דו״ח סייבר שבועי
עדכון שבועי 01.06.2023
עיקרי הדברים
1. ישראל: חשש לעיכובים באספקת מוצרי תנובה בעקבות מתקפת סייבר; קבוצת התקיפה האיראנית AGRIUS מבצעת תקיפות כופרה כנגד ארגונים ישראליים באמצעות שימוש בכופרה Moneybird. מתקפת סייבר איראנית נגד אתרים ספנות ולוגיסטיקה ישראלים.
2. סייבר במגזר הבריאות: דלף מידע הגדול של 2023: מידע של כ-9 מיליון מטופלים דל, בעקבות מתקפת כופרה של LockBit רשת שירותי בריאות המתמחה בטיפולי שיניים וביטוח בריאות לילדים Managed Care of North America; קבוצת הכופרה 8base טוענת שתקפה חברת אספקה אמרקיאית של ציוד רפואי צבאי; בית חולים מאילינוי סוגר את שעריו, בין היתר בעקבות מתקפת סייבר; Morris Hospital & Healthcare Centers מדווח על אירוע אבטחת סייבר; דלף מידע בעקבות מתקפת הכופר על חברת ביטוחי הבריאות Point32Health; קבוצת הכופר ALPHV מדווחת על פרסום של 680GB השייכים ל- Valley Women's Health; מרפאת Mountain View RediCare ב Idaho הושבתה לחלוטין בעקבות מתקפת סייבר ומפנה מטופלים למוסדות אחרים.
3. אירן: האקרים המכונים ״מרד עד ההפלה״ המקשורת למתנגדי השלטון MEK' uפרצה למשרדי נשיא איראן איברהים ראיסי והדליפה מידע רב.
4. 5 שנים ל-GDPR והשינוי מורגש: קנסות בגובה 4 מיליארד אֵירוֹ, 1700 פעולות אכיפה ולמעלה מ-700,000 ממוני הגנת פרטיות (DPO) בארגונים.
5. *אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Zyxel (קריטי); דפדפן Google Chrome (גבוה); פלטפורמת Github (גבוה); מוצרי Apple (אין ציון);*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
חולשה חדשה בתוסף Better Notifications ל Wordpress
חברת Zyxel מזהירה מפני פגיעויות קריטיות בחומת האש ומכשירי VPN
עדכון אבטחה ל-Google Chrome הנותן מענה לחולשות ברמת חומרה גבוהה
חולשה חדשה ב Cloud SQL של Google Cloud Platform יכולה לגרום לדלף מידע
עדכוני אבטחה למוצרי VMWare נותנים מענה לחולשה ברמת חומרה בינונית
Microsoft דיווחה על חולשה ב-macOS
חולשה קריטית בקושחה של מוצרי Gigabyte חושפת 7 מיליון מכשירים למתקפת סייבר
התקפות ואיומים
תוכנה זדונית חדשה מבוססת PowerShell, הנקראת PowerExchange, מאפשרת כניסה לשרתי Microsoft Exchange באמצעות Backdoor
CISA מוסיפה שתי חולשות חדשות לקטלוג החולשות המנוצלות שלה
כלי חדש מסוג Infostealer לגניבת ארנקי קריפטו זוהה על ידי חברת Trend Micr
השבוע בכופרה
העיר אוגוסטה בארצות הברית הותקפה על ידי קבוצת הכופרה BlackByte
סייבר בעולם
חברת Emby מודיעה על סגירת חלק משרתי המדיה שלה בעקבות מתקפת סייבר
מידע של משתמשים מפורום ההאקרים RaidForums הודלף בפורום האקרים חדש
קבוצת האקרים איראנית בשם ״מרד עד ההפלה״ טוענת שפרצה למשרדי איברהים ראיסי - נשיא איראן
סייבר בגופי בריאות
ארה״ב: בית חולים מאילינוי סוגר את שעריו, בין היתר בעקבות מתקפת סייבר
ארה״ב : Morris Hospital & Healthcare Centers מדווח על אירוע סייבר
ארה״ב: דלף מידע בעקבות מתקפת הכופר על חברת ביטוחי הבריאות Point32Health
קבוצת הכופר ALPHV מדווחת על פרסום של 680GB השייכים ל- Valley Women's Health
ארה״ב: קבוצת הכופרה ALPHV הוסיפה את Norton Healthcare לרשימת הקורבנות שלה
ארה״ב: דלף מידע הגדול של 2023: מידע של כ-9 מיליון מטופלים דלף בעקבות מתקפת כופרה LockBit על MCNA לניהול טיפולי שינייים
ארה״ב: קבוצת הכופרה 8base טוענת שתקפה חברת אספקה אמריקאית של ציוד רפואי צבאי
ארה״ב : בית החולים Idaho Falls Community Hospital מתמודד עם מתקפת סייבר שמשפיעה על בתי חולים ומרפאות אחרים
סייבר בישראל
AGRIUS קבוצת תקיפה איראנית מבצעת תקיפות כופרה כנגד ארגונים ישראליים באמצעות שימוש בכופרה Moneybird
תנובה מודיעה שבלמה מתקפת סייבר אך צפויים עיכובים במשלוחי החברה
סייבר ופרטיות - רגולציה ותקינה
חמש שנים ל-GDPR: הערכת מצב
איסור גידור דיגיטלי סביב מרפאות בניו יורק: הגנת הפרטיות של צרכני שירותי בריאות
כנסים
הציטוט השבועי
_"שיטות הכופרה הפכו להרסניות ומשפיעות יותר [...] והכי חשוב, מהירות התקיפה והנזק עלו באופן דרמטי ולכן זה דורש עוד יותר מאמץ מצד המגינים."_
–רוב ג'ויס, מנהל אבטחת סייבר של NSA.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
חולשה חדשה בתוסף Better Notifications ל Wordpress
התגלתה חולשה חדשה בתוסף Better Notifications ל Wordpress, החולשה מסוג Cross Site Request Forgery (CSRF) התגלה על ידי חוקר בשם Nguyen Xuan Chien ויכולה לאפשר לתוקף בניצול מוצלח שלה ״להכריח״ משתמשים עם הרשאות גבוהות במערכת לבצע פעולות לא רצויות תחת האימות הפעיל הנוכחי שלהם במערכת. חולשה זו תוקנה בגרסה 1.9.3 של התוסף, צוות קונפידס ממליץ למשתמשי תוסף זה לבצע עידכון לגרסה זו על מנת לסגור פגיעות לחולשה זו.
חברת Zyxel מזהירה מפני פגיעויות קריטיות בחומת האש ומכשירי VPN
Firewall פרסמה עדכוני אבטחה עבור חומות האש Zyxel
(buffer overflow) המושפעות מחולשות מרובות של הצפת מאגר
פגיעות של הצפת מאגר בפונקציית ההתראה בחלק ממוצרי החברה
המאפשרת לתוקף לא מאומת את האפשרות הרצת קוד מרחוק ואף לגרום למניעת שירות (Dos)
ציון חומרה קריטית של 9.8
CVE-2023-33010
פגיעות של הצפת מאגר בפונקציית עיבוד הזיהוי בחלק ממוצרי החברה
המאפשרת לתוקף לא מאומת את האפשרות הרצת קוד מרחוק ואף לגרום למניעת שירות (Dos)
ציון חומרה קריטית של 9.8
עדכון אבטחה ל-Google Chrome הנותן מענה לחולשות ברמת חומרה גבוהה
Google Chrome פרסמו את העדכון Chrome 114 עבור מערכות ההפעלה Windows, Mac ו-Linux. עדכון זה יושק בהדרגה במהלך הימים או השבועות הקרובים. גרסה 114.0.5735.90 של Chrome זמינה עבור לינוקס ו-Mac, בעוד שגרסה 114.0.5735.90/91 מיועדת למשתמשי Windows. גרסאות אלו מתוקנות ומעודכנות ומקבלות ציון CVSS 8.8. בסך הכל פורסמו 16 תיקוני אבטחה כדי לשפר את הגנת הדפדפן כמו כתיבה מעבר לגבול ב(Swiftshader (CVE-2023-2929, פגיעויות ב-Extensions החינמיים (CVE-2023-2930) , פגיעויות מרובות (CVE-2023-2932 ,CVE-2023-2931 ,CVE-2023-2933) בPDF ועוד .ניצול מוצלח של חולשות אלו מאפשר לתוקף לגרום לקריסת היישום בעזרת שכנוע של המשתמשים דרך Phishing emails ומודעות פישינג להיכנס לאתר זדוני .
צוות קונפידס ממליץ לעדכן לגרסה העדכנית ביותר (114.0.5735.90, 114.0.5735.91 ומעלה) של Chrome.
חולשה חדשה ב Cloud SQL של Google Cloud Platform יכולה לגרום לדלף מידע
נחשפה חולשה חדשה בשירות ה Cloud SQL של Google Cloud Platform שהוא שירות הענן של חברת גוגל. Cloud SQL הינו פתרון לבניית דאטה בייסים מסוג MySQL, PostgreSQL, ו SQL Server לאפליקציות ותוכנות מבוססות ענן (Cloud). החולשה התגלתה על ידי חוקרים מחברת האבטחה הישראלית Dig שחשפו כי תוקפים יכולים באמצעות שימוש בחולשה זו לבצע העלאת הרשאות ממשתמש בסיסי של שירות ה Cloud SQL עד לרמת אדמין מערכת מלא של container ובכך להגיע למידע רגיש של GCP כמו קבצים רגישים וסיסמאות. בנוסף על פי הפרסום ניצול חולשה זו כולל מתקפה מרובת שלבים שמנצלת בשלב ראשון פער בהגדרות של שכבת האבטחה של GCP המקושרת לשרתי ה SQL ובכך תוקף יכול להשיג הרשאות אדמין איתם יכול לנצל הגדרה שגויה נוספת על מנת לקבל הרשאות אדמין מערכת ועם זה שליטה מלאה על שרת הדאטה בייס, בשלב זה התוקף יכול לגשת לכל קבצי המערכת ולבצע שימוש בתהליך של אינומרציה כדי להוציא סיסמאות מהמערכת. חשוב לציין שחולשה זו תוקנה על ידי חברת גוגל במהלך חודש אפריל השנה.
עדכוני אבטחה למוצרי VMWare נותנים מענה לחולשה ברמת חומרה בינונית
עדכונים רלוונטיים למוצרים הבאים, בכל מערכות ההפעלה:
- VMware Workspace ONE Access
- VMware Identity Manager - vIDM
- VMware Cloud Foundation
פגיעות מסוג insecure redirect vulnerability ברמת חומרה בינונית (CVE-2023-20884, CVSS 6.1) התגלתה המוצר. ניצול מוצלח של החולשה עלול לאפשר לתוקף לא מאומת להפנות קורבן לדומיין זדוני הנשלט ע״י התוקף בעקבות חוסר ולידציה מספק על הנתיב המוזן ב URL, מה שעלול להוביל לחשיפת מידע רגיש של המשתמש.
צוות קונפידס ממליץ לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
Microsoft דיווחה על חולשה ב-macOS
מיקרוסופט דיווחה על חולשה ב-macOS שמאז תוקנה, אך חולשה זו עלולה להיות מנוצלת על ידי תוקפים בעלי הרשאות root. החולשה שידועה בשם Migraine CVE-2023-32369, מאפשרת מעקף של מנגנון ה-SIP העלול להוביל לפעולות לא מבוקרות על המכשיר המנוצל על ידי ניצול של אפליקציה פנימית של אפל בשם Migration Assistant, תוקפים יכולים לבצע את ה-migration דרך AppleScript ודרכו להריץ סקריפטים זדוניים בצורה לא מבוקרת. פעולה זו אפשרית בגלל שלתוכנה המערכתית בשם systemmigrationd, האחראית על העברת המידע בין מכשיר ישן לחדש הייתה הרשאה להריץ תהליכים העוקפים את בדיקות ה-SIP. ניצול של החולשה עלול להוביל לאי יכולת מחיקה של קבצים מסויימים, הרצת קוד לא מבוקר על ה-kernel וגישה למידע רגיש.
Apple תיקנה את חולשה בעדכון האחרון.
צוות קונפידס ממליץ לעדכן את גרסת ה-macOS לעדכנית ביותר.
חולשה קריטית בקושחה של מוצרי Gigabyte חושפת 7 מיליון מכשירים למתקפת סייבר
חולשה חדשה שזוהתה על ידי חוקרי אבטחת מידע בעלת התנהגות זהה לדלת אחורית אשר הושתלה על ידי תוקפים. אשר, לטענת החוקרים, מפעילה את ה-UEFI של המכשירים על מנת ״להפיל״ אל מערכת ההפעלה קובץ EXE ולקבל עדכונים בצורה לא מאובטחת. חברת Eclypsium מדווחת כי זיהתה לראשונה את ההתנהגות החשודה של הקושחה באפריל האחרון וכי דיווחה לחברת Gigabyte אשר מצידם טיפלו בחולשה. רוב הקושחות של מוצרי Gigabyte מכילים קובץ בינארי מוטמע בתוך רכיב ה-UEFI שלהם, כך אומר ג׳ון לוקאידס מחברת Ecplysium. הקובץ, נכתב אל תוך הדיסק ומורץ כחלק מתהליך האתחול של מערכת ההפעלה, ולאחר מכן מוריד ומריץ קבצים בינאריים נוספים בצורה לא מאובטחת. החולשה במהותה קשה להבדלה בין פעולה לגיטימית של הקושחה לבין Backdoor זדוני פעיל. גורמים זדוניים נמצאים במרדף מתמיד אחרי חולשות ודרכי חדירה אשר ישמשו את מטרתם ויוסיפו למאמצם להתחמק ממערכות הגנה. לכן, חולשה מן הסוג הזה הקיימת בתוך רכיב עדכוני הקושחה של מכשיר לגיטימי יכול לאפשר לתוקפים להריץ קוד זדוני במסווה של עדכונים לגיטימיים.
התקפות ואיומים
זן חדש של תוכנת זדוניות המכונה PowerExchange הופיע לאחרונה ומסכן שרתי Microsoft Exchange. PowerExchange היא תוכנה זדונית מתוחכמת שנועדה לפעול כ-Backdoor ומאפשרת גישה לא מורשית לשרתי Microsoft Exchange שנפגעו. תוכנה זדונית זו יכולה להשיג שליטה על מערכות, מה שעלול להוביל לגישה מלאה למידע רגיש. השרתים שנפרצו עשויים לשמש גם כנקודת גישה להתקפות נוספות הבאות, ולאפשר לקבוצות תקיפה להתפשט בתוך הרשת ולקבל גישה למשאבים רגישים אחרים.
PowerExchange מתקשר עם שרת ה הC&C של התוקף באמצעות דוא"ל הנשלחות בדרך ה-API של Exchange Web Services. על ידי שימוש בשרת ה-Exchange של הקורבן כערוץ התקשורת.
נראה שקבוצת תקיפה איראנית בשם APT34 מנצלת את תוכנה זדונית זו באמצעות מייל פישינג המכיל קובץ הפעלה זדוני. לאחר הפעלתו נפרסת מעטפת אינטרנט בשם ExchangeLeech (שנצפתה לראשונה על ידי צוות Digital14 Incident Response בשנת 2020), המסוגלת לגנוב מידע רגיש. צוות מחקר האיומים של מעבדות FortiGuard גילה את Backdoor של PowerExchange במערכות שנפגעו השייכות לארגון ממשלתי של איחוד האמירויות הערביות.
צוות קונפידס ממליץ לעדכן את התיקונים האחרונים שסופקו על ידי Microsoft עבור Exchange.
CISA מוסיפה שתי חולשות חדשות לקטלוג החולשות המנוצלות שלההסוכנות האמריקאית להגנת סייבר ותשתיות הוסיפה השבוע ל״קטלוג החולשות הידועות״ שתי חולשות חדשות. החולשה CVE-2023-2868 הינה חולשה ב Email Security Gateway appliance מבית חברת Barracuda Networks העוסקת במוצרי אבטחה, רשתות ואיחסון מבוססי מכשירי רשת ושירותי ענן. ניצול מוצלח של חולשה זו יכולה לאפשר לתוקף לבצע הזרקת קוד מרחוק על מכשירים פגיעים וזאת באמצעות העלאת קובץ .tar שסופק על ידי התוקף. החולשה הנוספת שהתווספה לקטלוג CVE-2023-28771 הינה חולשה במספר מוצרי Firewall מבית החברה. ניצול מוצלח של חולשה זו יכול להיות מבוצע על ידי שליחת פאקטת מידע (packet) זדונית למכשירים נגועים ויכול לאפשר לתוקף לבצע הרצת פקודות מרחוק על מכשירים אלו צוות קונפידס ממליץ למשתמשי מוצרים אלו לבצע עדכון גרסה לגרסה האחרונה כפי שפורסמה על ידי חברת Barracuda Networks ו Zyxel.
כלי חדש מסוג Infostealer לגניבת ארנקי קריפטו זוהה על ידי חברת Trend Micro
הכלי, לו ניתן השם ״Bandit Stealer״ על ידי חוקרי חברת Trend Micro, תפס את תשומת ליבם של החוקרים עקב יכולותיו לתקוף ולנצל חולשות במספר דפדפנים וארנקי קריפטו. הכלי רץ על מערכת ההפעלה Windows על ידי שימוש בכלי CLI לגיטימי של Microsoft בשם runas.exe אשר מאפשר למשתמשים להריץ קבצים אחרים בשם משתמשים אחרים בעלי הרשאות שונות. מטרת הכלי היא האדרת הגישות של התוקף על העמדה הנתקפת לאחר השגת האחיזה הראשונית, עקיפת מנגנוני אבטחה הקיימים על העמדה וחציבת מידע רגיש מן העמדה הנתקפת. הכלי כתוב בשפת Go ולכן יהיה קל להתאימו למערכות הפעלה אחרות במידת הצורך. בנוסף לכלי יכולות לקבוע האם הוא רץ בתוך מכונה וירטואלית או Sandbox מסוג כלשהו ובמידת הצורך מגבה תהליכים מסוימים על מנת להסתיר את פעילותו על מערכת ההפעלה. בנוסף, הכלי עורך ערכי Registry על העמדה הנתקפת על מנת לייצר Persistence על העמדה ולשמר את אחיזתו בה. הכלי יודע לסרוק תיקיות של דפדפנים רבים וארנקי קריפטו למיניהם ומשם לדלות מידע רגיש אשר אותו ינצל התוקף למטרת רווח אישי. הכלי נצפה מופץ באמצעות קמפייני פישינג וקבצי התקנה זדוניים המופצים ברחבי האינטרנט. אנו ממליצים להזין את מזהי הנוזקה הנמצאים בדו״ח במערכות ההגנה.
השבוע בכופרה
העיר אוגוסטה בארצות הברית הותקפה על ידי קבוצת הכופרה BlackByte
בסוף חודש מאי העיר אוגוסטה בג'ורג'יה, ארה"ב, דיווחה כי הקשיים בתפקוד מערכת ה-IT שחוו לאחרונה נגרמו בעקבות גישה לא מורשית לרשת. הממשל לא חשף את אופי מתקפת הסייבר ומי אחראי אליה אך על פי פרסום של קבוצת כופרה BlackByte פרסמה באתר שלה את העיר אוגוסטה כאחת הקורבנות שלה.
עיריית המדינה הוציאה הודעה כי העיר נתקלת בקשיים טכניים החל מתאריך 21.5 אשר הובילו שיבושים בחלק ממערכות המחשוב שלה. בתגובה, נפתחה חקירה על מנת להעריך את מידת ההשפעה של מתקפת הסייבר ולהחזיר את תפקוד המלא של המערכות במהירות האפשרית.
במקביל, קבוצת התקיפה הודיעה כי יש בידיה מידע רגיש שנגנב ממחשבים רבים מהעיר ונגנב מידע בגודל 10GB הכולל מידע על אנשי קשר, מידע אישי מזהה (PII), כתובות פיזיות, חוזים, נתוני הקצאת תקציב עירוני וסוגים אחרים של פרטים אישיים ומדינתיים.
BlackByte דורשת 400,000 אלף דולר עבור מחיקת המידע הגנוב ומציעה גם למכור את הנתונים לצדדים שלישיים מעוניינים תמורת 300,000 דולר. חשוב להדגיש שהמקור והאותנטיות של הנתונים שדלפו לא אומתו.
(מתוך אתר BlackByte, מתאריך 25.5.23)
סייבר בעולם
חברת Emby מודיעה על סגירת חלק משרתי המדיה שלה בעקבות מתקפת סייבר
חברת Emby שמספקת שירותים של שרתי מדיה המיועדים לאחסן סוגי מדיה שונים כמו וידיאו, תמונות מוזיקה ועוד ומעבירה את המדיה הזו בשידור (סטרימינג) למגוון מכשירים שונים (טלוויזיות חכמות, טאבלטים וטלפונים), מודיעה כי היא סגרה מרחוק מספר לא מוגדר של שרתי מדיה של משתמשי השירות אשר נפרצו לאחרונה באמצעות שילוב של ניצול חולשה ידועה והגדרות חשבון אדמין שאינם הוגדרו בצורה אופטימלית.
על פי הפרסום המתקפה החלה באמצע חודש מאי השנה כאשר התוקפים החלו לבצע תקיפות כנגד שרתי Emby פרטיים שחשופים לרשת. על מנת לקבל גישת אדמין לשרת התוקפים ניצלו חולשה שתוארה על ידי החברה כ "proxy header vulnerability" חולשה שידועה לפחות משנת 2020 וקיבלה תיקון רק לאחרונה בגרסאות בטא. לאחר הגישה לשרתים התוקפים ביצעו התקנה של תוסף זדוני שנועד לבצע גניבה של פרטי הגישה של כל המשתמשים שהתחברו לשרת הפרוץ. בתגובה לפריצה זו החברה הצליחה לבצע עדכון שנועד לזהות את התוסף הזדוני ולמנוע ממנו לפעול. בנוסף החברה מודיעה לאדמינים למחוק את הקבצים הבאים מתיקיית התוסף helper.dll ו EmbyHelper.dll לאחר הפעלה מחדש של השרתים שכובו והוספה של "emmm.spxaebjhxtmddsri.xyz 127.0.0.1" לקובץ הhosts על מנת למנוע תקשורת לשרת ה C2 של התוקפים, בנוסף החברה ממליצה לבחון את השינויים הבאים על שרתים שנפרצו : חשבונות משתמשים חשודים, תהליכים לא ידועים, חיבורי רשת לא ידועים ופורטים פתוחים לא ידועים, הגדרות SSH, חוקי firewall ושינויים בסיסמאות. בנוסף החברה מסרה כי יוציאו עדכון גרסה לשרתים לגרסה 4.7.12 שסוגרת את הפגיעות הזו בהקדם האפשרי.
מידע של משתמשים מפורום ההאקרים RaidForums הודלף בפורום האקרים חדש
RaidForums היה פורום להאקרים ולהדלפות מידע פופולרי, הפעילויות של חברי הפורום כללו בין הייתר איחסון, הדלפה ומכירה של מידע מאירכונים ואתרים שנפרצו מידע שנרכש על ידי האקרים ותוקפים אחרים שביצעו בו שימוש במתקפות שלהם כמו מתקפות דיוג, הונאות קריפטו והפצת נוזקות. במקרים בהם המידע לא נמכר חברי הפורום היו מדליפים את המידע ללא עלות על מנת לצבור מוניטין בקרב חברי הפורום וקהילת ההאקרים האחרים. RaidForums נסגר באפריל 2022 במבצע של רשויות אכיפת חוק, לאחר הסגירה של RaidForums הופיע פורום חדש בשם Breached שנסגר במרץ השנה לאחר שהבעלים והמפעיל שלו נעצר על ידי ה FBI. כעת בפירסום שהופיע בפורום האקרים חדש בשם ״Exposed״ והועלה על ידי אחד ממנהלי האתר הודלף כלל מאגר המידע של משתמשי RaidForums, בבדיקה שביצע אתר ״bleepingcomputer״ על המידע שפורסם נמצא כי הוא מכיל קובץ SQL יחיד בשם 'mybb_users' שמכיל מידע על 478,870 חברי RaidForums, מידע זה כולל את שם המשתמשת כתובות אימייל, סיסמאות מצופנות, תאריך הרשמה ועוד. המידע בטבלה אומת על ידי מספר משתמשי הפורום לשעבר כמידע אמיתי. מנהל האתר ״Exposed״ שהעלה את המידע (Impotent) אמר למגזין ״bleepingcomputer״ כי במקור לא תיכננו לפרסם את המידע הזה בפומבי אחת לבסוף החליטו להדליף אותו, בנוסף נאמר על ידי מנהל האתר כי הם יודעים מהיכן המידע הגיע אך לא יחפשו שום פרטים על המקור.
קבוצת האקרים איראנית בשם ״מרד עד ההפלה״ טוענת שפרצה למשרדי איברהים ראיסי - נשיא איראן
קבוצת האקרים איראנית בשם ״מרד עד ההפלה״ (Uprising till Overthrow) טוענת שפרצה למשרדי נשיא איראן איברהים ראיסי, קבוצת התקיפה מקושרת למוג'אהדין ח'לק שהוא אירגון גרילה שיעי הפועל באיראן משנות השישים ופועלים כנגד השלטון האיראני. במהלך הפריצה קבוצת התקיפה הדליפה בערוץ הטלגרם שלהם מידע מתוך הפריצה וכולל טענות שהקבוצה שלחה תמונות של הנהגת ההתנגדות יחד עם הסיסמא "מוות לברקאמנאי ראיסי - שלום לברגו" מתוך כתובת האימייל של המוסד הנשיאותי, שרטוטים של מקום העבודה והמנוחה של הנשיא ראיסי, מידע טכני רב על רשתות משרד הנשיא הרשות השופטת משרד החוץ משרד הפנים והפרלמנט, תוכנית נסיעות של הנשיא לשנה האיראנית 1402 (התחילה באפריל 2023), פרוטוקולים מפגישות סודיות של הישיבות והוועדות של פיקוד מחנה Thar-Allah של משמרות המהפכה האירניות עם ראשי הביטחון והמודיעין כאשר מטרת הפגישות הינה דיכוי האוניברסיטאות במדינה. קבוצת התקיפה בנוסךף פירסמה כי במהלך הפריצה הצליחו לתפוס כ 120 שרתים של רשתות פנימיות של המוסד הנשיאותי וכי ניגשו ליותר מ 1300 מחשבים במוסד הנשיאותי של איראן. גם פורסם בקבוצה צילומי מצלמות אבטחה של חדר התקשרות של מוסד הנשיא בנוסף בקבוצת הטלגרם של הקבוצה ניתן למצוא תמונה של עמיר אתאי נער בן 16 שנהרג על ידי הממשל האיסלמי בספטמבר 2022 יחד עם הכיתוב ״לא נשכח ולא נסלח״.
סייבר בגופי בריאות
ארה״ב: בית חולים מאילינוי סוגר את שעריו, בין היתר בעקבות מתקפת סייבר
בהודעה שפורסמה ב-10 במאי בעמוד הפייסבוק הרשמי של בית החולים The Spring Valley hospital נודע כי בית החולים ייסגר בתאריך ה-16 ביוני. מטעם בית החולים נמסר כי ״הנהלת בית החולים ניסתה למנוע את הסגירה של בית החולים על ידי איחוד שלו עם מוסד רפואי אחר אך הניסיונות עלו בתוהו וגורלו של בית החולים נחרץ, בדומה לבתי חולים כפריים אחרים שנסגרו לאחרונה״. עוד נאמר בהצהרה כי ״בית החולים חווה אתגרים רבים שהקשו על הרציפות התפעולית שלו: מגפת הקורונה, מתקפת הסייבר על בית החולים St. Margaret שנקלע לחובות ומחסור בצוות רפואי.״ לפי ההודעה, סגירת בית החולים The Spring Valley hospital ״תסייע לבית החולים St. Margaret לסגור את החוב שלו ולהבטיח את המשך פעילותו״. עוד נמסר כי ״סגירת בית החולים תמנע רק אם תתקבל חבילת סיוע מטעם המדינה״. ההודעה על סגירת בית החולים התקבלה בפליאה ובהתנגדות רבה מצד התושבים שגרים בעיר Spring Valley באילינו ואפילו מצד העובדים של המוסד הרפואי. ״מה זה אומר עבור העובדים ב-Spring Valley? לא נמסרו לנו תשובות. כיצד עלינו להישאר נאמנים למקום העבודה שלנו מבלי שאנחנו יודעים היכן נעבוד עוד חודש?״ הגיב אחד העובדים על פרסום בית החולים. עובד נוסף כתב על התחושות הקשות בקרב הצוות הרפואי: ״למשרדנו נאמר היום שבית החולים ייסגר ב-31 במאי. אין תשובות למטופלים שלנו שמטופלים אצל הרופא כאן קרוב ל-40 שנה. הרופאים מסרו את ההודעה והם סיפרו שהמטופלים שלנו בוכים איתנו. להנהלה לא אכפת כמו העובדים שהיו בקו החזית כל הזמן הזה. חמלה ואכפתיות? כן בטח.״ גם התושבים הביעו פליאה נוכח ההודעה על הסגירה הצפויה: ״זה באמת מצב מפחיד. בחיים שלי לא חשבתי שאראה דבר כזה קורה! ״ כתבה תושבת Spring Valley.
ארה״ב : Morris Hospital & Healthcare Centers מדווח על אירוע סייבר
המרכז הרפואי שבאילינוי חוקר כעת אירוע סייבר בסיוע של מומחים פורנזיים. חקירת האירוע נפתחה לאחר שבבית החולים זיהו פעילות חריגה ברשת המחשבים, שהצביעה על כך שגורם זר השיג גישה בלתי מורשית למערכות. לאחר שנקטו צעדי בלימה ראשונים, החלו בבית החולים בחקירה מקיפה, כאמור בסיוע של מומחים חיצוניים. בשלב זה, החקירה מתמקדת בבדיקה האם נפגעו נתונים רגישים. מהמרכז הרפואי נמסר כי האירוע לא השפיע על פעילות בית החולים, בדגש על הטיפול בחולים וכי המערכות הממוחשבות לתיעוד רפואי אינן נפגעו. בנוסף, ציינו בבית החולים כי אמצעי האבטחה הקיימים ברשותם סייעו להם במניעת אירוע חמור יותר.
ארה״ב: דלף מידע בעקבות מתקפת הכופר על חברת ביטוחי הבריאות Point32Health
לפני כשבועיים (ראו ״הסייבר״, 27.04.2023) דיווחה חברת ביטוחי הבריאות Point32Health שמתקפת כופרה על מחשבי החברה ב-17 באפריל 2023 הביאה לשיבושים והשבתת מערכות המחשוב. בהודעה רשמית שיצאה מטעם החברה נמסר כי התקיפה השפיעה בעיקר על לקוחות חברת הבת שלה - Harvard Pilgrim Health Care (להלן: ״חברת הבת״). בחקירה הפורנזית של החברה עלה כי הנתונים הועתקו ונלקחו ממערכות חברת הבת בין ה-28 במרץ 2023, ועד ה-17 באפריל 2023.
חברת הבת שלחה הודעה ללקוחותיה וכתבה כי ״הקבצים שנחשפו במתקפה עשויים להכיל מידע אישי ו/או מידע בריאותי ששייך למבוטחים, כמו גם מידע על ספקים שעובדים עם החברה. החקירה העלתה כי שהמידע שנחשף כולל את הפרטים הבאים: שמות, כתובות פיזיות, מספרי טלפון, תאריכי לידה, פרטי חשבון ביטוח בריאות, מספרי תעודת זהות, מספרי זיהוי של רשות המיסים ומידע קליני (למשל, היסטוריה רפואית, אבחנות, טיפול, תאריכי שירות ושמות ספקים). בשלב זה, חברת הבת אינה מודעת אם נעשה שימוש לרעה במידע האישי והבריאותי כתוצאה מהמתקפה. למרות זאת מטעם החברה נשלחו הודעות למבוטחים שהמידע האישי שלהם נחשף.
ההודעה כללה גם מידע על צעדים שאנשים יכולים לנקוט כדי להגן על עצמם מפני הונאה פוטנציאלית או גניבת זהות, לצד חבילת פיצויים שהחברה העניקה למבוטחיה בעקבות התקרית: מנוי של שירותי ניטור אשראי לתקופה של שנתיים ושירות למניעת גניבת זהות והגנת פרטיות. חברת הבת ממליצה למבוטחיה לבדוק באופן קבוע את דו״ח החיובים של כרטיס האשראי שלהם ולדווח מיידית על כל פעילות חשודה או הונאה לחברת האשראי ולרשויות אכיפת החוק, כולל המשטרה והתובע הכללי.
קבוצת הכופר ALPHV מדווחת על פרסום של 680GB השייכים ל- Valley Women's Health
בחודש אפריל האחרון הוסיפה קבוצת הכופרה ALPHV את Valley Women's Health לרשימת קורבנות התקיפה שלה, וכעת מדווחת על פרסום 680GB של נתוני הארגון בפורטל ה- Darkweb.
ארה״ב: קבוצת הכופרה ALPHV הוסיפה את Norton Healthcare לרשימת הקורבנות שלה
מתקפת הסייבר על רשת המרפאות ובתי החולים ממדינת קנטקי החלה ב-9 במאי (ראו ״הסייבר״, 18.05.23) וגרמה להשבתת חלק מהשירותים שלה לצורך שחזור המערכות. נכון ל-29 במאי, רשת שירותי הבריאות טרם השיבה את כלל המערכות לפעילות. כעת טוענת קבוצת הכופרה ALPHV שחדרה לרשת של המוסד הרפואי וכי השיגה גישה ל-4.7 טרה בייט של מידע על עובדים ומטופלים של המוסד. קבוצת הכופרה ALPHV, הידועה גם כקבוצת ׳BlackCat׳, מיוחסת לרוסיה, ומפעילה תוכנות כופר שמצפינות קבצים דרך הצפנת AES (על פי מחקר של חברת האבטחה Emsisoft). תוכנת הכופר זוהתה לראשונה בנובמבר 2021 וחדרה למאות קורבנות בתוך מספר חודשים.
רשת שירותי בריאות המתמחה בטיפולי שיניים וביטוח בריאות לילדים Managed Care of North America (להלן: MCNA) דיווחה לאחרונה על דלף מידע גדול כתוצאה ממתקפה כופרה לתובע הכללי של מדינת מיין. הדלף השפיעה על 8,923,662 אנשים, מה שהופך אותה לאירוע הדלף מידע הגדול ביותר שדווח בשירותי הבריאות עד כה השנה, וההפרה שנייה של למעלה מ-5 מיליון רשומות שתדווח החודש (אחרי שחברת הפארמה PharMerica דיווחה על דלף מידע של 5.8 רשומות ב-15 במאי).
קבוצת הכופרה LockBit לקחה אחריות על המתקפה והדליפה חלק מהנתונים הגנובים באתר שלה ברשת האפלה כהוכחה לגניבת נתונים. הקבוצה דרשה כופר של 10 מיליון דולר כדי למנוע את פרסום כל הנתונים הגנובים, אולם נדמה כי הכופר לא שולם, שכן הקבוצה פרסמה את הנתונים ב-7 באפריל 2023.
MCNA גילתה ב-6 במרץ 2023 שגורם לא מורשה השיג גישה למערכות ממוחשבות ברשת החברה. האיום הוכל מיידית ונשכרו שירותי חברת הגנת סייבר לצורך חקירה פורנזית של האירוע. על פי החקירה הפורנזית הרשת הודבקה בקוד זדוני והתוקפים גנבו מידע בריאותי אישי ומוגן ממערכות המחשוב של MCNA, בין ה-26 בפברואר 2023 ל-7 במרץ 2023.
סקירת הקבצים שהתוקפים הצליחו לגשת אליהם העלתה כי הם מכילים מידע בריאותי מוגן כגון שמות, כתובות, מספרי טלפון, כתובות דוא"ל, תאריכי לידה, מספרי תעודת זהות, מספרי רישיון נהיגה, מספרי זהות שהונפקו על ידי הממשלה, מידע על ביטוח בריאות, שמות ומספרים של תוכניות קבוצתיות ומידע הקשור לטיפול השיניים והאורתודונטי שניתן למטופל. סוגי המידע שנפגע השתנו מאדם לאדם. מטעם MCNA נמסר כי החברה אינה מודעת לכל ניסיון או שימוש לרעה בנתונים המושפעים. MCNA אמרה כי היא שיפרה את בקרות האבטחה ואת נוהלי הניטור שלה כדי למזער את הסיכון לאירועים נוספים מסוג זה בעתיד. אנשים שנפגעו מקבלים כעת הודעה ומוצעים להם שירותי ניטור אשראי חינם למשך שנה או שנתיים, בהתאם לחוקי המדינה.
קבוצת התקיפה LockBit משתמשת במודל כופרה כשירות (RaaS) ומכוונת למגזרים בעלי פרופיל גבוה, ביניהם מגזר שירותי הבריאות. בגרסה החדשה שלה, LockBit 3.0 היא אף משתמשת בטכניקת סחיטה משולשת, ומאיימת ישירות על הקורבן המושפע שהמידע האישי שלו יודלף אם יסרב לשלם. ל-LockBit 3.0, הידוע גם בשם LockBit Black, יש ארכיטקטורה מתקדמת יותר מהגרסאות הקודמות שלה (Lockbit ו- Lockbit 2.0), המאפשרים לשנות את התנהגות הנוזקה לאחר פריסתה ובכך מקשה על יכולות צוותי ההגנה להתחקות אחריה. דו״ח של ה-FBI בנושא פשע מקוון בארה"ב מייחס לקבוצה 149 מתקפות שהשפיעו על תשתית קריטית ב-2022 והיא קבוצת הכופרה המובילה באותו דירוג.
ארה״ב: קבוצת הכופרה 8base טוענת שתקפה חברת אספקה אמריקאית של ציוד רפואי צבאי
קבוצת הכופרה פרסמה מידע שלכאורה שייך לחברת North American Rescue המספקת ציוד רפואי לצבא האמריקני. מועד הפרסום של המתקפה היה ב-29 במאי, יום הזיכרון האמריקני. זהות הקורבן המזוהה כספק מרכזי של הצבא האמריקני ומועד המתקפה מעלים את החשד שהתוקף הוא בעל מניעים מדיניים/אידיאלוגיים.
בית החולים Idaho Falls Community מתמודד עם מתקפת הסייבר שהתחילה ביום שני בבוקר (29/06/23) וזוהתה על ידי צוות ה-IT של בית החולים שביצע פעולות מיידיות כדי להגביל את השפעות המתקפה ולוודא כי מידע של מטופלים מאובטח כנדרש. כתוצאה מהמתקפה צוות בית החולים עבר לעבוד בצורה ידנית, להשתמש בניירת רפואית כחלופה למערכות הממוחשבות. מתקפת הסייבר השפיעה על בית חולים Mountain View Hospital שנמצא באותה בעלות משותפת של Idaho Falls Community והם חולקים את אותה הרשת. בנוסף, מספר מרפאות בנות של בית החולים שהותקף נפגעו בעקבות התקיפה: מרפאה נאלצה להשבית את שירותיה ומרפאה אחרת מנתבת מטופלים למרפאות אחרות. מבית החולים נמסר: ״הצוותים שלנו נוקטים בצעדים הדרושים כדי לטפל באירוע. עד שנרגיש בטוחים שהנוזקה הוסרה במלואה, חלק מהמרפאות ייסגרו ובית החולים יפנה אמבולנסים לבתי חולים סמוכים. מטופלים אשר יושפעו מצעדים אלו, יעודכנו בהתאם״. עוד מסרו מבית החולים כי רווחת המטופלים עומדת בראש סדר העדיפויות ונכון לעכשיו ניתוחים ממשיכים להתקיים כרגיל, המיון נשאר פתוח ורוב המרפאות פועלות כרגיל.
בנוגע למתקפה, טרם ידוע אם מדוברת במתקפת כופרה, שכן דובר בית החולים מסר כי לא הוגשה דרישת תשלום כופר לבית החולים.
סייבר בישראל
AGRIUS קבוצת תקיפה איראנית מבצעת תקיפות כופרה כנגד ארגונים ישראליים באמצעות שימוש בכופרה Moneybird
קבוצת התקיפה האיראנית AGRIUS הידועה גם בשם BlackShadow (בו נעשה שימוש בזמן התקיפה של הקבוצה על חברת שירביט) נצפו מטרגטים ישויות ועסקים ישראלים בקמפיין כופרה עם כופרה חדשה שלא נצפתה בעבר אשר קיבלה את השם Moneybird וכתובה בשפת C++. קבוצת התקיפה והכופרה התגלו בזמן תגובה של צוות התגובה לאירועי סייבר של חברת צ'ק פוינט (CPIRT) לאירוע סייבר בארגון ישראלי ששמו לא נמסר. בזמן התגובה לאירוע זיהה צוות החוקרים של צ׳ק פוינט את הכופרה החדשה (Moneybird) אך עם זאת שהכופרה וה payload שלה היו ייחודיים אך הטקטיקות, טכניקות והתהליכים שזהו על ידי החוקרים תואמים את הפעולות של קבוצת התקיפה AGRIUS, בהם בין היתר ניצול של חולשות בשרתים החשופים לאינטרנט והתקנה של וריאציה ייחודית לקבוצת התקיפה של ASPXSpy שאותו קבוצת התקיפה ״מחביאה״ בין קבצי “Certificate”, ושימוש ב VPN פומבי (בתקיפות בישראל לרוב מבוצע שימוש ב ProtonVPN). בנוסף חשוב להדגיש כי קבוצת התקיפה עומדת מאחורי מספר תקיפות מוצלחות על חברות וארגונים בישראל ביניהם המתקפה על שירביט והמתקפה על אוניברסיטת בר אילן, השימוש של הכופרה החדשה Moneybird מחליפה את השימוש שהקבוצה עשתה עד כה בכופרה Apostle מראה על מאמץ של קבוצת התקיפה לפיתוח היכולות שלהם ופיתוח כלים חדשים. הכופרה החדשה של קבוצת התקיפה Moneybird למרות שאינה מסובכת אך בעלת מספרים מאפיינים שמצביעים על האופי תקיפה המכוון של הכופרה וקבוצת התקיפה ביניהם הפרמטר של “targeted paths” שנראה כי גורם לכופרה להתעלם מרוב הקבצים במחשב מלבד אלו בנתיב זה.
תנובה מודיעה שבלמה מתקפת סייבר אך צפויים עיכובים במשלוחי החברה
חברת תנובה הודיעה הבוקר (31.5) כי חוותה ניסיון למתקפת סייבר על החברה שנבלם לאחר שהתגלה בחלק ממערכות החברה. בתגובה למתקפה חברת תנובה נוקטת מספר צעדים על מנת לעצור את ניסיון התקיפה בהם כלול השבתה של חלק ממחשבי החברה וביצוע בדיקות מקיפות, בעקבות פעולה נמסר מהחברה כי חלוקת המוצרים לנקודות המכירה תתקיים כמתוכנן אך ייתכנו עיכובים במשלוחים. בנוסף נמסר מחברת תנובה כי כלל מוצרי החברה בטוחים לשימוש וכי ימשיכו לעדכן בהתפתחויות, עוד הוסיפו כי עידכנו את מערך הסייבר בניסיון התקיפה ופועלים עם יועצים חיצוניים לבירור נסיבות התקיפה. בשלב זה לא נמסר איך התקיפה בוצעה ואילו משירותי החברה נפגעו.
(הודעת חברת תנובה לעובדי החברה בדבר המתקפה)
סייבר ופרטיות - רגולציה ותקינה
ביום 25.5.2023 צוין חמש שנים למועד הכניסה לתוקף של ה-General Data Protection Regulation, רגולציה מטעם האיחוד האירופאי שמגנה על הפרטיות של מידע אישי של תושבי המדינות החברות באיחוד, גורמים רבים מפרסמים הערכות מצב של השפעתו בפועל על הגנת הפרטיות של מידע אישי - באיחוד ומעבר לגבולותיו. בין השאר, הנציבות של האיחוד אמרה כי "ה-GDPR ימשיך להיות כלי מרכזי עבור האיחוד האירופי להתמודד עם אתגרים עכשוויים, ולהגדיר סטנדרט זהב של הגנת מידע, הן בבית והן מחוצה לה." יש גם מי שמטיל ביקורת על דרכי האכיפה של ה-GDPR, ושמציעים עדכונים ותיקונים שיקדמו מטרותיו בצורה יותר אפקטיבית. חלק מהביקורת מגיעה מחברות פרטיות שנקנסות על הפרות ה-GDPR: למשל, ביום 22.5.2023 נקנסה חברת מטא בסך על הפרות ה-GDPR בסך 1.2 מיליון אירו. התרשים להלן מציג נתונים בקשר לאכיפת ה-GDPR בחמש השנים הראשונות של קיומו.
מקור: IAPP, מאי 2023.
איסור גידור דיגיטלי סביב מרפאות בניו יורק: הגנת הפרטיות של צרכני שירותי בריאות
ב-3 במאי 2023, נכנס לתוקף חוק הפיסקלי במדינת ניו יורק, שכוללת הוראות האוסרות על הקמת "גדר וירטואלית" (geofence) סביב מרפאות בריאות במדינה. מדובר באיזור שמוגדר וירטואלית כדי לזהות כניסת אנשים, באמצעות הטלפונים החכמים שברשותם. באופן ספציפי, החוק אוסר על הקמת גדר וירטואלית סביב מרפאות ומתקני בריאות שאינם בבעלות פרטית, למטרות של שליחת פרסום דיגיטלי, בניית פרופיל צרכני, או "...הסקת מצב בריאותי, מצב רפואי או טיפול רפואי…" בעבר, היו מקרים של שימוש בגידור וירטואלי כדי לזהות אנשים - ובעיקר נשים - שנכנסו למרפאות שסיפקו שירותי ייעוץ רפואי, ובין השאר, ייעוץ בקשר להפלת הראיונות. נשים שזוהו כמועמדות ליזום הפלות קיבלו פרסומים ומודעות במטרה למנוע הפלות.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, רוני עזורי, יובל אוחנה, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ואורי יוסף.