עדכון שבועי 03.11.2022

עדכון חירום לדפדפן Google Chrome אשר נותן מענה לחולשת Zero-day יפורסם בימים הקרובים 

גרסה 107.0.5304.87 של הדפדפן עבור Mac ו-Linux וגרסה 107.0.5304.87/88 עבור Windows סוגרות חולשה (CVE-2022-3723) מסוג Type Confusion שרמת חומרתה גבוהה, ואשר עלולה לאפשר לתוקף להריץ קוד שרירותי ולהערים על הדפדפן להריץ קוד זדוני. לדברי Google, החולשה מנוצלת באופן פעיל והיא רלוונטית לכל גרסאות המוצר הקודמות לאלה החדשות.
צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו לגרסאותיו החדשות מיד עם שחרורן.

עדכון אבטחה ל-Junos OS נותן מענה למספר חולשות, חלקן ברמת חומרה גבוהה

חלק מהחולשות עלולות לאפשר לתוקף להריץ קוד מרחוק. החולשה בעלת דירוג החומרה הגבוה ביותר (CVE-2022-22241, CVSS 8.1) שנסגרת בעדכון היא מסוג Pre-authenticated PHP Archive File Deserialization ומקורה ברכיב J-Web של המוצר. לדברי פאולוס ייבלו מ-Octagon Networks, אשר גילה את החולשה, היא עלולה להיות מנוצלת על ידי תוקף שאינו מאומת לשם בנייה מחדש של קובצי ה-Phar. הדבר יכול להוביל לכתיבת קובץ שרירותית ולאפשר הרצת קוד מרחוק. חולשה נוספת ברמת חומרה גבוהה (CVE-2022-22246, CVSS 7.5) שנסגרת בעדכון היא מסוג Local File Inclusion, והיא עלולה לאפשר הרצת קוד PHP ממקור שאינו בטוח. לדברי ייבלו, הדבר עשוי לאפשר לתוקף לכלול בהרצה בשרת כל קובץ PHP המאוחסן בו, ובשילוב עם חולשה  אחרת, המאפשרת העלאת קבצים למערכת (ראו בהמשך), היא עלולה להוביל להרצת קוד מרחוק.

עוד התגלו במערכת 3 חולשות ברמת חומרה בינונית:
CVE-2022-22242, CVSS 6.1 - חולשה מסוג Pre-authenticated Reflected XSS בעמוד השגיאה error.php, העלולה לאפשר לתוקף לסנן ב-Junos OS סשנים של אדמין.

CVE-2022-22243 CVSS 4.3 ו-CVE-2022-22244 CVSS 5.3 - חולשות מסוג XPATH Injection, העלולות להיות מנוצלות לגניבת סשנים של אדמין במערכת.

CVE-2022-22245, CVSS 4.3 - חולשה מסוג מעבר בין ספריות, העלולה לאפשר לתוקף מאומת להעלות למערכת קבצי PHP.

צוות קונפידס ממליץ למשתמשים במוצרי Juniper לעדכן את המוצר לגרסתו האחרונה.

עדכון אבטחה לפלטפורמת Melis נותן מענה לחולשות קריטיות

לאחרונה, חוקרי חברת Sonar גילו ב-Melis (מערכת מסחר אלקטרוני וניהול תוכן [CMS] בקוד פתוח) מספר חולשות, החמורה שבהן (CVE-2022-39297, CVSS 9.8) עלולה לאפשר לתוקף להריץ קוד מרחוק (RCE). החולשות רלוונטיות לגרסאות 2.2.0 ו-5.0.0 של הפלטפורמה.

צוות קונפידס ממליץ למשתמשי המערכת לעדכנה לגרסתה האחרונה - 5.0.1.

מענה לא רשמי לחולשת Zero-day ב-Windows 10 המנוצלת כעת

בעת פתיחת קובץ שהורד מהאינטרנט ללא חתימה דיגיטלית המוכרת למיקרוסופט, מערכת ההפעלה Windows תשהה את הרצת הקובץ ותקפיץ התראת אבטחה על מנת לוודא שהמשתמש מעוניין בהרצתו. ההתראה תכלול את שם הקובץ, סוג הקובץ, המוציא לאור (כפי שנלקח מהחתימה הדיגיטלית, אם יש כזו) ונתיבו המלא. ב-18 באוקטובר צייץ בטוויטר חוקר החולשות וויל דורמן אודות חולשת Zero-day המנוצלת כעת על ידי קבוצת התקיפה Magniber ומאפשרת עקיפה של אותה התראת אבטחה והרצה ישירה של הקובץ. ניצול החולשה מתאפשר כאשר יוצרים חתימה דיגיטלית מעוותת לקובץ, שיוצרת שגיאה לא ידועה. במצב כזה, למרות שמקור הקובץ באינטרנט והוא סומן על ידי מערכת ההפעלה ככזה שנדרשת עבורו התראת האבטחה, בעת הרצתו החתימה הדיגיטלית תיצור את השגיאה ותגרום למערכת ההפעלה לדלג על התראת האבטחה ולהריצו ישירות. חושף החולשה ציין שהיא משפיעה על מערכות Windows 10 ומקורה ברכיב החדש Check Apps And Files, שהוצג עם SmartScreen של Windows 10 תחת הגדרות האבטחה של מערכת ההפעלה. כאשר פונקציה זו מבוטלת, מערכת ההפעלה חוזרת לתצורתה המקורית ומציגה את התראת האבטחה ללא התייחסות לחתימה הדיגיטלית שמגיעה עם הקובץ שמנסה להיפתח.

עדכון אבטחה של Red Hat נותן מענה לחולשות ברבים ממוצריה, חלקן ברמת חומרה בינונית
העדכון שפרסמה החברה, המספקת לארגונים פתרונות תוכנה בקוד פתוח, נותן מענה לחולשות ברמת חומרה בינונית ונמוכה שהתגלו במגוון מוצרים, בהם גם: 

Red Hat Enterprise Linux Server - TUS

Red Hat Enterprise Linux Server - AUS

Red Hat Enterprise Linux Server for Power LE - Update Services for SAP Solutions

Red Hat Enterprise Linux for x86_64 - Update Services for SAP Solutions

עבור כל המוצרים עודכנה ליבת המערכת לתיקון חולשה העלולה לאפשר חשיפת מידע באמצעות גישה מקומית. עוד פורסם עדכון אבטחה לחולשה בספריית Libksba, העלולה לאפשר לתוקף להזריק קוד מרחוק.

צוות קונפידס ממליץ למשתמשים במוצרי Red Hat לעיין ברשימת העדכונים המלאה, ובמידת הצורך לעדכן את המוצרים שברשותם לגרסאותים האחרונות, כמפורט כאן.

מוצרים לאוטומציה במפעלים מתוצרת Mitsubishi Electric נמצאו פגיעים לחולשה קריטית 

ענקית האלקטרוניקה דיווחה לסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) על שתי חולשות במוצרים הבאים:
התוכנה GOT2000 compatible HMI
CC-Link IE TSN Industrial Managed Switch
MELSEC iQ-R Series OPC UA Server Module

CVE-2022-1292, CVSS 9.8 - חולשה שניצולה פשוט יחסית, העלולה לאפשר לתוקף להריץ קוד מרחוק (RCE).

CVE-2022-0778, CVSS 7.5 - חולשה העלולה לאפשר לתוקף לבצע מתקפת מניעת שירות (DDoS).

עוד דיווחה ה-CISA שהמוצרים הפגיעים נמצאים בתפוצה עולמית ונעשה בהם שימוש על ידי מגזרים בעלי חשיבות קריטית.

צוות קונפידס ממליץ לכל בעלי המוצרים הפגיעים לסגור את החולשות בהקדם על ידי יישום הוראות היצרן המופיעות בידיעון האבטחה שפרסמה Mitsubishi Electric.

עדכון אבטחה לספריית OpenSSL שיפורסם בשבוע הבא ייתן מענה לשתי חולשות, אחת מהן קריטית

על פי ציוץ בטוויטר של מארק קוקס, מהנדס תוכנה ב-Red Hat וסמנכ"ל האבטחה של Apache Software Foundation, העדכון ישוחרר ב-8 בנובמבר. OpenSSL היא ספרייה חינמית המצפינה את תעבורת התקשורת ברשתות מחשבים ומגנה על התוכן מפני האזנה או זיהוי הצד שבקצה השני, כל זאת באמצעות יישום של פרוטוקולי SSL ו-TLS. הספרייה נמצאת בשימוש נרחב על ידי שרתי אינטרנט, לרבות מרבית אתרי ה-HTTPS, והיא זמינה עבור המערכות Windows ,macOS ,BSD ו-Linux.

החולשה הקריטית (CVE-2022-3602) שנסגרת בעדכון עלולה לאפשר לתוקף להריץ קוד מרחוק (RCE) על ידי ניצול פגם במנגנון אימות התעודות, כל זאת באמצעות תעודות שהוכנו מראש עבור ניצול הפגם ואשר מכילות קוד זדוני בפורמט Punycode (ייצוג של מחרוזות Unicode באמצעות תווי ASCII), המפוענח ומבוצע על ידי OpenSSL.

החולשה השנייה (CVE-2022-3786) שנסגרת בעדכון היא ברמת חומרה גבוהה, והיא עלולה לאפשר לתוקף לבצע מתקפת מניעת שירות (DDoS) באמצעות ניצול פגם בפונקציה הנמצאת בקוד: כאשר מתווספת נקודה (״.״) לסוף ה-Punycode, היא עשויה לצאת מגבולות הזיכרון המוקצה לה. אי לכך, הוספת מספר רב של נקודות יביא ל-Buffer overflow, שימנע שירות מהשרת הנגוע. 

מכיוון שהחולשה הראשונה סווגה כקריטית, והיות שספריית OpenSSL הינה נפוצה ביותר, סביר שבעתיד הקרוב היא תנוצל ותופץ באופן רוחבי. 

צוות קונפידס ממליץ להטמיע את העדכון בסמוך לפרסומו.

עדכוני אבטחה של חברת Cisco נותנים מענה ל-15 חולשות, חלקן ברמת חומרה גבוהה

העדכונים שפרסמה החברה ב-2 בנובמבר רלוונטיים למוצרים ISE - Identity Services Engine, BroadWorks CommPilot Application Software, Email Security Appliance ו-Cisco Umbrella. כמו כן, החברה פרסמה עדכונים למוצריה המושפעים מחולשות שהתגלו בספריית OpenSSL.

במוצר ISE נמצאו 5 חולשות שונות ברמות חומרה בינונית וגבוהה, החמורה שבהן (CVE-2022-20961, CVSS 8.8), שמקורה בממשק האינטרנטי, היא מסוג (Cross-site request forgery (CSRF והיא עלולה לאפשר לתוקף שאינו מאומת לבצע פעולות בשמו של הקורבן באתרים שונים ועל גבי מכשיר פגיע.

במוצר BroadWorks CommPilot Application נמצאו 2 חולשות ברמת חומרה גבוהה, החמורה שבהן (CVE-2022-20958, CVSS 8.3), שמקורה בממשק האינטרנטי, עלולה לאפשר לתוקף מאומת להריץ פקודות קוד מרחוק על מכשיר פגיע.

במוצר Email Security Appliance נמצאו 4 חולשות ברמות חומרה בינונית וגבוהה, החמורה שבהן (CVE-2022-20867, CVSS 4.7), שמקורה בניהול ממשק הדור הבא (Next-generation UI management), עלולה לאפשר הזרקת קוד בהרשאות Root במכשיר פגיע.

במוצר Cisco Umbrella נמצאה חולשה אחת (CVE-2022-20969, CVSS 4.8), שרמת חומרתה בינונית. מקור החולשה בניהול דפי המוצר והיא עלולה לאפשר לתוקף מאומת לבצע מתקפת XSS נגד משתמשיו.

החולשות שנמצאו ב-OpenSSL עלולות לאפשר לתוקף מרוחק להריץ פקודות זדוניות על מכשיר פגיע. עדכון האבטחה מכיל רשימות של מוצרים שהחולשה משפיעה עליהם, מוצרים שהחולשה אינה משפיעה עליהם ומוצרים שעדיין נבדק אם החולשה משפיעה עליהם.

צוות קונפידס ממליץ למשתמשים במוצרי Cisco לעיין ברשימת העדכונים שפורסמה, ובמידת הצורך לעדכנם לגרסאותיהם האחרונות.

עדכון אבטחה למוצרי הגיבוי של ConnectWise נותן מענה לחולשה קריטית

ConnectWise הינה פלטפורמת ניהול שירותי IT. החולשה, שהתגלתה במוצרים ConnectWise Recover ו-R1Soft Server Backup Manager, היא מסוג CWE-74 והיא עלולה לאפשר לתוקף להריץ קוד מרחוק ולגשת לנתונים רגישים. החולשה מתבטאת בנטרול לא תקין של אלמנטים מיוחדים בפלט בו עושה שימוש רכיב ה-Upstream, ומקורה בחולשה (CVE-2022-36537, CVSS 7.5) המאפשרת עקיפת אימות ב-Upstream בקוד הפתוח ZK.

מדוח מפורט שפרסמה חברת האבטחה Huntress עולה שהיא זיהתה יותר מ-5,000 מקרים של Server Backup Manager חשופים, דבר העלול לסכן חברות דרך שרשרת האספקה.

העדכונים שיש להטמיע במוצרים:
ConnectWise Recover - החולשה רלוונטית לגרסה v2.9.7 וגרסאות מוקדמות יותר - יש לעדכן לגרסה v2.9.9.

R1Soft - החולשה רלוונטית לגרסה SBM v6.16.3 וגרסאות מוקדמות יותר - יש לעדכן לגרסה v6.16.4.

צוות קונפידס ממליץ לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.

עדכון אבטחה ל-Sanitization Management System נותן מענה לחולשה ברמת חומרה גבוהה

החולשה החדשה (CVE-2022-43355, CVSS 7.2) הינה מסוג SQL Injection ועלולה לאפשר לתוקף מאומת במערכת לשלוח שאילתות SQL זדוניות אל סקריפט ה-PHP שנמצא ב-URL זה: /php-sms/classes/Master.php, כל זאת על ידי עריכת הפרמטר id כך שתתאפשר צפייה, מחיקה והוספת ערכים המצוים ב-Database שב-Backend האתר.

עדכון אבטחה למוצרי Fortinet נותן מענה לחולשה ברמת חומרה גבוהה

החולשה (CVE-2022-39950, CVSS 7.6) התגלתה בגרסאות הישנות הבאות של המוצרים FortiManager ו-FortiAnalyzer:

7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.4.8, 6.4.7, 6.4.6, 6.4.5, 6.4.4, 6.4.3, 6.4.2, 6.4.1, 6.4.0, 6.2.9, 6.2.8, 6.2.7, 6.2.6, 6.2.5, 6.2.4, 6.2.3, 6.2.2, 6.2.1, 6.2.0, 6.0.9, 6.0.8, 6.0.7, 6.0.6, 6.0.5, 6.0.4, 6.0.3, 6.0.2, 6.0.11, 6.0.10, 6.0.1, 6.0.0

מקור החולשה באימות לקוי של קלט בתבניות הדיווח של שני המוצרים, והיא עלולה לאפשר לתוקף בעל הרשאות נמוכות לבצע מתקפת XSS על ידי שליחת תגובה ״מוגנת״ בעזרת CKEditor. 
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.  

ספקית התקשורת Twilio, שחוותה אירוע אבטחה באוגוסט השנה, חושפת שחוותה אירוע נוסף בחודש יוני
לדברי החברה, מדובר ב"תקרית אבטחה קצרה" שבוצעה על ידי אותו גורם שעמד מאחורי הפריצה באוגוסט, בה הושגה גישה לא-מורשית למידע של לקוחות (ראו ״הסייבר״, 11.8.22 ו״הסייבר״, 1.9.22). האירוע הראשון התרחש ב-29 ביוני, כך התברר השבוע מסיכום ממצאי חקירת הפריצה שאירעה באוגוסט, כאשר לדברי Twilio אחד מעובדי החברה נפל קורבן למתקפת וישינג (פישינג באמצעות שיחת טלפון) וסיפק לגורם זדוני את פרטי ההתחברות למשתמש שלו. הדבר איפשר לתוקף לגשת למערכות פנימיות של החברה ולצפות במידע של מספר לקוחות, כאשר החברה הצליחה לזהות ולחסום את גישתו תוך 12 שעות והודיעה על האירוע ללקוחות שפרטיהם נחשפו. בשעה זו לא ידוע כמה לקוחות נפגעו בתקיפה שבוצעה ביוני, או מדוע החברה דיווחה על התרחשותה רק כעבור ארבעה חודשים. בתוך כך, Twilio עדכנה שבפריצה האחרונה, שאירעה באוגוסט, נחשף מידע של 209 לקוחות, ולא 163, כפי שפורסם ב-24 באוגוסט.

חברת הנחושת הגדולה באירופה והשנייה בגודלה בעולם חווה מתקפת סייבר על מערכות המידע שלה

המתקפה שחוותה חברת Aurubis בליל ה-28 באוקטובר אילצה את אנשי ה-IT של החברה להשבית מספר מערכות ולנתקן מהרשת, כאמצעי מניעה ראשוני. בשעה זו החברה פועלת להערכת הנזקים שנגרמו כתוצאה מהתקיפה, אך לדבריה פס הייצור והבקרה על הסחורות היוצאות והנכנסות פועלים כסדרם.

בולגריה: מוסדות הממשלה נפגעו במתקפת סייבר המיוחסת לרוסיה

האירוע, שהתרחש בסוף השבוע, דווח בציוץ בטוויטר על ידי התובע הראשי של בולגריה איוואן גשב, כאשר על פי האתר Euractiv מדובר במתקפת מניעת שירות (DDoS) מאסיבית על מספר אתרים של משרדי ממשלה, בהם אתר משרד הפנים, משרד הביטחון, משרד המשפטים ובית המשפט לחוקה. ממשלת בולגריה פתחה בחקירת המקרה והזהירה שההתקפות מאיימות על יסודות המדינה. המתקפה החלה ביום שבת ה-29 באוקטובר, ומומחים מאמינים שבוצעה על ידי תוקפים רוסים. לדברי סגן התובע הראשי ומנהל החקירה הלאומית בוריסלב סראפוב, מחקירה ראשונית עלה שמקור התקיפה במגניטוגורסק, רוסיה, אך לטענתו מידע זה אינו מספיק על מנת לייחס את המתקפה לקבוצת תקיפה או לגוף ספציפי. סראפוב הוסיף כי הרשויות המקומיות זיהו לפחות אדם אחד שהיה מעורב בתקיפה ויבקשו את הסגרתו, למרות שאין ספק, לדבריו, שממשלת רוסיה לא תענה לבקשת הבולגרים. בתוך כך, קבוצת התקיפה הפרו-רוסית Killnet לקחה אחריות על המתקפה וכתבה בעמוד הטלגרם שלה כי מדובר בעונש "על בגידה ברוסיה ואספקת נשק לאוקראינה".

​
בתי הפרלמנט בפולין ובסלובקיה הושבתו בעקבות מתקפת סייבר על רשתות המחשבים שלהם 

המתקפות, שהתרחשו ב-27 באוקטובר, הביאו להשבתת המחשבים וקווי הטלפון של שני בתי הנבחרים, ובכך למניעת קיומן של הצבעות בפרלמנטים. לטענת הפולנים, התקיפה התבצעה ממספר מקומות שונים, אחד מהם הוא ככל הנראה רוסיה. להערכתם, הגורם למתקפה הוא הכרזתה של פולין יום קודם לכן, לפיה המשטר הרוסי הוא ״משטר טרור״. במקביל, יו״ר הפרלמנט הסלובקי בוריס קולאר אמר כי טרם התגבשה הבנה בנוגע למקור הבעיה, וכי הוא סבור שיעלה בידיו של צוות ה-IT של הפרלמנט לפתור אותה.

באג ב-Samsung Galaxy Store עלול היה לאפשר להאקרים להתקין בסתר אפליקציות במכשירים

על פי פרסום של SSD Secure Disclosure, פגם אבטחה שתוקן יכול היה להפעיל את האפשרות להריץ פקודות מרחוק במכשירים סלולריים פגיעים עליהם היתה מותקנת אפליקציית ה-Galaxy Store בגרסה 4.5.32.4. הבאג האמור, שהינו מסוג XSS, מתרחש בעת טיפול ב-Deeplinks מסוימים - קישורים שלחיצה עליהם שולחת את המשתמש ישירות לאפליקציה, במקום לאתר או לחנות ההורדות. הקרדיט על זיהוי הבאג ניתן לחוקר אבטחה עצמאי.
התקפות XSS מאפשרות ליריב להחדיר ולהפעיל קוד JavaScript זדוני בעת ביקור באתר דרך דפדפן או אפליקציה אחרת. מקור הבעיה שזוהתה באפליקציית Galaxy Store הוא באופן התצורה של Deeplinks עבור שירות השיווק והתוכן של סמסונג MCS) Samsung), שעלול להוביל לתרחיש בו מורץ קוד שרירותי המוזרק לאתר MCS.
בהודעתה של SSD Secure Disclosure נאמר כי אי-בדיקת ה-Deeplinks בצורה מאובטחת כאשר משתמש ניגש לקישור מאתר המכיל אותו, עלולה לאפשר לתוקף להפעיל קוד JavaScript ב-Webview של אפליקציית Galaxy Store, ולמנף את הדבר להורדת והתקנת אפליקציות מרובות נוזקות במכשיר Samsung בעת ביקור בקישור. החוקרים ציינו שכדי להצליח לנצל את הבאג ואת שרת הקורבן, ראשית יש צורך לעקוף את פרוטוקולי ה-HTTPS וה-CORS של Chrome

​
שיטת תקיפה חדשה של קבוצת התקיפה הסינית APT10 מכוונת נגד רשויות יפניות

APT10, המתמקדת בתקיפת ארגונים ציבוריים, ממשלתיים, תקשורתיים ודיפלומטיים ביפן, נצפתה משתמשת בקבוצת הנוזקות החדשה LODEINFO, כך על פי פרסומים של חברת Kaspersky. התוקפים מתמקדים בדמויות מפתח ומתחילים את תקיפותיהם בניסיון להביא את הקורבנות, באמצעות Spear phishing, לפתוח קובץ Word זדוני שבתוכו קוד מאקרו, המניע את תהליך הדבקה. בעת הרצת המאקרו, מוצא אל הפועל קוד VBA היוצר קובץ ZIP שבתוכו קובץ DLL זדוני וקובץ הרצה לגיטימי. זה האחרון משמש להרצת קבצי DLL, ולמעשה מאפשר את טעינת קובץ ה-DLL לזיכרון באמצעות מתקפת DLL-Side Loading. ה-Shellcode של LODEINFO נמצא בתוך ה-DLL, כך שבטעינתו לזיכרון התוקפים מקבלים גישה למחשב. זאת ועוד, חוקרי Kaspersky זיהו תהליך הדבקה נוסף שבו נשלח לקורבן קובץ מסוג SFX מכווץ ב-RAR, אשר עם פתיחתו נראה רק קובץ Word תמים. ואולם, מאחורי הקלעים נוצר קובץ ZIP שגם בתוכו מצויים קובץ ההרצה הלגיטימי וקובץ DLL זדוני, שמוזרק לזיכרון באמצעות קובץ ההרצה.
צוות קונפידס ממליץ לנהוג בחשדנות בנוגע לצרופות או לקישורים המתקבלים במייל. בטרם פתיחתם או לחיצה עליהם יש להבין היטב את ההקשר שבגינו נשלחו, ובמידת הצורך לשאול את השולח במה מדובר ולקבל הסבר מספק.

קבוצות כופרה מגבירות את התקיפות נגד ארגונים תעשייתיים ברחבי העולם

על פי דוח שפרסמה חברת Dragos לרבעון השלישי של השנה, תוכנות כופרה ממשיכות להוות את אחד מהסיכונים הפיננסיים והתפעוליים הגדולים ביותר על ארגונים תעשייתיים ברחבי העולם. תחזית החברה, לפיה הרבעון יתאפיין בעלייה בפעילותן קבוצות הכופרה ובשיבוש הפעילות התעשייתית, ובהופעתן של קבוצות כופרה חדשות - התממשה, ובמהלך הרבעון זוהו מספר קבוצות כופרה חדשות הפועלות נגד גופים תעשייתיים, בהן SPARTA BLOG ,BIANLIAN ,Donuts ,ONYX ו-YANLUOWANG. מן הדוח עולות המגמות הבאות: 1. תקיפות הכופרה קשורות לאירועים פוליטיים וכלכליים, כגון הסכסוך בין רוסיה לאוקראינה והמתיחות הפוליטית בין איראן לאלבניה. 2. מתוך 48 קבוצות בתחום, רק 25 היו פעילות במהלך הרבעון השלישי, ומספר התקיפות עמד על 128, לעומת 125 ברבעון שקדם לו. עיקר התקיפות התרחשו בצפון אמריקה ובאירופה. 3. קבוצת LockBit עמדה מאחורי יותר משליש מסך התקריות העולמיות (35%), בעוד שכמה שמות ידועים אחרים התמקדו במגזר האנרגיה. עוד ניכר כי לכל קבוצת תקיפה התמחות שונה (לדוגמה, LockBit 3.0 היא הקבוצה היחידה שהתמקדה בכימיקלים, בקידוחים, באספקה ​​תעשייתית וענף עיצוב הפנים). 4. כ- 68% מהתקפות כוונו נגד מגזר הייצור (88 תקריות), 9% מהן כוונו נגד סקטור המזון והמשקאות (12 תקריות), 6% בוצעו נגד גופים בסקטור הנפט והגז הטבעי (8 תקריות), 10% כוונו אל גופים במגזרי האנרגיה והתרופות, ולבסוף - מגזרי הכימיקלים, הכרייה, ההנדסה ומערכות המים והשפכים חוו מתקפה אח כל אחד. לקראת הרבעון הרביעי, Dragos מעריכה שכופרות ימשיכו לשבש את הפעילות התעשייתית ושיופיעו קבוצות תקיפה נוספות שיתמקדו בארגונים תעשייתיים. 

סייבר בעולם