דו״ח סייבר שבועי
עדכון שבועי 02.09.2021
עיקרי הדברים
-
קבוצת הכופרה LockBit הדליפה מידע של לקוחות חברת התעופה Bangkok Airways בהיקף של 200GB לאחר שסירבה לשלם כופר.
-
מתקפת כופר על אוניברסיטת בר אילן: כ-20TB של מידע השייך לאוניברסיטה מוצע למכירה בפורום הדלפות.
-
ה-CISA וה-FBI פרסמו המלצות להתגוננות ארגונים מפני מתקפות כופרה בתקופת החגים.
-
חוק אוסטרלי חדש מגדיל את סמכויות סוכנויות האכיפה לבצע פעולות התקפיות בתחום הגנת סייבר.
-
אנו ממליצים לעדכן את המוצרים הבאים: המוצר Azure Cosmos DB (קריטי); המוצרים BIG-IP, BIG-IQ ואחרים של F5 (קריטי); הדפדפן Google Chrome (גבוה); המוצר Trend Micro Security (בינוני).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
חולשה ב-Azure Cosmos DB מאפשרת לכל משתמש לקבל הרשאות גבוהות ולגשת למידע של משתמשים אחרים בפלטפורמה
עדכוני אבטחה קריטיים של F5 לעשרות חולשות במוצרים BIG-IP, BIG-IQ ואחרים
עדכוני אבטחה ל-Google Chrome
עדכוני אבטחה ל-Trend Micro Security נותנים מענה לחולשה ברמת חומרה בינונית
התקפות ואיומים
כשסיפור האימה מתגשם: הספרייה הציבורית בבוסטון חווה מתקפת סייבר
מיקרוסופט מזהירה מפני קמפיין פישינג נרחב הגונב פרטי התחברות לחשבונות
השבוע בכופרה
קבוצת הכופרה LockBit הדליפה מידע של לקוחות חברת התעופה Bangkok Airways בהיקף של 200G
סייבר בישראל
20TB של מידע השייך לאוניברסיטת בר אילן מוצע למכירה בפורום הדלפות
סייבר בעולם
ה-FBI מפרסם מזהים (IOCs) ושיטות (TTPs) של מתקפות כופרה המתבצעות על ידי ארגון התקיפה Hive
ה-CISA וה-FBI פרסמו המלצות להתגוננות ארגונים מפני מתקפות כופרה בתקופת החגים
סייבר ופרטיות - רגולציה ותקינה
הודעת הבית הלבן בתום פגישת ביידן עם ראשי המגזר הפרטי בנושא הגנת הסייבר: סוכם על שורת צעדים וולונטריים לקידום הגנת הסייבר במגזר
חוק אוסטרלי חדש מגדיל את סמכויות סוכנויות האכיפה לבצע פעולות התקפיות בתחום הגנת סייבר
כנסים
הציטוט השבועי
מתוך דברי הנשיא ביידן על סיום המלחמה באפגניסטן, 31/8/2021.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
חולשה ב-Azure Cosmos DB מאפשרת לכל משתמש לקבל הרשאות גבוהות ולגשת למידע של משתמשים אחרים בפלטפורמה
דבר קיומה של החולשה בשירות בסיס הנתונים מסוג NoSQL של מיקרוסופט, הכלול בשירות הענן של החברה, Azure, פורסם על ידי צוות המחקר של חברת Wiz. למרות שהחברה כבר תיקנה את החולשה, היא ממליצה למשתמשי השירות לחדש את מפתחות הגישה העיקריים שלהם, שייתכן ונגנבו בטרם בוצע התיקון. לדברי מיקרוסופט, לא ידוע על דליפת מידע שנגרמה כתוצאה מהחולשה.
עדכוני אבטחה קריטיים של F5 לעשרות חולשות במוצרים BIG-IP, BIG-IQ ואחרים
העדכונים מתקנים 29 חולשות שאותרו במהלך אוגוסט האחרון, בהן 13 קריטיות. החולשות שתוקנו עלולות לאפשר לתוקף לבצע מספר פעולות זדוניות, כגון הסלמת הרשאות, קבלת גישה לקבצים וביצוע פקודות ב-JavaScript. החולשות מצויות במספר רב של מוצרי BIG-IP ו-BIG-IQ, כמו גם במוצרים F5 App Protect, F5 SSL Orchestrator ו-F5 DDoS Hybrid Defender. החולשה החמורה ביותר שנסגרה (CVE-2021-23031) רלוונטית ל-BIG-IP WAF ול-BIG-IP ASM, ומאפשרת לכל משתמש מאומת לבצע הסלמת הרשאות.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
העדכונים רלוונטיים למערכות ההפעלה Linux ,Windows ,Mac ,Android ו-iOS. העדכונים ל-Windows ,Linux ו-Mac נותנים מענה ל-27 חולשות, בהן 5 ברמת חומרה גבוהה, 12 ברמת חומרה בינונית והשאר ברמת חומרה נמוכה. ניצול החולשות עלול להוביל, בין היתר, להרצת קוד זדוני בסביבת המשתמש ולשימוש בהרשאות המשתמש לביצוע פעולות בשמו. העדכונים למערכות ההפעלה Android ו-iOS מתקנים בעיות באבטחה, בביצועים וביציבות של האפליקציה.
צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו לגרסאותיו האחרונות, כדלקמן:
Google Chrome for Mac, Desktop and Linux - 93.0.4577.63
Google Chrome for iOS - 93.0.4577.39
Google Chrome for Android - 93.0.4577.62
עדכוני אבטחה ל-Trend Micro Security נותנים מענה לחולשה ברמת חומרה בינונית
העדכונים רלוונטיים לגרסאות v16 ,v15 ו-v17 של המוצר, וכן לגרסה v17.2 של Trend Micro Security for Best Buy. החולשה עלולה לאפשר לתוקף להזריק ספרייה זדונית, להעלות הרשאות במערכת ואף להוציא אל הפועל מתקפת DoS. החברה פרסמה Hotfix עבור כל אחת מהגרסאות הנגועות.
צוות קונפידס ממליץ לכלל משתמשי המוצר להוריד ולהתקין את גרסאותיו העדכניות, אותן ניתן למצוא כאן.
התקפות ואיומים
כשסיפור האימה מתגשם: הספרייה הציבורית בבוסטון חווה מתקפת סייבר
המתקפה, עליה הודיע הארגון ב-25 באוגוסט, גרמה להשבתת חלק משירותי הספרייה, לרבות הדפסות, השאלות ושירותי גלישה. טרם נודע מי האחראי לאירוע, אך בתגובה לו הושבתו מיידית מערכות הספרייה שנמצא כי ניזוקו, זאת על מנת לבודדן מיתר המערכות ולמנוע את הרחבת היקף הפגיעה. נכון לשעה זו אין בנמצא מידע על ממדי הנזק וחלק משירותי הספרייה עדיין מושבתים. מצוות הספרייה נמסר כי הוא עובד ביחד עם מחלקת החדשנות והטכנולוגיה של ראש העיר וגורמי אכיפת החוק על מנת לטפל במתקפה ביעילות ובמהירות האפשריות. על פי הידוע עד כה, לא התרחש דלף של מידע רגיש, אך לדברי דובר הספרייה ייתכן וחלק מהמידע אבד לנצח.
מיקרוסופט מזהירה מפני קמפיין פישינג נרחב הגונב פרטי התחברות לחשבונות
חוקרי אבטחת המידע של מיקרוסופט דיווחו כי הפישיניג נעשה באמצעות מיילים שנשלחים למשתמשים ומכילים בתוכם לינקים, שבעת לחיצה עליהם מעבירים את המשתמש לעמוד חדש שנבנה במיוחד על ידי התוקף. בעמוד מוצג למשתמש תהליך הזדהות באמצעות CAPTCHA, שהשלמתו מעבירה אותו לעמוד אחר - מסך התחברות לחשבונו במיקרוסופט באמצעות הקלדת סיסמה. הניסיון הראשון של המשתמש להקליד את פרטיו נתקל בהודעת שגיאה, כביכול, ובניסיון השני התוקפים מצליחים להתחבר למערכת הקורבן. הדומיינים המשמשים למתקפה הם:
-
c-tl[.]xyz
-
a-cl[.]xyz
-
j-on[.]xyz
-
p-at[.]club
-
i-at[.]club
-
f-io[.]online
ואלה סיומות הדומיין המשמשות את התוקפים:
-
de
-
com.mx
-
com.au
-
ca
על מנת להתגונן מפני המתקפה, מיקרוסופט ממליצה לכלל משתמשיה להפעיל את פוליסת האנטי-פישינג, את פוליסת הלינקים המאובטחים ואת פוליסת הקבצים הבטוחים.
השבוע בכופרה
קבוצת הכופרה LockBit הדליפה מידע של לקוחות חברת התעופה Bangkok Airways בהיקף של 200GB
על פי פרסום במגזין אבטחת המידע BleepingComputer, חברת התעופה התאילנדית אישרה כי חוותה תקיפה שבמהלכה נחשפו פרטים אישיים של לקוחותיה, זאת לאחר שקבוצת התקיפה איימה באתר ההדלפות שלה שאם לא ישולמו לה דמי כופר תפרסם את הפרטים שנגנבו. ואכן, ב-28 באוגוסט פורסמו שמות מלאים, לאומים, מגדרים, מספרי טלפון, כתובות מגורים, כתובות מייל, מספרי דרכון והיסטוריית טיסות, בעוד הכנופייה טוענת כי בניגוד לפרסומי חברת התעופה, פרטי הלקוחות אינם נהנים מרמה גבוהה של אבטחת מידע. בתוך כך, Bangkok Airways הזהירה את לקוחותיה מפני ניסיונות התחזות לנציגי החברה לשם דליית מידע אישי נוסף, כגון פרטי כרטיסי אשראי, וביקשה מהם לגלות ערנות. בטרם תקפה את חברת התעופה התאילנדית גבתה LockBit קורבן נוסף, חברת התעופה Ethiopian Airlines, ופרסמה את המידע שנגנב ממנה. שני האירועים התרחשו לאחר ש-LockBit תקפה את מערכות חברת Accenture, המספקת שירותי IT, והשיגה גישה לפרטי התחברות אשר אפשרו את הוצאתן אל הפועל של שתי התקיפות המתוארות.
סייבר בישראל
20TB של מידע השייך לאוניברסיטת בר אילן מוצע למכירה בפורום הדלפות
הדלפה נוספת של מידע ישראלי ב-RaidForums: בין הנתונים המוצעים למכירה לכל מרבה במחיר מצויים מידע אישי ומסמכים אישיים, מסמכי מעבדות, מסמכי דוקטורט, מחקרי קורונה, שמות תלמידים ומרצים ועוד. דגימות מתוך המידע המודלף מאשרות את הדבר וכוללות, בין היתר, תעודות זהות, אישורי מחקר וחשבוניות.
סייבר בעולם
ה-FBI מפרסם מזהים (IOCs) ושיטות (TTPs) של מתקפות כופרה המתבצעות על ידי ארגון התקיפה Hive
בדוח הסוכנות מצוינים הסקריפטים ושמות הקבצים, התוכנות והדומיינים בהם משתמשת הקבוצה לביצוע מתקפות כופרה, לצד דרכי מיטיגציה ופעולות אפשריות להתמודדות עם מתקפותיה. הקורבן האחרון של HIVE הוא Memorial Health System, ממנו נגנב מאגר ובו מידע רפואי של יותר מ-200 אלף מטופלים. הקבוצה משיגה גישה לקורבנות דרך פישינג ושימוש ב-RDP, ונעזרת בהליכים של גיבוי, העתקת קבצים ואבטחה לשם הסוואת פעולת הצפנת הקבצים. לאחר ההצפנה, HIVE מוחקת את הקבצים.
ה-CISA וה-FBI פרסמו המלצות להתגוננות ארגונים מפני מתקפות כופרה בתקופת החגים
ההתראה המשותפת של הסוכנות לאבטחת סייבר ותשתיות ולשכת החקירות הפדרלית של ארה״ב נובעת מכך שבתקופת החגים העובדים אינם נמצאים במקומות עבודתם וזמינותם ומוכנותם של האחראים לטיפול השוטף ברשתות התקשורת נמוכה. מכיוון שתקופה זו מהווה הזדמנות מיוחדת לתוקפים לפגוע בארגונים, שתי הסוכנויות ממליצות לנקוט בצעדים הבאים למזעור הסיכוי להיפגע במתקפת כופרה בתקופה זו: 1. לגבות את המידע החיוני של החברה במקור שבדרך כלל אינו מחובר לרשת האינטרנט. 2. לא ללחוץ על קישורים חשודים. 3. אם נעשה שימוש ב-RDP, יש לעשות זאת בצורה מבוקרת ומנוטרת. 4. להקפיד לעדכן את כלל התוכנות ומערכות ההפעלה. 5. להשתמש בסיסמאות חזקות. 6. להשתמש באימות רב-שלבי בעת התחברות לפלטפורמות השונות. 7. לשבץ אנשי IT בכוננות. 8. לוודא את קיומה של תכנית מגירה למקרה של אירוע סייבר. עוד מצויינים בהתראה סוגי הכופרה הנפוצים ביותר בחודש האחרון: Conti, PYSA, LockBit, RansomEXX/Defray777, Zeppelin, CrySiS/Dharma/Phobos. ה-IC3, מרכז התלונות של ה-FBI לענייני פשיעה, מסר כי בין החודשים ינואר ליולי השנה קיבל 2,084 פניות בנושא תקיפות כופרה בשווי מצטבר של 16.8 מיליון דולר, עלייה של 62% ביחס לתקופה המקבילה אשתקד. וקטורי התקיפה העיקריים באמצעותם הגיעו נוזקות הכופרה למחשבי הקורבן היו פישינג ותקיפות Brute-force על עמדות בהן לא היה ניטור של התחברות מרחוק. ככלל, הסוכנויות ממליצות שלא לשלם לתוקפים דמי כופר, שכן הדבר אינו מבטיח את שחזור הקבצים שהוצפנו ואינו מגן מפני הדלפה עתידית של המידע שנגנב. זאת ועוד, תשלום לתוקפים מעודד אותם להמשיך ולתקוף חברות נוספות. אי לכך, היערכות מראש והגנה מיטבית יהיו אופן ההתמודדות הטוב ביותר נגד מתקפות מסוג זה.
סייבר ופרטיות - רגולציה ותקינה
הודעת הסיכום מה-25 באוגוסט מציינת את הצעדים העיקריים עליהם הוסכם, זאת בהמשך למזכר הביטחון הלאומי מה-28 ביולי, המפרט יעדים להגנת סייבר וולונטרית במגזר הפרטי. במסגרת הפגישה האחרונה הוסכם כי: 1. המכון הלאומי לתקנים וטכנולוגיה (NIST) ייפתח ביחד עם גורמים בתעשייה מסגרת מעודכנת לניהול סיכוני סייבר בשרשרת האספקה. 2. יוזמת הטיפול הפדרלית להגנה על בקרים תורחב גם לסקטור הולכת הגז. 3. חברת אפל תפתח ביוזמה להעלאת רמת ההגנה של ספקיה, לרבות 9000 ספקים אמריקאיים. 4. חברת גוגל תשקיע ב-5 השנים הקרובות 10 מיליארד דולר לקידום יישום ה-Zero Trust בקרב ספקיה ותכשיר 100 אלף אמריקאיים לרמת תעודה בתחומי הגנת הסייבר. 6. חברת IBM תקנה הכשרה בתחום הגנת הסייבר לכ-150 אלף איש ב-3 השנים הקרובות. 7. חברת מיקרוסופט תשקיע 20 מיליארד דולר תוך 5 שנים להרחבת ה-Security by Design של שירותיה, ותתרום למוסדות פדרליים שירותי שיפור של רמת ההגנה בסך 150 מיליון דולר. 8. חברת אמזון תהפוך את תכנית המודעות להגנת סייבר שלה לפומבית והיא תהיה נגישה ללא תשלום. נוסף לכל אלה הוסכם על כמה התחייבויות בתחומי ביטוח הסייבר וההכשרה המקצועית.
חוק אוסטרלי חדש מגדיל את סמכויות סוכנויות האכיפה לבצע פעולות התקפיות בתחום הגנת סייבר
במסגרת ה-Surveillance Legislation Amendment (Identify and Disrupt) Bill 2020 שאושר בפרלמנט, יתאפשר לשתי סוכנויות האכיפה הפדרליות האוסטרליות - ה-AFP (המשטרה הפדרלית) וה-ACIC (הוועדה למודיעין קרימינלי) - לבצע פעולות איסוף אקטיביות במערכות המחשוב של התוקף, פעולות במערכות המחשוב הללו לשיבוש מאגרי המידע שהשיג התוקף (לשם הפחתת נזק) והשתלטות על חשבונות הקשורים בגורמי התקיפה. החוק מציין את השיקולים והמגבלות ביחס לסמכויות אלה, למשל הימנעות מגישה למידע המצוי תחת חיסיון עיתונאי או אחר, או לקיחה בחשבון של נזק כלכלי שיווצר כתוצאה מביצוע הפעולות.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רחל ביניאשוילי, רז ראש, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, רוני עזורי, עמית מוזס וגיא פינקלשטיין.