאגנוזה רפואית של מטופלים והיסטוריית שימוש בתרופות.
https://www.zdnet.com/article/children-and-parent-info-exposed-in-georgia-dhs-data-breach/?&web_view=true
בחודש מאי השנה תקפו האקרים את מחלקת הבריאות ושירותי האנוש (DHS) שבמדינת ג'ורג'יה.
כעת (5 חודשים אחרי) מדווחת DHS כי במהלך אותה מתקפה נגנב ונחשף מידע רפואי ואישי של ילדים.
בין המידע שנגנב היו דוחות פסיכיאטרים, דיאגנוזה רפואית של מטופלים והיסטוריית שימוש בתרופות.
https://www.zdnet.com/article/children-and-parent-info-exposed-in-georgia-dhs-data-breach/?&web_view=true
משרד עו"ד Seyfarth Shaw, מהגדולים בעולם, הודיע כי לפני 3 ימים מטה החברה שבאילינוי הותקף במתקפת כופרה.
בשלב זה לא ידוע מי קבוצת התקיפה, מה סכום הכופר והאם Seyfarth Shaw מתכוונים לשלם או להתמודד בדרך אחרת.
(למי שלא מכיר, Seyfarth Shaw מעסיקים כ-1000 עו"ד ב-17 משרדים, תזרים ההכנסות שלהם הוא למעלה מ-700 מיליון דולר בשנה...)
https://securityaffairs.co/wordpress/109435/malware/seyfarth-shaw-ransomware-attack.html
בשלב זה לא ידוע מי קבוצת התקיפה, מה סכום הכופר והאם Seyfarth Shaw מתכוונים לשלם או להתמודד בדרך אחרת.
(למי שלא מכיר, Seyfarth Shaw מעסיקים כ-1000 עו"ד ב-17 משרדים, תזרים ההכנסות שלהם הוא למעלה מ-700 מיליון דולר בשנה...)
https://securityaffairs.co/wordpress/109435/malware/seyfarth-shaw-ransomware-attack.html
UEFI-CERT-IL-W-1172.pdf
307.9 KB
בהמשך לפוסט שהעליתי פה לפני כמה ימים.
מערך הסייבר הלאומי (מסמך מצ"ב):
לאחרונה נחשף כי זוהה מימוש בפועל של פוגען בזיכרון ה-UEFI (הגרסה המודרנית של ה- BIOS למחשב) לצורך שימור אחיזה בעמדה מותקפת.
הפוגען הוא חלק מערכת תקיפה המכונה MosaicRegressor.
ככל הידוע, זוהי הפעם השנייה בלבד שבה מזוהה שימוש מסוג זה לתקיפות בפועל, מחוץ למעבדות מחקר.
מערך הסייבר הלאומי (מסמך מצ"ב):
לאחרונה נחשף כי זוהה מימוש בפועל של פוגען בזיכרון ה-UEFI (הגרסה המודרנית של ה- BIOS למחשב) לצורך שימור אחיזה בעמדה מותקפת.
הפוגען הוא חלק מערכת תקיפה המכונה MosaicRegressor.
ככל הידוע, זוהי הפעם השנייה בלבד שבה מזוהה שימוש מסוג זה לתקיפות בפועל, מחוץ למעבדות מחקר.
חדשות סייבר - ארז דסה
חברת התוכנה הגרמנית Software AG נתונה תחת מתקפת כופר בשבוע האחרון. על פי הדיווחים, מתקפת הכופר בוצעה על ידי קבוצת תקיפה שהשתמשה בנוזקת "Clop" ואלה דורשים מהחברה 20 מיליון דולר תמורת מפתח ההצפנה. חברת Software AG מעסיקה כ-5000 עובדים ומספקת שירותים לכ…
עדכון: קבוצת התקיפה Clop מפרסמת אונליין חלק מהמידע שנגנב מחברת Software AG.
(ככל הנראה זהו צעד של Clop בשל סירוב החברה לשלם את הכופר)
http://ekbgzchl6x2ias37.onion.dog/softwareag-com
(ככל הנראה זהו צעד של Clop בשל סירוב החברה לשלם את הכופר)
http://ekbgzchl6x2ias37.onion.dog/softwareag-com
מועצת האקני (רובע בעיר לונדון - כ-300k אזרחים) מדווחת על מתקפת סייבר חמורה המשפיעה על כל מערכות המועצה.
בשלב זה מבקשת המועצה מכל אזרחי הרובע להימנע מלפנות אליהם עד שהמתקפה לא תסתיים.
בשלב זה עוד לא ידוע אם מדובר במתקפת כופר.
עדכון - מדובר במתקפת כופר שבוצעה ע"י קבוצת Pysa, מאחר ותשלום דמי הכופר לא בוצע קבוצת Pysa מפרסמת את המידע שגנבה.
https://grahamcluley.com/hackney-hacked-council-hit-by-serious-cyber-attack-data-breached
בשלב זה מבקשת המועצה מכל אזרחי הרובע להימנע מלפנות אליהם עד שהמתקפה לא תסתיים.
בשלב זה עוד לא ידוע אם מדובר במתקפת כופר.
עדכון - מדובר במתקפת כופר שבוצעה ע"י קבוצת Pysa, מאחר ותשלום דמי הכופר לא בוצע קבוצת Pysa מפרסמת את המידע שגנבה.
https://grahamcluley.com/hackney-hacked-council-hit-by-serious-cyber-attack-data-breached
נורווגיה מאשימה: רוסיה אחראית למתקפת הסייבר שהתרחשה בפרלמנט לפני כחודשיים.
(כזכור, למדינות יש גבול משותף)
https://www.securityweek.com/norway-says-russia-behind-cyber-attack-parliament
(כזכור, למדינות יש גבול משותף)
https://www.securityweek.com/norway-says-russia-behind-cyber-attack-parliament
האקר פורטוגזי נעצר לאחר שפרץ למחשבים של קבוצת הכדורגל ריאל מדריד והיה חשוף למסמכים רגישים הכוללים חוזים של שחקנים, מסמכים פנימיים של המועדון ועוד.
https://www.google.com/amp/s/amp.marca.com/en/football/real-madrid/2020/10/07/5f7debff268e3ef6108b45f1.html
כתבה נוספת מהארץ הנוגעת באירוע ובכלל בנושא הסייבר בעולם הספורט:
https://m.one.co.il/Mobile/Article/20-21/1,0,0,30155/368996.html
https://www.google.com/amp/s/amp.marca.com/en/football/real-madrid/2020/10/07/5f7debff268e3ef6108b45f1.html
כתבה נוספת מהארץ הנוגעת באירוע ובכלל בנושא הסייבר בעולם הספורט:
https://m.one.co.il/Mobile/Article/20-21/1,0,0,30155/368996.html
חברת Intcomex המספקת מוצרי טכנולוגיה לחברות וארגונים חוותה מתקפת סייבר שבמהלכה נגנב 1TB של מידע רגיש.
בין המידע שנגנב:
- מספרי כרטיסי אשראי (כולל תוקף ו-cvv)
- מסמכים סרוקים כגון רישיונות נהיגה, דרכונים ועוד.
- מידע פיננסי (חשבונות בנק, חשבוניות וכו')
- מאגרי מידע פנימיים של החברה.
ועוד שלל מידע מזוהה רגיש.
המידע שנגנב פורסם להורדה בפורומים שונים.
https://siliconangle.com/2020/10/13/technology-products-supplier-intcomex-hacked-1tb-data-stolen/
בין המידע שנגנב:
- מספרי כרטיסי אשראי (כולל תוקף ו-cvv)
- מסמכים סרוקים כגון רישיונות נהיגה, דרכונים ועוד.
- מידע פיננסי (חשבונות בנק, חשבוניות וכו')
- מאגרי מידע פנימיים של החברה.
ועוד שלל מידע מזוהה רגיש.
המידע שנגנב פורסם להורדה בפורומים שונים.
https://siliconangle.com/2020/10/13/technology-products-supplier-intcomex-hacked-1tb-data-stolen/
ועוד מהשלכות הקורונה: ב-8 החודשים הראשונים של 2020 נרשמו ברוסיה למעלה מ-100,000 גניבות כספים מחשבונות בנק. (כמות כפולה בהשוואה לשנת 2019).
למעשה כל תלונה חמישית על גניבה ברוסיה קשורה לגניבה מחשבון בנק באמצעות מתקפת סייבר הכוללת הנדסה חברתית (Social engineering).
לטענת הבנק המרכזי ברוסיה חלק גדול מהמתקפות עושות שימוש בנושאים הקשורים לקורונה ומצליחות לגרום לאנשים למסור פרטים מזהים המובילים לגניבת כספים מחשבונות הבנק.
https://www.ehackingnews.com/2020/10/money-stolen-from-bank-accounts-of.html?m=1
למעשה כל תלונה חמישית על גניבה ברוסיה קשורה לגניבה מחשבון בנק באמצעות מתקפת סייבר הכוללת הנדסה חברתית (Social engineering).
לטענת הבנק המרכזי ברוסיה חלק גדול מהמתקפות עושות שימוש בנושאים הקשורים לקורונה ומצליחות לגרום לאנשים למסור פרטים מזהים המובילים לגניבת כספים מחשבונות הבנק.
https://www.ehackingnews.com/2020/10/money-stolen-from-bank-accounts-of.html?m=1
acid-agari-geography-of-bec.pdf
9.5 MB
חברת Agari המתמחה בשירותי מודיעין סייבר הקשור למתקפות באמצעות המייל (BEC)* מפרסמת היום דו"ח מקיף על פריסה גאוגרפית והתנהלות פיננסית של קבוצות המבצעות תקיפות אלו.
הדו"ח המלא מצ"ב.
*למי שפחות מכיר:
BEC= Business Email Compromise
הונאות המבוצעות באמצעות הדוא"ל נגד ארגונים מסחריים וממשלתיים, במטרה להניע עובדים בארגון, בשיטות של הנדסה חברתית, לבצע פעולות לטובת התוקף.
הסוגים הנפוצים של BEC אלו דוא"ל פישינג ודוא"ל הונאה של הפקת חשבונית שבה התוקף מתחזה לספק, מגיש חשבונית לארגון, ומנסה להניע עובד תחת לחץ זמן לבצע העברה בנקאית, לספק מידע או לאפשר גישה לרשת ארגונית וכדו'
(מערך הסייבר הלאומי)
הדו"ח המלא מצ"ב.
*למי שפחות מכיר:
BEC= Business Email Compromise
הונאות המבוצעות באמצעות הדוא"ל נגד ארגונים מסחריים וממשלתיים, במטרה להניע עובדים בארגון, בשיטות של הנדסה חברתית, לבצע פעולות לטובת התוקף.
הסוגים הנפוצים של BEC אלו דוא"ל פישינג ודוא"ל הונאה של הפקת חשבונית שבה התוקף מתחזה לספק, מגיש חשבונית לארגון, ומנסה להניע עובד תחת לחץ זמן לבצע העברה בנקאית, לספק מידע או לאפשר גישה לרשת ארגונית וכדו'
(מערך הסייבר הלאומי)
ב-12 לנובמבר תקיים חברת FireEye את הכנס השנתי שלה (ווירטואלי כמובן...) בה היא תציג טכנולוגיות חדשות, סיפורים מחברת התגובה והפורנזיקה Mandiant וגם ידברו על המתרחש במרחב הסייבר מול איראן.
למעוניינים ניתן להירשם כאן 👇🏻
https://fireeye.6connex.com/event/CDL/israel/login
למעוניינים ניתן להירשם כאן 👇🏻
https://fireeye.6connex.com/event/CDL/israel/login
MICROSOFTOCT20-CERT-IL-W-1174.pdf
342.1 KB
מערך הסייבר הלאומי:
עדכון האבטחה החודשי של מיקרוסופט (מסמך מצ"ב)
ב-13 לחודש פרסמה מיקרוסופט כ-87 עדכוני אבטחה לפגיעויות בתוכנות נתמכות. 12 פגיעויות מסווגות כקריטיות.
הפגיעויות החמורות ביותר עלולות לאפשר לתוקפים הפעלת קוד מרחוק (RCE).
בתוכנת Sharepoint קיימות מספר פגיעויות המאפשרות הרצת קוד מרחוק.
ב- TCP/IP Stack של Windows 10, Server 2019, Server Core קיימת פגיעות המאפשרת הרצת קוד מרחוק.
מומלץ מאד לבחון העדכונים בסביבת ניסוי, ולהתקינם בהקדם האפשרי.
עדכון האבטחה החודשי של מיקרוסופט (מסמך מצ"ב)
ב-13 לחודש פרסמה מיקרוסופט כ-87 עדכוני אבטחה לפגיעויות בתוכנות נתמכות. 12 פגיעויות מסווגות כקריטיות.
הפגיעויות החמורות ביותר עלולות לאפשר לתוקפים הפעלת קוד מרחוק (RCE).
בתוכנת Sharepoint קיימות מספר פגיעויות המאפשרות הרצת קוד מרחוק.
ב- TCP/IP Stack של Windows 10, Server 2019, Server Core קיימת פגיעות המאפשרת הרצת קוד מרחוק.
מומלץ מאד לבחון העדכונים בסביבת ניסוי, ולהתקינם בהקדם האפשרי.
SAPOCT20-CERT-IL-W-1175.pdf
255.4 KB
מערך הסייבר הלאומי:
עדכון האבטחה החודשי של SAP - אוקטובר 2020 (מסמך מצ"ב)
1. במסגרת עדכון האבטחה החודשי שלה (SAP Security Patch Day), חברת SAP פרסמה 15 התרעות אבטחה, ו-6 עדכונים להתרעות אבטחה שפורסמו בעבר.
2. התרעת אבטחה בדירוג גבוה (CVSS 10) פורסמה עבור פגיעות הזרקת פקודות למערכת ההפעלה (OS command injection) המשפיעה על הרכיב CA Introscope Enterprise Manager הכלול במוצרים SAP Solution Manager, SAP Focused Run של החברה.
3. ניצול של הפגיעות עלול לאפשר לתוקף הרצה מרחוק של פקודות מערכת הפעלה על הציוד ללא צורך בהזדהות.
עדכון האבטחה החודשי של SAP - אוקטובר 2020 (מסמך מצ"ב)
1. במסגרת עדכון האבטחה החודשי שלה (SAP Security Patch Day), חברת SAP פרסמה 15 התרעות אבטחה, ו-6 עדכונים להתרעות אבטחה שפורסמו בעבר.
2. התרעת אבטחה בדירוג גבוה (CVSS 10) פורסמה עבור פגיעות הזרקת פקודות למערכת ההפעלה (OS command injection) המשפיעה על הרכיב CA Introscope Enterprise Manager הכלול במוצרים SAP Solution Manager, SAP Focused Run של החברה.
3. ניצול של הפגיעות עלול לאפשר לתוקף הרצה מרחוק של פקודות מערכת הפעלה על הציוד ללא צורך בהזדהות.
תקיפת סייבר נרחבת באירן: מערכות מחשבים של שירותים ממשלתיים הושבתו.
התקיפה מגיעה כחצי שנה לאחר מתקפת הסייבר הקודמת שיוחסה לישראל • לפי הדיווחים, מוקד התקיפה הפעם הוא תשתיות תחבורה כגון נמלים ומערכות תקשורת כגון בנקים ומערך המכס.
https://mobile.mako.co.il/news-military/2020_q4/Article-34cd32e7d072571026.htm?Partner=makoApp
התקיפה מגיעה כחצי שנה לאחר מתקפת הסייבר הקודמת שיוחסה לישראל • לפי הדיווחים, מוקד התקיפה הפעם הוא תשתיות תחבורה כגון נמלים ומערכות תקשורת כגון בנקים ומערך המכס.
https://mobile.mako.co.il/news-military/2020_q4/Article-34cd32e7d072571026.htm?Partner=makoApp
💬 שלום לכולם ותודה לכל מי שמנוי בערוץ זה. 🙏🏻
אם אתם מרוצים מהערוץ אשמח שתזמינו גם חברים נוספים:
https://news.1rj.ru/str/joinchat/AAAAAFUSsJ2_fpPAkiIs3w
@CyberSecurityIL
אם יש לכם עדכונים, הערות או רעיונות לשיפור מוזמנים ליצור קשר ב- טלגרם או ב-לינקדין.
😇
אם אתם מרוצים מהערוץ אשמח שתזמינו גם חברים נוספים:
https://news.1rj.ru/str/joinchat/AAAAAFUSsJ2_fpPAkiIs3w
@CyberSecurityIL
אם יש לכם עדכונים, הערות או רעיונות לשיפור מוזמנים ליצור קשר ב- טלגרם או ב-לינקדין.
😇
מכון התקנים האמריקאי (NIST) נמצא בשלבים אחרונים לקראת פרסום תקן אבטחת מידע שיסדיר את נושא ההצפנה הפוסט קוונטית.
קצת רקע (אני אנסה להסביר בשפה פשוטה 🥴) :
מפתחות ההצפנה הקיימים היום מבוססים על חישובים מתמטיים מורכבים.
ברמה העקרונית ניתן לפרוץ מפתחות הצפנה ע"י שימוש באלגוריתמים מתמטיים מסויימים אך בשל מגבלות כח המחשוב הקיים היום תהליכי החישוב לפריצה יארכו מאות שנים (מה שהופך את העסק ללא ממש יעיל וגם קצת מוריד את המוטיבציה לנסות... 🤓)
בעולם בו מיחשוב קוונטי יהפוך לישים ונגיש, חישובים מתמטיים מורכבים יוכלו להתבצע בזמן קצר מאד מה שיאפשר פריצה של רוב מפתחות ההצפנה הקיימים היום.
בתקן שמתעתד להוציא משרד התקנים האמריקאי תהיה התייחסות לבעיות הקיימות בעולם המחשוב הקוונטי בהיבטי הצפנה, הגישות המומלצות להתמודדות וליצירת מפתחות חסינים, המירוץ הגלובלי למחשוב קוונטי נגיש, העתיד הצפוי ועוד.
(בתמונה: מחשב קוונטי של גוגל)
קצת רקע (אני אנסה להסביר בשפה פשוטה 🥴) :
מפתחות ההצפנה הקיימים היום מבוססים על חישובים מתמטיים מורכבים.
ברמה העקרונית ניתן לפרוץ מפתחות הצפנה ע"י שימוש באלגוריתמים מתמטיים מסויימים אך בשל מגבלות כח המחשוב הקיים היום תהליכי החישוב לפריצה יארכו מאות שנים (מה שהופך את העסק ללא ממש יעיל וגם קצת מוריד את המוטיבציה לנסות... 🤓)
בעולם בו מיחשוב קוונטי יהפוך לישים ונגיש, חישובים מתמטיים מורכבים יוכלו להתבצע בזמן קצר מאד מה שיאפשר פריצה של רוב מפתחות ההצפנה הקיימים היום.
בתקן שמתעתד להוציא משרד התקנים האמריקאי תהיה התייחסות לבעיות הקיימות בעולם המחשוב הקוונטי בהיבטי הצפנה, הגישות המומלצות להתמודדות וליצירת מפתחות חסינים, המירוץ הגלובלי למחשוב קוונטי נגיש, העתיד הצפוי ועוד.
(בתמונה: מחשב קוונטי של גוגל)