חברי קבוצת Qlocker הרוויחו 260,000 דולר ב-5 ימים באמצעות ניצול חולשה במוצרי QNAP ונעילת קבצים באמצעות 7zip.

קבוצת Qlocker אפילו לא טרחה לפתח מנגנון הצפנה מתוחכם, באמצעות ניצול חולשה במוצרי QNAP פרצה הקבוצה לאלפי שרתים מסביב לעולם ומעלה בסיסמה כמויות של מידע תוך זמן קצר באמצעות תוכנת 7zip.

הקבוצה דרשה סכומי כופר נמוכים הנעים בין 50 ל-500 דולר ותקפה בעיקר ארגונים קטנים, בניתוח העברות הכספים לארנקי הקבוצה נמצא כי הקבוצה גרפה 260,000 דולר תוך 5 ימים.

https://news.1rj.ru/str/CyberSecurityIL/940

http://www.bleepingcomputer.com/news/security/a-ransomware-gang-made-260-000-in-5-days-using-the-7zip-utility/amp/

האקר פרץ לשרת העדכונים של מערכת ניהול הסיסמאות Passwordstate והפיץ דרכו עדכון זדוני ללקוחות.

חברת קליק סטודיו האוסטרלית, העומדת מאחורי פיתוח המערכת, פירסמה ל-29,000 לקוחותיה, בעיקר ארגוני Enterprise, כי העדכון שיצא בין התאריכים 20.4-22.4 הכיל קובץ זדוני וזאת לאחר ששרת העדכונים נפרץ.

ללקוחות שביצעו את העדכון מציעה החברה כלי להורדה שימחק את הנוזקה שהותקנה בעמדות המחשוב, כמו כן ממליצה החברה לשנות את כל הסיסמאות שהיו שמורות במערכת.

https://news.1rj.ru/str/CyberSecurityIL/941

https://therecord.media/password-manager-passwordstate-hacked-to-deploy-malware-on-customer-systems/

מערך הסייבר הלאומי:

פגיעות במערכת ניהול התוכן Drupal

שלום רב,

פרויקט Drupal פרסם לאחרונה התרעת אבטחה עבור פגיעות קריטית העלולה לאפשר לתוקף מימוש מתקפת XSS (Cross Site Scripting).

מומלץ לבחון ולעדכן גרסת התוכנה בהקדם האפשרי

https://news.1rj.ru/str/CyberSecurityIL/942

מערך הסייבר הלאומי:

פגיעות במוצרי Trend Micro מנוצלת לתקיפות בעולם

שלום רב,

חברת טרנד מיקרו פרסמה לאחרונה כי פגיעות ישנה במוצריה מנוצלת בפועל לתקיפות בעולם.

מומלץ לבחון ולהתקין הגרסאות העדכניות למוצרים הרלוונטיים בהקדם האפשרי.

https://news.1rj.ru/str/CyberSecurityIL/943

מידע של מיליוני לקוחות Reverb, אתר למכירת כלי נגינה מהגדולים בעולם, היה חשוף אונליין.

בהודעה שמפרסמת החברה ולפי דיווח של חוקר אבט"מ שמצא את המידע מפורסם כי המידע שנחשף הכיל 5.6 מיליון רשומות של לקוחות והוא כולל, שמות, כתובות דוא"ל, מספרי טלפון, כתובות PayPal, מספרי הזמנה ועוד.

נכון לעכשיו החברה סגרה את הפירצה והוציאה הודעה לכל הלקוחות (מצ"ב בתגובות).

https://news.1rj.ru/str/CyberSecurityIL/944

https://www.bleepingcomputer.com/news/security/reverb-discloses-data-breach-exposing-musicians-personal-info/

משטרת וושינגטון די.סי חווה מתקפת כופר לאחר שקבוצת התקיפה Babuk גנבה מהם 250GB של מידע.

בהודעה שפירסמה המשטרה היא מוסרת כי היא מודעת לפריצה לרשת ע"י גורמים בלתי מורשים ועובדת יחד עם ה-FBI בכדי לטפל באירוע.

באתר ההדלפות של קבוצת Babuk פורסמו כבר חלק מהקבצים שנגנבו מהרשת המשטרתית והם כוללים מידע על מעצרים, על פעילות של כנופיות ברחבי המדינה, על אירוע הפריצה לקפיטול ועוד.
קבוצת Babuk דורשת מהמשטרה ליצור איתה קשר תוך 3 ימים אחרת מידע נוסף יפורסם ופריצות נוספות יתבצעו לאחר שלטענתם הם מחזיקים בחולשות Zero Day שעדיין לא נחשפו.

https://news.1rj.ru/str/CyberSecurityIL/945

https://www.bleepingcomputer.com/news/security/dc-police-confirms-cyberattack-after-ransomware-gang-leaks-data/

התשלום הממוצע למתקפות כופר עולה, וכך גם זמן ההשבתה ממתקפה.

כך עולה מדוח שפירסמה חברת Coveware, המספקת שירותי תגובה לאירועי סייבר.

עוד נתונים מעניינים מהדו"ח שסוקר את הרבעון הראשון של 2021:

💰תשלום כופר ממוצע עמד על 228,298 דולר, עליה של 43% בהשוואה לרבעון אחרון של 2020.

👾 קבוצות התקיפה הפעילות ביותר הן Sodinokibi, Conti ו-Lockbit.

📔 77% מהמתקפות הכילו איום לפרסום מידע שנגנב מתוך הרשת.

🔺 ווקטורי התקיפה העיקריים הם פרוטוקול RDP חשוף ודוא"ל פישיניג.
קבוצות התקיפה הגדולות מתמקדות בעיקר בניצול חולשות הקיימות במערכת שונות.

🏢 המגזרים המותקפים ביותר הם שירותי הבריאות, גופים ממשלתיים וחברות המספקות שירותים מקצועיים (בעיקר משרדי עו"ד)

⏰ זמן ההשבתה הממוצע עומד על 23 ימים עלייה של 10% מהרבעון האחרון של 2020.

https://news.1rj.ru/str/CyberSecurityIL/945

חברת הרכבות הבריטית Merseyrail סובלת ממתקפת כופר.

החברה, שמפעילה רכבות בעיר ליברפול שבאנגליה, הותקפה ע"י קבוצת Lockbit שהצליחה לחדור לרשת החברה וכן לקחת שליטה על חשבון הדוא"ל של מנהל החברה.

מחשבון הדוא"ל של מנהל החברה הפיצה קבוצת Lockbit מייל לעובדי החברה ולמספר גופי תקשורת בו היא מעדכנת כי החברה סובלת ממתקפת כופר במהלכה האקרים גנבו מידע רגיש, למייל צירפה קבוצת Lockbit קישור לצפייה בחלק מהמידע שנגנב הכולל מידע רגיש של עובדים.

בשלב זה חברת Merseyrail מוסרת כי היא אכן חווה מתקפת סייבר וכי היא עידכנה את הרשויות הרלוונטיות.

https://news.1rj.ru/str/CyberSecurityIL/948

https://www.bleepingcomputer.com/news/security/uk-rail-network-merseyrail-likely-hit-by-lockbit-ransomware/

ספקית שירותי הענן DigitalOcean מדווחת על דליפת מידע.

בהודעה ששלחה החברה היא מוסרת כי בשל "פגם" במערכות התאפשר לגורמים בלתי מורשים לצפות בנתונים של חלק מהלקוחות.

לדברי החברה רק 1% מהלקוחות נפגעו והמידע שנחשף כולל שמות לקוחות, כתובות, 4 ספרות אחרונות של כרטיסי אשראי, תוקף כרטיס ועוד.

החברה מוסרת כי היא תיקנה את הפגם וכרגע אין גישה לגורמים בלתי מורשים. 🤦🏻‍♂

https://news.1rj.ru/str/CyberSecurityIL/949

https://www.bleepingcomputer.com/news/security/digitalocean-data-breach-exposes-customer-billing-information/

בנק First Horizon שבמדינת טנסי, ארה"ב, מדווח על מתקפת סייבר במהלכה נגנבו כספים של לקוחות.

בהודעה שמסר הבנק לבורסה לניירות ערך הוא מודיע כי האקר ניצל חולשה באחת המערכות של הבנק, השיג גישה לכ-200 חשבונות של לקוחות והצליח לגנוב כמיליון דולר.

כעת מוסר הבנק כי הוא סגר את הפירצה, ביצע איפוס סיסמאות, החזיר את הכספים הגנובים ללקוחות ועדכן את רשויות החוק הרלוונטיות.

https://news.1rj.ru/str/CyberSecurityIL/950

https://siliconangle.com/2021/04/28/financial-services-firm-first-horizon-suffers-data-breach-customer-funds-stolen/

בגלל "0" אחד - בורסת הקריפטו Uranium Finance נפרצה ו-50 מיליון דולר נגנבו

בורסת Uranium זו אפליקציית בורסה מבוזרת (DeFi) המאפשרת לסחור במטבעות קריפטו.

לפני מספר ימים ביצעה החברה עדכון מערכת, במהלכו בטעות שכחו לעדכן ערך מסויים מהמספר 1,000 למספר 10,000.

הטעות הזו עלתה ביוקר לאלפי משקיעים לאחר שהאקר זיהה את החולשה שנוצרה והצליח לגנוב כ-50 מיליון דולר במטבעות דיגיטליים.

נכון לעכשיו הבורסה הוציאה עדכון לתיקון החולשה ועובדת מול הגופים הרלוונטיים בניסיון לעצור את גניבת הכספים באופן מוחלט.

#קריפטו

https://news.1rj.ru/str/CyberSecurityIL/951

https://www.coindesk.com/binance-smart-chain-defi-exchange-uranium-finance-exploit

עיריית ויסלר שבקנדה סובלת ממתקפת כופר שבוצעה ע"י קבוצת האקרים לא מוכרת.

בהודעה שפירסמה אתמול העירייה היא מעדכנת כי בשל מתקפת סייבר היא נאלצת להשבית את כל שירותי העירייה עד להודעה חדשה.

האתר הרשמי של העירייה הושחת אף הוא ובעמוד הראשי מופיעה הדרישה והכתובת ליצירת קשר עם התוקפים.
בבדיקה שביצעו חוקרי אבט"מ שונים נראה כי מדובר בקבוצת תקיפה חדשה ולא מוכרת.

ויסלר ידועה בשל אתר הסקי הגדול ביותר באמריקה הצפונית הפועל בשטחה ומארח כ-3 מיליון תיירים בשנה.

https://news.1rj.ru/str/CyberSecurityIL/952

https://www.bleepingcomputer.com/news/security/whistler-resort-municipality-hit-by-new-ransomware-operation/

קבוצת תקיפה חדשה בשם N3tw0rm טוענת כי הצליחה לחדור לרשת של חברת Veritas הישראלית.

חברת Veritas עוסקת בשילוח בינלאומי ופתרונות לוגיסטיים.
קבוצת N3tw0rm, שלפי ההשערות משוייכת לאיראן, מפרסמת כי ברשותה 9GB של מידע השייך לחברת וריטאס וכי היא תפרסם את המידע אם דרישותיה לא יתבצעו עד ה-3.5.21.

בשלב זה לא ידוע מה דרישת הקבוצה, מצילום מסך, שמצ"ב בתגובות, וייתכן ששייך למתקפה על וריטאס, דורשת הקבוצה תשלום של 3 ביטקוין (כ-150k$).

מבירור של כלי תקשורת מול וריטאס מתברר כי מחשבי החברה הושבתו ובחברה מטפלים בנושא.
מנהל וריטאס מוסר כי אין חשש לדליפת מידע של לקוחות. 🤷🏻‍♂
עוד הוסיף כי להערכתו תוך מספר שעות תחזור החברה לעבודה סדירה.

https://news.1rj.ru/str/CyberSecurityIL/953

קבוצת התקיפה Babuk שהחלה את פעילותה לפני מספר חודשים מעדכנת כי היא משביתה את הפעילות.

הקבוצה, שהחלה את פעילותה בתחילת 2021, אחראית לעשרות מתקפות כופר כשהאחרונה שבהן היא המתקפה על משטרת וושינגטון.

כעת מפרסמת הקבוצה כי לאחר שהגיעו ליעד שהציבו לעצמם הם סוגרים את הפעילות ומפרסמים את קבצי הקוד לתוכנת הכופר שיצרו כקוד פתוח.

https://news.1rj.ru/str/CyberSecurityIL/954

https://www.bleepingcomputer.com/news/security/babuk-ransomware-readies-shut-down-post-plans-to-open-source-malware/

מערכת בתי המשפט של מדינת Rio Grande do Sul שבברזיל מושבתת בשל מתקפת כופר.

קבוצת REvil היא זו שאחראית למתקפה במהלכה הוצפנו שרתים רבים ונגנב מידע רגיש מרשת בתי המשפט.

קבוצת REvil דורשת 5 מיליון דולר עבור מפתוח ההצפנה ואי פרסום המידע.

מזכיר כי לפני מספר חודשים בית המשפט העליון בברזיל סבל אף הוא ממתקפת כופר וכן 2 חברות חשמל במדינה.

https://news.1rj.ru/str/CyberSecurityIL/955

https://www.bleepingcomputer.com/news/security/brazils-rio-grande-do-sul-court-system-hit-by-revil-ransomware/

בקרוב אצלנו?
באוסטרליה יחלו ללמד ילדים על מרחב הסייבר החל משנת הלימודים הראשונה בבית הספר.

בטיוטה של תכנית הלימודים הלאומית שפורסמה אתמול נרשם כי ילדים בגילאי 5-6 ילמדו על שיתוף מידע נבון ברשת האינטרנט, גילאי 6-7 ילמדו על שימוש נכון בשמות משתמשים וסיסמאות והזהירות מחלונות קופצים בעת גלישה בדפדפן.

בכיתות מאוחרות יותר (ג'-ד) ילמדו את התלמידים כיצד לזהות איזה מידע אישי מאוחסן באתרים שונים וכיצד מידע זה יכול לשמש גורמים שונים בכדי לזהות את מיקומם וזהותם.

בכיתות גבוהות יותר ילמדו על נושא בריונות ברשת ושיח מכבד.

בשלב זה, בשל מחסור בכח אדם מקצועי לימודי התכנות שהיו מתוכננים לגיל התיכון יישארו מחוץ למסגרת הלימודים.

https://news.1rj.ru/str/CyberSecurityIL/956

https://www.theregister.com/AMP/2021/04/30/eaching_cybersecurity_to_five_year_olds

מערך הסייבר הלאומי:

התרעה דחופה: מתקפת כופרה כנגד ארגונים שונים בישראל

שלום רב,

לאחרונה זוהתה מתקפת כופרה נגד ארגונים שונים בישראל.

ייתכן כי הגורם האחראי לתקיפות אלו אחראי גם לתקיפות קודמות בקמפיין המזוהה עם Pay2key.

מצ"ב קובץ מזהים.
מומלץ לנטרם בהקדם האפשרי בכל המערכות הרלוונטיות (AV, EDR, מערכות סינון דוא"ל, מערכות SIEM וכד').

בכל זיהוי של מזהה כלשהו מקובץ זה נא לעדכן מיידית את מערך הסייבר הלאומי.

https://news.1rj.ru/str/CyberSecurityIL/957

מידע של כ-70 אלף משתמשי אתר PaleoHacks נמצאו חשופים אונליין.

האתר שמספק מידע, קורסים וליווי ליישום דיאטת פליאו איחסן את המידע של משתמשי האתר על גבי שרת של אמזון ללא הגנה.

את השרת החשוף איתרו חוקרי אבט"מ מקבוצת VpnMentor כאשר לדבריהם המידע כולל שמות, כתובות מגורים, כתובות דוא"ל, תמונות וכן טוקנים המאפשרים איפוס סיסמא לחלק מהמשתמשים.

לפי הפרסום באתר של VpnMentor במשך חודשיים הם ניסו לתפוס את בעלי האתר ואף פנו לאמזון בנושא אך רק לאחר חודשיים+ קיבלו מענה. 🤦🏻‍♂

https://news.1rj.ru/str/CyberSecurityIL/958

https://www.vpnmentor.com/blog/report-paleohacks-breach/

חברת Swiss cloud AG, המספקת שירותי ענן, סובלת ממתקפת כופר.

בעקבות המתקפה כ-6,500 לקוחות אינם יכולים לקבל שירותים בצורה סדירה.
בשלב זה לא פורסם מי קבוצת התקיפה שאחראית למתקפה.

בהודעה שפירסמה החברה היא מעדכנת כי הם פועלים 24/7 כדי לחזור לשגרה ועדכון נוסף בנושא ייצא מחר.

https://news.1rj.ru/str/CyberSecurityIL/959

https://www.databreaches.net/ch-cyber-attack-on-swiss-cloud-computing-ag/

צמד האקרים מגרמניה הציגו בכנס CanSecWest, שהתקיים לפני כשבוע, כיצד הם פורצים לרכב של טסלה באמצעות רחפן.

החוקרים הציגו כיצד באמצעות רחפן שממוקם מעל הרכב של טסלה הם מצליחים לשלוח פקודות לרכב ולבצע מספר פעולות החל מפתיחת דלתות, שינוי מצבי היגוי, תאוצה ועוד.

טסלה סגרה את החולשה כבר לפני מספר חודשים ותיגמלה את הצמד בסכום של 31,500 דולר.

מוזמנים לצפות בסרטון מהכנס בו החוקרים מציגים את הפריצה לרכב (דקה 36+-)

https://news.1rj.ru/str/CyberSecurityIL/960

https://www.forbes.com/sites/thomasbrewster/2021/04/29/watch-a-tesla-have-its-doors-hacked-open-by-a-drone/

מערך הסייבר הלאומי:

פגיעות במוצר BIG-IP של חברת F5

שלום רב,

חברת F5 פרסמה לאחרונה התרעת אבטחה עבור פגיעות שהתגלתה בציוד מסוג BIG-IP מתוצרתה.

מומלץ לבחון את עדכון האבטחה הרלוונטי, ולהתקינו בהקדם האפשרי.

https://news.1rj.ru/str/CyberSecurityIL/961