(COVID-19) חדשות סייבר ונגיף הקורונה
עדכון יומי ליום ה׳, 30.04.2020
הדוח מתפרסם גם בסייברנט
הדוח מתפרסם גם במדור ״קפטן אינטרנט״ של עיתון הארץ
עיקרי הדברים
-
ניתוח מיוחד של קונפידס: התפתחויות רגולטוריות בענייני סייבר והגנת מידע אישי בזמן הקורונה ות
-
עלייה דרמטית במתקפות הקשורות לפרוטוקול התחברות מרחוק (RDP).
-
סקר של ISC² מצביע על עלייה של 47% בהסבה של אנשי סייבר לתמיכה בצרכי ה-IT.
-
משרד התקשורת: עומסים גדולים באינטרנט בישראל בשל הלמידה מרחוק והשימוש בטלפונים כשרים.
-
חולשת אבטחה קריטית ב-Microsoft Teams.
-
ארגוני פשע ממשיכים לתקוף ארגוני בריאות באמצעות כופרות.
תוכן עניינים
עלייה דרמטית במתקפות הקשורות לפרוטוקול התחברות מרחוק (RDP)
האקרים סיניים פרצו לרשתות של HP ו-IBM כדי לפרוץ לרשתות של לקוחותיהן
חולשת אבטחה קריטית ב-Microsoft Teams
מיקרוסופט: ארגוני פשע ממשיכים לתקוף ארגוני בריאות באמצעות כופרות
חברת Akamai זיהתה קמפיין פישינג בשם ״ Three question quiz ״ המכוון אל אזרחי ברזיל
FTC: היזהרו מהונאות הקשורות להלוואות לעסקים קטנים
עלייה של 47% בהסבה של אנשי סייבר לטובת תמיכה בצרכי ה-IT
פרטי המידע שנחשפו על ארגון הבריאות העולמי (WHO) ועמותת Gates הם חלק מתקיפה שאירעה ב-2016
מחלקת ההגנה האמריקאית פרסמה המלצות להגנת מידע רפואי של מטופלים בתקופת הקורונה
חברות סייבר התקפיות מציעות לממשלות להיעזר בפיתוחים שלהן על מנת לעקוב אחרי חולי הקורונה
לא רק הונאות, פורומים של האקרים מציעים תרומות ונדבות עקב משבר הקורונה
פייסבוק משנה את המבנה הארגוני במחלקת אבטחת המידע
חברת Group-IB מסייעת למוסקבה לעצור את הונאת אישורי המעבר המזויפים
משרד התקשורת: עומסים גדולים באינטרנט בישראל בשל הלמידה מרחוק ושימוש בטלפונים כשרים
מערך הסייבר הלאומי מפרסם את התפלגות נותני השירותים ב Marketplace לסייבר
מתקפת הכופרה Black Rose Lucy חזרה לשוק
הציטוט היומי
״בנקודת זמן הזו, הגנת הסייבר היא המהירות היא הגורם העיקרי לקבלת החלטות. זה לכך שהיו לנו
הרבה שיחות על כך שלפעול בצורה לא מוגנת, זה הרבה יותר גרוע מאשר לא לפעול בכלל.
משיב אנונימי מתוך הסקר של ISC²
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
אתר האינטרנט של קונפידס
הבלוג של קונפידס
איומים התקפות והתראות
עלייה דרמטית במתקפות הקשורות לפרוטוקול התחברות מרחוק (RDP)
האקרים ממשיכים לתקוף ארגונים שעברו לעבודה מרוחקת עקב ההסגר הנובע מהתפשטות נגיף הקורונה. מרבית הארגונים נעזרים בפרוטוקול
(RDP (Remote Desktop Protocol לצורך התחברות מרוחקת למשאבים הרלוונטיים לעבודה, אך מכיוון שפרוטוקול זה חשוף לאינטרנט - שימוש לקוי בו יכול להוות חולשה משמעותית לארגון. ואכן, חברת Kaspersky מציגה עלייה משמעותית בתקיפות RDP ברחבי העולם.
האקרים סיניים פרצו לרשתות של HP ו-IBM כדי לפרוץ לרשתות של לקוחותיהן
על פי רויטרס (Reuters), קבוצת האקרים המגובה על ידי ממשלת סין חדרה לרשתות של חברות הענק HP ו-IBM, שהן ספקיות שירות מנוהל (MSP), על מנת לבצע לאחר מכן ניסיון פריצה למחשבי הלקוחות של שתי החברות. המתקפות הן חלק מקמפיין המכונה Cloudhopper, שמטרתו גניבת מידע ממחשבי הלקוחות המטורגטים, ובעקבותיו הוגש ביום חמישי כתב אישום פדרלי בארה"ב נגד שני אזרחים סיניים.
חולשת אבטחה קריטית ב-Microsoft Teams
פלטפורמת Teams של מיקרוסופט הינה טכנולוגיה לעבודה מרוחקת וניהול תקשורת בין עובדים לצורך עבודה משותפת. חברת CyberArk גילתה לאחרונה חולשה בפלטפורמה, אשר מאפשרת לתוקף לקבל שליטה מלאה על חשבון המשתמש בשרשרת הבאה: התוקף שולח GIF או תמונה לקורבן על גבי הפלטפורמה >> הקורבן פותח את ההודעה >> התוקף מתחזה לקורבן ושולח את התמונה לעובדים נוספים >> המפתח הפרטי של המשתמשים מועברים לתוקף >> התוקף מקבל אחיזה על כלל המידע שעובר בין העובדים על גבי הפלטפורמה. לאחר גילוי החולשה מחקה מיקרוסופט את רשומות ה-DNS שהקונפיגורציה שלהן איפשרה אותה. נוסף על כך, מיקרוסופט תמשיך לפתח שכבות הגנה על מנת למנוע מקרים דומים.
מיקרוסופט: ארגוני פשע ממשיכים לתקוף ארגוני בריאות באמצעות כופרות
בימים אלה, של עבודה מרחוק, ישנה עלייה בעומס העבודה על צוות אבטחת המידע בכל הארגונים, ואולם את קבוצות ההאקרים הדבר עלול רק לדרבן. לפי מיקרוסופט, קבוצות כופרה מפעילות תוכנות שהושתלו חודשים מראש, והן אינן פוסחות על ארגוני הבריאות, הסיוע התובלה ועוד. מיקרוסופט מנתחת בבלוג את שיטות התקיפה ומפרסמת דרכים לבלימת התקיפות והורדת הסיכון.
חברת Akamai זיהתה קמפיין פישינג בשם ״Three question quiz״ המכוון אל אזרחי ברזיל
ההונאה פועלת על אתרים הכתובים בפורטוגזית, על ידי כך שהיא מציעה בהם הטבות מזויפות מטעם הממשלה. בקמפיין זה מופנים הקורבנות לאתר שמציע מענק בסך 100$ למשפחות בעלות הכנסה נמוכה שהושפעו מנגיף הקורונה. בכניסה לאתר קופצת הודעת פופ-אפ אשר מציעה לקורבן לקבל בחינם ערכת מניעה נגד נגיף הקורונה, בתנאי שיענה על שלוש שאלות, ומכאן שם הקמפיין, ״Three question quiz״. לאחר שהקורבן משיב, הוא מתבקש לשלוח את הקישור ל-10 אנשי קשר או ל-5 קבוצות וואטסאפ, ואז הוא מופנה למספר דפי אינטרנט, בהם דפים עם שאלות נוספות, המשיגות מידע על הקורבן, הפניות להורדת תוכנת Adware, המסייעת לתוקפים לקבל כסף באמצעות הצגת פרסומות במחשב הקורבן.
FTC: היזהרו מהונאות הקשורות להלוואות לעסקים קטנים
ועדת הסחר הפדרלית (FTC) מדווחת על קיומן של הונאות רבות המתחזות לגופים אשר מעניקים הלוואות לעסקים קטנים עקב משבר הקורונה. לאחרונה ארגונים כלכליים אכן מעניקים הטבות ומענקים ולעסקים, אך הדבר פותח הזדמנות גדולה למתחזים לתקוף חברות קטנות ולגנוב מידע רגיש ואף פיננסי.
קמפייני פישינג חדשים
דוגמא
תיאור קמפיין
קמפיין פישינג אשר שולח מיילים עם חשבוניות מצורפות מטעם חברת SKM Korea, המכילות פוגען שמורד למחשב הנתקף.
קמפיין פישינג אשר מתחזה למרכז לשליטה וניהול מחלות (CDC). בקמפיין נשלחים מיילים הפצירים במשתמש לקרוא את הנחיות ההמשכיות העסקית שהופצו על ידי ארגון הבריאות העולמי המצורפות למייל. קובץ ההנחיות מכיל פוגען שיורד למחשב הקורבן בעת פתיחתו.
קמפיין פישינג המתחזה לנציגי תמיכה טכנית של VPN. המייל מכיל קישור לאתר ובו ממשק קינפוג רכיב ה-VPN, שמטרתו היא, בעצם, לגנוב את פרטי ההזדהות של המשתמש.
קמפיין פישינג מכיל קובץ אשר מתייחס להצהרה של הנשיא טראמפ להורדת המיסים מתלושי השכר עקב הקורונה, אך למעשה מוריד קובץ זדוני למחשב הקורבן.
מייל המתחזה לכזה הנשלח מטעם חברת השליחויות DHL ומכיל קובץ עם פרטי משלוח. המשתמש מתבקש לאמת את פרטי המשלוח, אך בעצם מוריד למחשבו פוגען בשם By Mem Trojan.
קמפיין שני המתחזה לחברת שליחויות, הפעם ל-FedEx. במייל נכתב שעקב הסגר חבילה שהוזמנה לא יכולה להישלח, ומצורף לו לינק מזויף לקביעת מועד חדש לאיסוף המשלוח.
קמפיין נוסף מתחזה לחברת המשלוחים UPS. בדומה לקמפיין הקודם, מציינת ההודעה כי עקב ההסגר המשלוח מושהה ומצורף קובץ עם הנחיות למשתמש בנוגע לדרך איסופו. בעת פתיחת הקובץ מורד למחשב הקורבן קובץ מסוג (RAT (Remote Access Trojan, הנקרא Remcos.
סייבר וקורונה בעולם
עלייה של 47% בהסבה של אנשי סייבר לטובת תמיכה בצרכי ה-IT
סקר שנערך על ידי ISC² בדק 256 מומחי אבטחת מידע אשר אחראים על נכסי המידע של הארגונים בהם הם עובדים. מבין תוצאות הסקר:
96% מהארגונים סגרו את משרדיהם ועברו לעבודה מהבית, מתוכם כמעט מחצית (47%) ציינו שהדבר נכון עבור כל העובדים, בעוד ש-49% דיווחו שלפחות חלק מהעובדים עובדים מרחוק.
אצל 23% מהמשיבים הייתה עלייה במספר אירועי הסייבר, אצל חלקם כמות האירועים קפצה פי 2.
47% מהנשאלים אמרו כי עברו לעסוק במטלות IT על חשבון הגנת הסייבר.
15% מהנשאלים ציינו שלצוותי אבטחת המידע שלהם אין את המשאבים הדרושים להם לתמיכה בעבודה מרחוק, בעוד ש-34% אמרו שהם מסוגלים לתמוך בעבודה מרחוק באופן זמני בלבד.
פרטי המידע שנחשפו על ארגון הבריאות העולמי (WHO) ועמותת Gates הם חלק מתקיפה שאירעה ב-2016
קבוצת המודיעין SITE פרסמההתקרית בה נחשפו פרטי המשתמשים של ארגון הבריאות העולמי, של עמותת גייטס ושל גופים נוספים, חשפה גם כי תקרית זו הינה חלק מתקיפה רחבה יותר שאירעה ב-2016.
מחלקת ההגנה האמריקאית פרסמה המלצות להגנת מידע רפואי של מטופלים בתקופת הקורונה
מחלקת ההגנה האמריקאית (DOD) פרסמה דוח בו היא מציגה פעולות Best Practice ליישום על מנת להגן על המידע בצורה המיטבית: שימוש באמצעי הזדהות דו שלבי, שימוש בסיסמאות חזקות, מעקב ומיגור חולשות מוכרות, הצפנת מידע רגיש בעת אחסונו, הגבלת גישת משתמשים למינימום, נעילה אוטומוטית של המערכת וניטור שוטף אחר פעולות שנעשות במערכות לשמירת המידע.
חברות סייבר התקפיות מציעות לממשלות להיעזר בפיתוחים שלהן על מנת לעקוב אחרי חולי הקורונה
במסגרת המאבק בקורונה, ממשלות וגופי אכיפה מעוניינים לקבל מידע שנמצא במכשירים סלולריים של אזרחיהן. במקרים מסוימים הם פונים לחברות סייבר התקפיות לצורך רכש של כלי סייבר המשמשים במקור ככלי ריגול, כמו כלים המפותחים ידי חברת Cellebrite הישראלית. סלברייט, מצדה, פונה לממשלות אשר נאבקות בנגיף הקורונה ומציעה להן שימוש בתוכנות ריגול לצורך מעקב אחר התפשטות הקורונה.
לא רק הונאות, פורומים של האקרים מציעים תרומות ונדבות עקב משבר הקורונה
ניתן לראות ברשת הונאות רבות המנסות לסחוט כסף באמצעות הונאות הקשורות למשבר הקורונה אך פורומים אשר תורמים כסף זו תופעה ייחודית. בפורום אחד האקר פרסם פרטי זיהוי בתמורה לכספי צדקה שיתרמו לחולי קורונה והצוות הרפואי בספרד, באותו פורום ישנו חלק של ״מתנות״ הכולל פרטים אישיים ופרטי הזדהות שהאקרים מצאו במקרה תוך כדי תקיפה של ארגונים מסוימים, בפורום נוסף פרסם משתמש כי הוא מבקש תרומות לבית יתומים ואכן הצליח לגייס באמצעות הפורום 500$ ואף צילם את כלל החפצים שקנה לילדים על מנת להוכיח שהוא לא ביצע הונאה.
פייסבוק משנה את המבנה הארגוני במחלקת אבטחת המידע
בשנתיים האחרונות פייסבוק ארגנה מחדש את מחלקת אבטחת המידע שלה על מנת להתאים את שיטות העבודה מאחר ובשנים האחרונות החברה דיווחה על מספר לא מבוטל של אירועי אבטחת מידע. בראיון עם שלושה עובדים שנשארו בעילום שם, עולה כי החברה מחפשת לחזק את יכולות התגובה אוטומטית לאירועי אבטחת מידע.
היענות נמוכה ליוזמה של גוגל ואפל להוצאת אפליקציה משותפת למעקב אחר התפשטות הידבקות בנגיף הקורונה
סקרים בארה״ב מצביעים על בעיה חדשה הניצבת בפני ענקיות הטכנולוגיה Google ו- Apple בהטמעת אפליקציה להתרעה מפני הידבקות אפשרית בקורונה, והיא חוסר היענות הציבור לשימוש באפליקציה. רק 43% מהעונים על הסקר שביצעה .Post-U. Md טענו כי יבטחו בחברות טכנולוגיה עם מידע אישי רפואי, בעוד שאר העונים על הסקר לא בוטחים בהן כי יגנו כראוי על המידע האישי הרפואי אליו יקבלו גישה. מקור חששות הציבור בתקריות העברת או מכירת מידע אישי של חברות טכנולוגיה ומדיות חברתיות שונות שהתפרסמו בשנים האחרונות, לדוג׳ סוגיית Facebook ו -Cambridge Analytica. עם זאת, 59% מהעונים על הסקר דיווחו כי ירגישו בטוחים לעשות שימוש באפליקציה לשם דיווח אנונימי על הידבקותם בנגיף לשם התראתם של נדבקים פוטנציאלים איתם היו במגע.
כמו כן, אתגר נוסף מהווה קבוצת האוכלוסייה שאינה עושה שימוש בטלפונים חכמים, כגון אנשים בני גיל הזהב, אשר מהווה כשישית מאוכלוסיית ארה״ב, זאת משום שלא ניתן לעשות שימוש באפליקציה שלא דרך טלפון חכם.
לסיכום, רק כ 41% מכלל הציבור האמריקאי שבבעלותו טלפון חכם ענה כי יהיה מוכן לעשות שימוש באפליקציית מעקב אחר הידבקות בנגיף הקורונה, בעוד חוקרים מאוניברסיטת אוקספורד מצביעים על כך ש 60% מאוכלוסיית המדינה תצטרך לעשות שימוש באפליקציה כדי שזו תוכל להשפיע על קצב התפשטות הנגיף.
חברת Group-IB מסייעת למוסקבה לעצור את הונאת אישורי המעבר המזויפים
עקב נגיף הקורונה וההסגר שהוטל בתגובה להתפשטות הוירוס, ברוסיה נוקטים בחלוקת אישורי מעבר לצורך יציאה מהסגר לאזרחים אשר אושר להם לצאת מהבית. אך לאחרונה שיזהו כי ישנם המוני אישורי מעבר דיגיטליים מזויפים לתושבי מוסקבה. בתגובה לכך התערבה חברת Group-IB אשר זיהתה 126 מקורות להונאה (אתרים, ערוצי טלגרם וקבוצות על גבי מדיות חברתיות שונות) אשר מכרו אישורים מזויפים לתושבי העיר, מעל למחצית האתרים נסגרו עד כה.
סייבר וקורונה בישראל
משרד התקשורת: עומסים גדולים באינטרנט בישראל בשל הלמידה מרחוק ושימוש בטלפונים כשרים
עם המעבר ללמידה מרחוק ובפרט בשבוע האחרון, חל גידול משמעותי בתעבורת רשתות הטלפוניה בשל שימושים רבים בקרב האוכלוסייה המשתמשת בטלפונים וקווים כשרים ולמידה מרחוק, דבר הגורם לקושי בזמינות מלאה של הרשתות באזורים מסוימים. משרד התקשורת מבקש מהציבור לפעול באופן מושכל כדי להקל על העומסים בתקופה זו.
מערך הסייבר הלאומי מפרסם את התפלגות נותני השירותים ב Marketplace לסייבר
בעקבות משבר הקורונה הקים מערך הסייבר הלאומי marketplace, בו ניתן למצוא חברות המציעות שירותים ומוצרים להגנת סייבר בהטבות משמעותיות, בחלוקה לקטגוריות. זירת המסחר הוקמה על רקע המצוקה הכלכלית של ארגונים רבים במשק, והוא מאפשר לחברות סייבר להציע את המוצרים והפתרונות שלהן בהטבות משמעותיות ואף בחינם לתקופה הקרובה.
פילוח השירותים המוצעים ב Marketplace על פי כמות ומחיר
התפתחויות רגולטוריות בענייני סייבר והגנת מידע אישי
בתקופה האחרונה מסתמנות התפתחויות בתחום רגולציית הסייבר והגנת המידע. ב-EU, ה-European Data Protection Board פרסם ביום 21.4.2020 שתי הנחיות (Guidelines) שמתייחסותם לאתגרי ההגנה על מידע אישי רפואי ובריאותי בתקופת הקורונה. הראשון, מס' 03/2020 מבהירת את דרישות ה- GDPR בכל הקשור לעיבוד מידע בריאותי למען מחקר מדעי בהקשר של משבר COVID-19; והשני, 04/2020, מנחה לגבי השימוש במידע שממקם את נשוא המידע לצורך ניטור ומעקב אחר התפשטות המחלה. ההנחיות חוזרות על החשיבות של עיבוד מידע אישי על בסיס משפטי (legal basis) כמפורט בסעיפי 6 ו-9 של ה-GDPR. למדינות מותר להרחיב את החריגים להסדרים אלה באופן זמני ולאור מצב החירום, אבל רק על בסיס פרופורציונאלי והכרחי, ועם השקיפות הנדרשת על מנת לשמר זכויותיהם של נשואי מידע אירופיים.
בארה"ב מתפתחת מגמה של רגולציית סייבר והגנת מידע שהיא יותר מבוססת סיכון, כולל סיכוני סייבר שנובעים מהמצב שנוצר כתוצאה של COVID-19. דוגמה לכך מהעת האחרונה היא ההנחיה החדשה מחודש אפריל של ה-New York Department of Financial Services מתייחסת לסיכוני סייבר בתקופה הנוכחית. באופן ספציפי, ההנחיה מפרט את הסיכונים של עבודה מרחוק, העלייה במקרי phishing והונאה, וספקי צד ג'. בנוסף, הסוגיה של משילות תאגידית שמחייבת את ההנהלה הבכירה של ארגון לקחת בחשבון סיכוני סייבר ספציפיים כחלק מהערכת הסיכון הכללי של הארגון. למשל, ה-Securities and Exchange Commission מפרסם באתר שלו אוסף הבהרות לארגונים בנוגע להיבטים שונים של התנהלותם בתקופה הנוכחית, כולל הפחתת סיכוני סייבר.
אתמול בסין פרסם מינהל מרחב הסייבר, ה-CAC, ה-"אמצעים להערכת הגנת הסייבר" (Measures for Cybersecurity Review) שייכנסו לתוקף ביום 1.6.2020. מטרת הרגולציה היא לאפשר פיקוח על שרשרת האספקה של שירותים ומוצרים לשימוש בהפעלת תשתיות קריטיות. על פי "האמצעים", במצב שבו קיים חשש שביטחון המדינה עלול להיפגע בגלל רכישת שירותים או מוצרים על ידי מפעיל תשתית קריטית, מתקיימת חובת דיווח לרשויות. במהלך ההערכה (Review) ייבחנו קריטריונים כגון הפגיעה האפשרית לבטחון המדינה, הסיכונים לפגיעה בתפקוד התשתית הקריטית, וקיומם של שירותים ומוצרים חילופיים. חברות שאינן עומדות בחובת הדיווח לרשויות חשופות להטלת קנס של עד 100,000 RMB על פי סעיף 65 לחוק הסייבר הסיני משנת 2016.