עדכון שבועי 04.05.2023

עדכון אבטחה למוצרי Zyxel הנותן מענה לחולשה קריטית מסוג Command Injection

חברת Zyxel מפרסמת עדכונים למוצריה הנותנים מענה לחולשה (CVE-2023-28771, CVSS: 9.8) מסוג Command Injection שמקורה במערכת ההפעלה ומשפיעה על מספר מוצרים: ATP, USG FLEX, VPN גרסאות V4.60 עד V5.35 ו-ZyWALL/USG גרסאות V4.60 עד V4.73. החולשה נוצרת בעקבות ניהול לא נכון של הודעות מערכת בחלק מגרסאות ה-Firewall עלולים לאפשר למשתמש לא מאומת להריץ קוד שרירותי על העמדה בתצורה מרוחקת על ידי שליחת תעבורת רשת ייחודית לניצול החולשה. צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאות העדכניות ביותר על פי הוראות היצרן. ATP, USG FLEX, VPN לגרסאות ZLD V5.36 ו-ZyWALL/USG לגרסה V4.73 עדכון 1.

עדכון תוכנה קריטי למוצרי חברת Illumina
החברה שעוסקת בביוטכנולוגיה הוציאה עדכון אבטחה לכמה ממוצריהם  וביניהם עדכון ל Universal Copy Service, חולשה יכולה לאפשר לתוקף לא מאומת לבצע כל פעולה ברמת מערכת ההפעלה, וזה עלול להשפיע על הגדרות, תצורות, תוכנה או נתונים על המוצר המושפע. חולשה זו דורגה כקריטית CVE-2023-1968 CVSS 10.0.

צוות קונפידס ממליץ לכל משתמשי Illumina לעדכן לגרסאות העדכניות בהקדם האפשרי .

עדכוני אבטחה לגוגל כרום עבור 15 חולשות מרמת בינונית על נמוכה בפלטפורמות הדסקטופ והמובייל 

בשבוע האחרון גוגל הפיצה עדכוני לדפדפן גוגל כרום לגרסה 113 עבור אנדרואיד, iOS, ווינדוס, לינוקס ומאק ועדכונים אלה כוללים שיפורים בביצועים, יציבות ועדכוני אבטחה עבור 15 חולשות ובהם CVEs מרמת חולשה נמוכה עד בינונית. תיקונים אלו כוללים תיקון של יישום לא ראוי של מספר פונקציות בדפדפן כרום.
צוות קונפידס ממליץ לעדכן את גרסת דפדפן כרום לעדכנית ביותר.

עדכון אבטחה ל GitLab נותן מענה ל 9 חולשות ברמה חומרה בינונית 

GitLab שחררה את גרסה 15.9.6 ל GitLab Community Edition ואת גרסאות 15.11.1, 15.10.5 לGitLab  Enterprise Edition המתקנות 9 חולשות אשר רובם ברמות בינוניות. חלק מהחושות  הן חולשה המאפשרת הסלמת הרשאות וחולשה מסוג  (Cross-Site Scripting ( XSS.

צוות קונפידס ממליץ לכלל משתמשי מוצרי GitLab לעדכן בהקדם האפשרי לגרסאות האחרונות.

עדכון אבטחה העונה על 13 חולשות ל Apache Spark נותן מענה לחולשות ברמת חומרה קריטית

חברת Apache Spark פרסמה עדכון לחולשות ידועות בכמה  מהשירותים והכלים של שרת ה-Apache. החולשות הבאות (CVE-2022-33891 CVSS 8.8) (CVE-2019-10099 CVSS 9.8) (CVE-2018-17190 CVSS 9.8).

(CVE-2023-22946 CVSS 9.9)  הן חולשות המוגדרות כקריטיות המאפשרות לתוקף להתחזות למשתמש אחר ולקבל את הרשאות המשתמש ומפתח המאסטר של המשתמש בהתחברות ל-console , בנוסף התוקף יקבל אפשרות להריץ פקודות שרירותיות בשלל מערכות. שאר החולשות הן חולשות ברמת חומרה נמוכה ובינונית.
הגרסאות המושפעות מחולשות אלה הן 3.2.0 , 3.2.1 , 3.1.3 וכל הגרסאות שיצאו לפניה.
צוות קונפידס ממליץ לכלל משתמשי מוצרי Apache Spark לעדכן בהקדם לגרסאות האחרונות.

קבוצת התקיפה FIN7 מצאה חולשה בשרתי הגיבוי של Veeam

לקראת סוף מרץ קבוצת התקיפה המכונה FIN7, החלה להתמקד בתוכנת הגיבוי והשכפול של (Veeam (VBR. ההתקפות התרחשו לאחר שבוע מפרסום הפגיעות (CVE-2023-27532) ב-VBR שחושפת אישורים מוצפנים המאוחסנים בתצורת VBR למשתמשים שאינם מאומתים. חולשה זו עלולה לאפשר לתוקפים גישה לשרתי הגיבוי. התוקפים השתמשו בכלים וטקטיקות שונות כדי לחדור ללשרתי הגיבוי של Veeam, כולל הפעלת סקריפטים של PowerShell וביצוע תנועה רוחבית ברשתם באמצעות האישורים הגנובים. טקטיקות אלו נצפו בהתקפות קודמות שיוחסו ל-FIN7, ושמות הסקריפטים של PowerShell ששימשו בהתקפה זו היו עקביים עם התקפות FIN7 קודמות. לפי דבריה של חברת WithSecure, שדיווחה על המתקפה נמסר כי ההאקרים השתמשו בפקודות שונות ובסקריפטים מותאמים אישית כדי לאסוף מידע, עוד הוסיפה שמטרתם הסופית של מתקפות אלו עדיין לא ברורה והחשד הוא שקבוצת התקיפה התכוונה לפרוס גם תוכנות כופר בשרתים אליהם הצליחה לחדור.

צוות קונדפידס ממליץ למשתמשי המוצר לבצע עידכון גירסה לתוכנה לגירסת האחרונה כפי שפורסם על ידי חברת Veeam על מנת להימנע מפגיעות לחולשה זו.

זוהתה ערכת כלים זדונית חדשה בשם "DecoyDog" המאפשרת התחמקות ממערכות הגנה על ידי שימוש בבקשות DNS

מאמר חדש של חברת Infoblox מדווח על ערכת כלים זדונית חדשה בשם "DecoyDog" שנמצאת בשימוש על ידי תוקפים כדי להתחמק מגילוי ממערכות הגנה המנטרות תעבורת רשת. חברת Infoblox מנתחת מעל 70 מיליון בקשות DNS מידי יום. ערכת הכלים "DecoyDog" שזיהתה החברה משתמשת בשאילתות DNS כדי להסתיר את התקשורת עם שרתי C2 בבעלות התוקפים על ידי יצירת תעבורת רשת המחקה תעבורת רשת לגיטימית הנמצאת בכל עמדה. עם זאת, חברת Infoblox עדיין הצליחה לזהות פעילות זו על ידי ניתוח שאילתות DNS עבור דפוסי התנהגות שאינם תואמים לתעבורת רשת רגילה. המאמר מספק כמה דוגמאות לתעבורת DNS חריגה הקשורה לערכת הכלים ״DecoyDog״. צוות קונפידס ממליץ לארגונים להטמיע כלי הגנה המנטרים תעבורת רשת, ישנם כלים המשתמשים במנועי בינה מלאכותית על מנת לזהות דפוסי פעולה מסוימים וככה מצליחים לזהות תקשורת חריגה מסוג זה.

חודש מרץ 2023 שבר את שיא מתקפות הכופר לחודש אחד
על פי אנליסטים מקבוצת NCC, בחודש מרץ 2023 נרשמו 459 מתקפות כופר ידועות, מה שמסמן על מגמת עלייה של 91 אחוזים לעומת חודש פברואר ועלייה של 62 אחוזים לעומת חודש מרץ 2022. על פי הדוח שהוציאה קבוצת NCC, הסיבה העיקרית לעלייה זו היא חולשת Zero-Day ב-Forta GoAnywhere MFT(כלי להעברת קבצים בצורה בטוחה). חולשה זו רשומה כ-CVE-2023-0669 עם ציון CVSS של 7.2 המוגדר גבוה. ניצול חולשה זו הוביל לגניבת מידע. ניצול החולשה הוביל לגניבת מידע מ-130 ארגונים תוך 10 ימים. קבוצת התקיפה שביצעה את מירב המתקפות בחודש מרץ 2023 הייתה Clop Group, לאחר מכן קבוצת LockBit 3.0 ושאר הקבוצות האחרות שביצעו התקפות: Royal Ransomware, BlackCat, Bianlian, Stormous, Medusa, Ransomhouse.

הסקטור שנפגע הכי הרבה ממתקפות כופר בחודש מרץ 2023 הוא סקטור התעשייה הכולל תחתיו חברות בנייה, הנדסה לוגיסטיקה ועוד… סקטור זה הוא 32 אחוזים מכלל מתקפות הכופר הבוצעו בחודש זה. אמנם חלק מהסקטורים יכולים להיות יותר פגיעים מאחרים. צוות קונפידס ממליץ לכלל הארגונים לנקוט בצעדים ההכרחיים לצמצום הסיכון להיות קורבן למתקפת כופר. צעדים אלו כוללים יישום הגדרות ועדכוני אבטחה, מידור וניטור של הרשת ועוד.

קבוצת הכופרה Royal ransomware ביצעו תקיפה מוצלחת על מערכות העיר של דאלאס, טקסס

עיריית דאלאס טקסס שהיא העיר התשיעית בגודלה בארצות הברית עם אוכלוסיה של כ 2.6 מיליון איש עברה אירוע של מתקפת כופרה שבוצעה על ידי קבוצת הכופרה Royal ransomware. על פי דיווחים במדיה המקומית עיריית דאלאס נאלצה להשבית ביום שני חלק מתשתיות ה IT שלה בעקבות מתקפת כופרה שעוברת ובמטרה למנוע את התפשטות המתקפה, כחלק מהשירותים שנפגעו שירותי התקשורת וה IT של משטרת העיר דאלאס הושבתו כתוצאה מהתקיפה דבר זה הוביל לכך שטלפניות של מוקד החירום של המשטרה (911) כתבו והעבירו ידנית דיווחים שהתקבלו במוקד במקום להעביר דיווחים אלו באמצעות המערכות הממוחשבות, בנוסף אתר האינטרנט של משטרת דאלאס גם הורד בעקבות המתקפה אך כבר חזר לפעילות. היקף הפגיעה עדיין לא ברור בשלב זה ונבדק על ידי העירייה. בנוסף על פי מקורות של אתר החדשות BleepingComputer נמסר כי מדפסות המחוברות לרשת של העירייה התחילו להדפיס את מכתב הכופרה של קבוצת התקיפה. אופן הגישה הראשונית של קבוצת התקיפה לא פורסם בשלב זה, עם זאת קבוצת הכופרה Royal ransomware ידועים בשימוש במכשירים שפתוחים לאינטרנט אך גם מבצעים שימוש במתקפות דיוג (פישינג) ומתקפות callback phishing כחלק מטקטיקות התקיפה הראשונית של הקבוצה וסביר להניח שגם במקרה זה בוצע שימוש באחד מטקטיקות אלו על מנת להשיג גישה ראשונית לרשת העירייה.  

​

​

​

​

​

​

​

​

​

​

  (מכתב הכופרה שהודפס במדפסות הרשת של העירייה - מקור BleepingComputer)​

סייבר בעולם

דיווח חדש מעדכן כי הפריצה ל- Solarwinds התגלתה כחצי שנה לפני הפרסום הראשוני 

פרסום חדש מגלה כי משרד המשפטים של ארה״ב היה הראשון לזהות התנהגות חשודה של מערכת Solarwinds עוד במאי 2020, כחצי שנה לפני הפרסום העולמי. בהמשך לדיווחים הרבים בהקשר הפריצה המפורסמת, השבוע התפרסם כי במאי 2020, משרה מהשפטים האמריקאי זיהה תעבורת רשת חריגה שמקורה באחד השרתים שהפעילו גרסת ניסיון של חבילת התוכנה Orion מתוצרת SolarWinds. לאחר שהחלו החשדות בתעבורת רשת זו, החלו לבדוק את הנושא. השרת עליו הייתה מותקנת התוכנה, יצר תקשורת חיצונית עם מערכת לא מוכרת באינטרנט. משרד המשפטים שזיהה את התעבורה החשודה, ביקש מחברת אבטחת המידע Mandiant לעזור בחקירה ולקבוע האם השרת נפרץ. חברת Solarwinds שפיתחה את המוצר  Orion המשמש אנשי IT לניהול וניטור הרשת של הארגון מוטמעת בהרבה חברות והחשד היה שהאקרים רוסיים החדירו קוד לתוכנה של Solarwinds וביצעו שימוש ב-​​ supernova וב- sunburstֿ, עד היום לא ידוע איך זה נעשה ומה הייתה המטרה מאחורי פעולות אלו.
בזמנו חברת Solarwinds המליצו לעדכן את התוכנה, כאשר הגרסאות הפגיעות הן:
Orion Platform versions 2019.4 HF 5, 2020.2 with no hotfix installed, or with 2020.2 HF 1

CISA מוסיפה 3 חולשות לקטלוג החולשות המנוצלות שלה

הסוכנות האמריקאית להגנת סייבר ותשתיות הוסיפה השבוע ל ״קטלוג החולשות המנוצלות״ שהיא מתחזקת שלושה חולשות חדשות.

CVE-2023-1389 CVSS 8.8 - היא חולשה שנמצאה בנתבים מסוג TP-Link Archer AX21 ו AX1800 שהחברה מייצרת, בניצול מוצלח שלך החולשה תוקף יוכל לבצע ״הזרקת״ פקודות למערכת ללא צורך של התוקף בפרטי אימות (שם משתמש וסיסמא), פקודות אלו ירוצו ברמת הרשאות Root במערכת.

CVE-2021-45046 CVSS 9.0 - חולשה קריטית שנמצאה ב Apache Log4j בגירסה 2.15.0 בניצול מוצלח של חולשה זו תוקף יכול הרצת קוד מרחוק והרצת קוד מקומית (תלוי בסביבה בה עובד).

CVE-2023-21839 CVSS 7.5 - חולשה שנמצאה ב Oracle WebLogic Server מבית חברת Oracle ומשפיעה על גירסאות 12.2.1.3.0, 12.2.1.4.0 ו 14.1.1.0.0. חולשה זו יכולה לאפשר לתוקף לא מאומת עם גישה לרשת באמצעות T3 או IIOP לגשת למידע קריטי במערכת וגם לקבל גישה מלאה למערכת.

צוות קונפידס ממליץ למשתמשי מוצרים אלו לבצע עידכון גירסה למוצרים אלו לגירסתם האחרונה על מנת לצמצם את החשיפה לתקיפה באמצעות חולשות אלו. 

קבוצת התקיפה ALPHV פרסמה מידע פנימי של Western Digital ומאיימת לפרסם מידע נוסף

קבוצת התקיפה ALPHV הידועה גם בשם BlackCat פרסמה חלק ממידע פנימי של חברת Western Digital אליהם פרצו בחודש מרץ ובפריצה זו נגנב מידע מהרשת הפנימית שלהם ומאז לא שילמו את דמי הכופר הנדרשו מהתוקפים. ההדלפה הנוכחית יכולה להעיד על כך שלתוקפים ייתכן ועדיין יש גישה למערכות החברה ומטרת ההדלפה הנוכחית היא סביר להניח על מנת לזרז ולשכנע לשלם את דמי הכופר. למרות שהחברה סגרה את כל שירותי הענן שלה למשך שבועיים בצורה יזומה, התוקפים פרסמו דוגמאות למידע שנגנב מההתקפה הכולל בין היתר קבצים חתומים על ידי החברה, מספרי טלפון וצילומי מסך של התכתבויות מייל פנימיות והקלטות של ועידות פנימיות הקשורות לתגובת החברה על המתקפה בחודש מרץ. ALPHV טוענים שבידיהם מידע אישי של לקוחות וגיבוי מלא של יישום ה-SAP Backoffice של החברה ומאיימים להפיץ עוד מידע גנוב אם התשלום לא ייעשה.

חברת T-Mobile מדווחת על דלף מידע
T-Mobile מסרה ביום שני האחרון למשרד המשפטים במדינת מיין שבארה"ב, כי חוותה פריצה שחשפה מספרי PIN של חשבונות T-Mobile ונתונים אישיים נוספים בפריצה השנייה לרשת של החברה השנה והתשיעית מאז 2018. החדירה, שהחלה ב-24 בפברואר ונמשכה עד 30 במרץ, פגעה ב-836 לקוחות, לפי הודעה באתר של התובע הכללי של מיין. החברה גם מסרה במכתב שנשלח ללקוחות שנפגעו כי "המידע שהושג עבור כל לקוח היה שונה אך עשוי לכלול שם מלא, פרטי קשר, מספר חשבון ומספרי טלפון, PIN של חשבון T-Mobile, מספר תעודת זהות, תעודת זהות ממשלתית ותאריך לידה". T-Mobile הודיעה שבהמשך לגילוי הפריצה, היא איפסה את מספרי ה-PIN של חשבונות שהלקוחות משתמשים בהם כדי להחליף כרטיסי SIM וגםלאשר שינויים חשובים אחרים בחשבונות שלהם.

האקרים רוסים משתמשים ב-WinRar למחיקת מידע במערכות ממשלתיות של אוקראינה

קבוצת התקיפה הרוסית המקושרת לקרמלין ״Sandworm" קושרה למתקפות על מוסדות ממשלתיים של אוקראינה בהן נעשה שימוש בתוכנת הכיווץ WinRar על מנת למחוק את המידע הרגיש מהמערכות. ה-CERT האוקראיני בפרסום חדש מודיע כי קבוצת התקיפה הצליחה לפרוץ למשתמשי VPN של עובדים ממשלתיים אשר לא הפעילו אימות דו-שלבי בחשבונם, לאחר מכן השתמשו התוקפים בסקריפטים למציאת קבצים רגישים מהסוגים הבאים בתיקיות המערכת: doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin ו-dat. יש לציין שהתוקפים השתמשו בסקריפטים מסוג BAT למערכות Windows ומסוג Bash למערכות Linux. לאחר מציאת אותם ורישום נתיבם במאגר מקומי החלו התוקפים לכווץ את הקבצים כולם בתוך ארכיוני של WinRar. אך בעת הרצת תוכנת ה-WinRar השתמשו התוקפים בפרמטר df- אשר גורם למחיקת הקבצים מהתיקייה המקומית על העמדה לאחר כיווצם אל תוך ארכיון ה-WinRar ולאחר מכן מחקו את קבצי ה-WinRar המכווצים, מה שהוביל בסופו של דבר למחיקת הקבצים לגמרי מהעמדות. לסקריפט הזדוני נתנו אנשי המחקר של ה-CERT האקוראיני את השם RoarBAT, והרצתו על העמדה התבצעה באמצעות משימה מתוזמנת אשר הריצה את הסקריפט לאחר השגת הגישה הראשונית של התוקפים אל העמדות. בעמדות מסוג Linux השתמשו התוקפים בכלי dd על מנת למחוק את כלל הקבצים שנמצאו על העמדה בשלה הזיהוי לאחר השגת האחיזה הראשונית. ב-CERT האקוראיני מדווחים כי מתקפה זו זהה במאפייניה למתקפה שאירעה מוקדם יותר השנה בחודש ינואר על ״Unkrinform" רשת חדשות ממשלתית, אשר קושרה גם היא לקבוצת התקיפה הרוסית "Sandworm".

סייבר בגופי בריאות

ארה״ב: חשד לדלף מידע בחברת ביטוחי הבריאות UnitedHealthcare 

מבוטחים של חברת ביטוחי הבריאות מצפון קרוליינה, United Healthcare, קיבלו ביום שבת ה-28 באפריל הודעה מהחברה על פעילות חשודה שזוהתה ביישומון שלה, שגרמה, ככל הנראה, לדלף מידע אישי. מדובר בנתונים  שכוללים שמות, מספרי חבר קופת חולים, תאריכי לידה, כתובת, תאריכי השירות, ושמות הספקים שהמבוטח מקבל מהם שירות דרך המבטח. UnitedHealthcare מסרה כי נצפתה פעילות חשודה באפליקציה שמפעילה החברה, שככל הנראה הובילה לחשיפת המידע. פירצת הנתונים התרחשה בין ה-19 בפברואר ל-25 בפברואר, וב-10 באפריל התגלה כי מידע של לקוחות הושפע מהאירוע. בתגובה היא נעלה את חשבון הפורטל למבוטחים שלגביהם קיים חשד לדלף, ושכעת עליהם לאפס סיסמה. החברה עדכנה שהיישומון שלה נפל קורבן למתקפת סייבר מסוג ׳מילוי אישורים׳ (credential-stuffing attack). במתקפה מהסוג הזה, האקרים מבצעים את פעולת התקיפה ודלף המידע יעדי השגת רשימות של אישורי משתמש שהודלפו ממקורות שונים - כלומר, שמות משתמשים וסיסמאות שנחשפו. במתקפה קודמת, מתוך השערה מצד ההאקרים כי שמשתמשים רבים עושים שימוש חוזר באותו שם המשתמש והסיסמא שלהם במספר שירותים שונים. 

​

ארה״ב: מתקפת כופרה על Atlantic Eye Center בניו ג׳רסי

ב- 26 באפריל פורסמה בטוויטר הודעת כופר המיועדת לארגון Atlantic Eye Center. לארגון ארבעה סניפים במדינת ניו ג׳רסי שבארה״ב, בהם מתבצעים טיפולי עיניים מקיפים וניתוחים. בהודעה התוקפים טוענים כי בחזקתם בסיס הנתונים עם מידע אישי ורפואי של מטופלים, ומידע נוסף שהודלף משרת הקבצים של הארגון. התוקפים מאיימים כי אי-היענות של הארגון לנהל איתם משא ומתן עד ה- 5 למאי 2023 תביא לפרסום כלל המידע למי שישלם את המחיר הגבוה ביותר. התוקפים לא נקטו בסכום כופר ספציפי עד כה.

ֿ

קבוצת הכופר ALPHV הוסיפה לרשימת הקורבנות שלה את המתקפה על חברת Transformative Healthcare

Transformative Healthcare היא חברה העוסקת במתן פתרונות מתקדמים לרפואה דיגיטליים. בתאריך 26 באפריל פורסם כי החברה הותקפה על ידי קבוצת הכופר ALPHV. הקבוצה טוענת שיש לה גישה ל-1TB של נתונים בהם החזיקה החברה, כולל מידע על שותפים, דוחות רפואיים, ודוחות פרמדיקים. 

ארה״ב: בית חולים מאינדיאנה ממשיך לספוג נזקים כספיים כתוצאה ממתקפת כופר שקרתה בשנת 21'  

צוותי בית החולים Johnson Memorial Health עובדים כבר חצי שנה בניסיון להחזיר את פעילות בית החולים לשגרה, לאחר שקבוצת התוקפים Hive תקפה את הרשת של הארגון בחודש אוקטובר 2021. למרות שעברו שנתיים מאז המתקפה, בית החולים עדיין פועל תחת ההשפעותיה,  כפי שדיווחה רשת התקשורת Side Effects Public Media. בשעת המתקפה, קבוצת הכופר Hive תקפה את בית החולים ודרשה כופר בסך 3 מיליון דולר בביטקוין, מה שגרם למחלקת הרפואה הדחופה של בית החולים להסיט אמבולנסים למקומות אחרים, ואילצה חלק מהמערכות הקריטיות שלה לעבור למצב לא מקוון, כולל מערכת הרשומות הרפואיות שלה. השפעות התקיפה נמשכו חודשים עבור בית החולים. "החיים שלנו היו כאוס מוחלט והייתה מהומה במשך חודשים ארוכים", אמרה דונה תומס, אחות במיון בית החולים. במהלך התקיפה, שערי יחידת המיילדות עברה למצב לא מקוון ולא יכלו להיפתח עקב המתקפה, מה שגרם לצוות בית החולים להיאלץ לשמור פיזית על הדלתות. בית החולים התחבר מחדש בהדרגה את מערכותיו לאחר פעולות הכלה וזיכוי. כעת נשארו לטיול הצוות השפעות ארוכות טווח. 

חברה רוסית בשם Gleg מוכרת דרכים לניצול חולשות Zero Day לסקטור הרפואי

מתקפת Zero Day  היא ניצול של פגם אבטחה במערכת. פגיעויות אלו מוכרות רק למי שגילה אותן, והמתקפה מתרחשת באופן מיידי ללא יכולת לזהות את התוקף או לתקן את הנזק. פגמי אבטחה הם מצרך מבוקש עבור חוקרים, פושעים או ממשלות. חברה רוסית מציעה חשיפת החולשות לספקי  תוכנות רפואיות, שחלקן נמצאות בשימוש בבתי חולים, עבור תשלום. 

חברת Gleg מציעה מספר חבילות שונות ללקוחות, ביניהן MedPack הכוללת נקודות תורפה של  תוכנה רפואית. מנוי לשנה עומד על  4,000 דולר, ובתמורה תספק החברה ללקוח 25 חולשות בשנה, רובן מאופיינות כ Zero Day.  בסרטון, החברה מראה ניצול חולשה נגד מערכות המידע של בית חולים, ורשימה של עדכוני Medpack הכוללת צורך להחלפת קבצים בתוכנת חברה בשם Meditex, שמהווה פלטפורמה לתיעוד טיפול רפואי.

MedPack נועדה לשימש בעזרת Canvas, כלי המשמש למבדקי חדירה של חברת אבטחת הסייבר Immunity Inc. על ידי כך, מתבצע תשלום על מנת לבדוק את אבטחת הסייבר של מרכז רפואי או בית חולים ולחשוף את הפגיעויות. כשפרטי הפגיעויות אינם ידועים לספק, הם פתוחים לניצול פוטנציאלי של תוקפים שעלולים להדאיג את סקטור הרפואה ובתי חולים המשתמשים בתוכנות המדוברות. 

מנהל המזון והתרופות האמריקאי ( FDA) הצהיר כי הוא מעודד חשיפה פגיעויות אבטחת סייבר במגזר הרפואי, אשר עשויות לפגוע בבריאות חולים ומטופלים. מוקדם יותר החודש הארגון פרסם תוכנית בנושא בטיחות ואבטחת סייבר של מכשור רפואי . 

ֿג׳ון דימאג׳יו, אנליסט בכיר ב Symantec Security Response,  טוען כי למרות שחולשות Zero Day  עשויות לאפשר לתוקף גישה למידע של הקרבן, בדרך כלל מוסדות רפואיים לא נתקפים באופן זה. בדרך כלל מתקפות מוסדות רפואיים נשענות על חולשות ישנות יותר שניתן למנף בקלות נגד מערכות רפואיות שמבוססות על מערכות הפעלה ישנות. לדבריו התעשייה הרפואית משתמשת בטכנולוגיות ותיקות עבור מכשירי רנטגן ו MRI ולכן אין צורך בניצול חולשות Zero Day על מנת לבצע מתקפה. 

​

ארה״ב: חשד לדלף מידע של 783 אלף חולים בסטארטאפ בריאות הנפש לילדים
חברת Brightline מזהירה מטופלים כי היא סבלה מפרצת מידע שהשפיעה על 783,606 לקוחות שלה לפי פורטל הפרצות של משרד הבריאות ושירותי האנוש האמריקאי. המתקפה על החברה, המספקת שירותים וירטואליים בתחום בריאות הנפש לילדים, בני נוער ובני משפחותיהם, בוצעה על ידי קבוצת הכופר Clop. קבוצת התקיפה השתמשה בחולשת 'zero day' (חולשה CVE-2023-0669) בפלטפורמת שיתוף הקבצים המאובטחת Fortra GoAnywhere MFT כדי לגנוב נתונים מ-130 חברות.

ב'הודעת הדיווח׳  שפורסמה באתר החברה, Brightline אישרה שנגנבו נתונים משירות GoAnywhere MFT אשר בשימוש החברה שהכיל מידע בריאותי מוגן. 

לפי העדכון האחרון של Fortra על חקירתה, התוקפים השתמשו בחולשה הזו מאז ה-18 בינואר 2023. החקירה הפנימית של Brightline העלתה כי הנתונים שנגנבו במתקפת הכופרה כללו את המידע האישי הבא: שמות מלאים, כתובות פיזיות, תאריכי לידה, מספרי זיהוי של חברים, תאריך כיסוי קופת החולים ושמות מעסיקים.

"Fortra השביתה את האישורים של המשתמש הבלתי מורשה, ובנתה מחדש את הגרסה שלנו כך שהיא לא הייתה פגיעה יותר", נכתב בדיווח: "הטמענו אמצעי אבטחה נוספים, כולל הגבלת גישה מתמשכת למשתמשים מאומתים, הסרת כל הנתונים שלנו מהשירות וצמצום חשיפת הנתונים עד לזיהוי ויישום פתרון חלופי להעברת קבצים". שותפויות נרחבות של ברייטליין עם מכוני בריאות וחברות בארה"ב הביאו לכך שאירוע האבטחה השפיע על מוסדות כמו אוניברסיטת הרווארד, אוניברסיטת סטנפורד, בית החולים לילדים של בוסטון ומוסדות רבים אחרים. 

סייבר בישראל

קבוצת ״אנונימוס סודן״ הודיעה כי תקפה מספר אתרים ישראליים ביניהם אתרים של מפלגות בכנסת ואתר השירותים הממשלתי הרשמי

קבוצת ההאקטיביסטים ״אנונימוס סודן״ הודיעה בחשבון הטלגרם שלה כי הצליחה להפיל מספר אתרי אינטרנט ישראליים השייכים למפלגות המכהנות בכנסת. בין האתרים אליהם לא התאפשרה גישה ניתן היה למצוא את האתרים של מפלגות הציונות הדתית, יש עתיד, נעם, עוצמה יהודית, המחנה הציוני וישראל ביתנו. מאוחר יותר פרסמה הקבוצה כי הצליחה להפיל גם את האתרים של שירות בתי הסוהר ואת אתר השירותים הממשלתי הרשמי https://www.gov.co.il. יש לציין שבאמצעות אתר Gov.il אזרחים עושים המון פעולות מול משרדי ממשלה שונים. 

השבתה של האתר משפיעה באופן ישיר על היכולת של אזרחים לבצע פעולות רבות. על פי דיווחים התבצעה מתקפת סייבר על תחנת הרדיו גלי צה״ל. כאשר מערכות ההגנה זיהו חשד, בתחנה הפעילו את כלל האמצעים על מנת להתמגן, ובהמשך התברר שמדובר בתקיפה שבוצעה ולא בתקלה. 

בתאריך ה-2 למאי פרסמה קבוצת התקיפה סרטון מאיים בקבוצת הטלגרם שלה כי מדובר רק בשלב הראשון של המתקפה ומוסיפים כי השלב השני רק מתחיל ושנצפה ל״הכל״. ב-2 במאי בשעות הצהריים בסמוך למטח הרקטות ששוגר מרצועת עזה אל עבר שטחי ישראל ״אנונימוס סודן״ הפילו לטענתם אתרים הפועלים ביוזמה פרטית לשליחת התראות צבע אדום. בין האתרים שהותקפו ניתן למצוא את האתרים כומתה, RedAlert ועוד. התראות של פיקוד העורף המשיכו לעבוד כרגיל. הקבוצה התפארה בכך שהצליחה להפיל את שירותי האזעקות צבע אדום ולכן מספר טילים הצליחו לחדור לישראל ללא אזעקה, אך כל הטילים הללו נפלו בשטח פתוח, ככל הנראה מדובר בטילים שנתיב פגיעתם סימן שטח פתוח לכן התראות צבע אדום לא נשמעו מצד מערכת ההתראות של פיקוד העורף. 

מאוחר יותר צוות מערכת ההתראות ״כומתה״ פרסמה הודעה לפיה האתר נפל אך מערכת ההתראות המשיכה לעבוד כרגיל, מספר משתמשים דיווחו כי לא קיבלו התראות בין אם זה היה קשור למתקפת ה-DDoS עליהם או שלא. לאורך השנים מתקפות מניעת שירות על אתרים ישראליים היוותה דרך פעולה נפוצה מאוד בקרב קבוצות תקיפה פרו-פלסטיניות מה שגורם לתהייה ע אופן אבטחת אתרי האינטרנט של מוסדות ממשלתיים בעיקר. 

לאחרונה חברת אבטחת המידע Trustwave פרסמה דו״ח אודות המתקפות של קבוצת ההאקטיביסטים ״אנונימוס סודן״ והעלתה השערות בעקבות מפגני התמיכה של הקבוצה ברוסיה, ובמקביל תמיכת קבוצת ההאקטיביסטים הרוסית "Killnet". אחת המתקפות שהתרחשו בסוף ינואר 2023 הייתה הראשונה מבין כמה שחיברה רשמית את ״אנונימוס סודן״ עם "Killnet". כאשר בקבוצת הטלגרם של קבוצת ״אנונימוס סודן״ הודיעה הקבוצה כי סייעה לקבוצת ״Killnet" במתקפה שלה נגד שירות הביון הפדרלי של גרמניה, שכזכור, סייעה לאוקראינה במלחמה נגד רוסיה. יש לציין שבשבוע הראשון של חודש מאי בעקבות מתקפות הסייבר הרבות שנצפו על גופים ישראליים יצא ראש מערך הסייבר גבי פורטנוי ביוזמה משותפת עם שר התקשורת דאז יועז הנדל בהצרה על פיה חברות התקשורת יחויבו לעמוד בסטנדרטים קבועים להגנת סייבר על תשתיותיהן, זאת על מנת לחזק את רמת ההגנה על הנכסים של מדינת ישראל. נשאר רק לתהות האם הלקחים משנה שעברה יושמו ואילו לקחים נלמדו גם השנה בעקבות המתקפות האחרונות.

​יש לציין שאירעו מספר מתקפות נוספות על ידי קבוצת ״אנונימוס סודן״ כלפי מדינות לטענתן בעקבות פעולות ״אנטי איסלאמיות״. אך לכל המדינות הללו היה קשר כלשהו בסיוע לאוקראינה במלחמה ביניהן לבין רוסיה. חברת Trustwave בדו״ח שלה מציינת כי יתכן שקבוצת ״אנונימוס סודן״ היא שליחה של קבוצת ״Killnet", צוות קונפידס לא הצליח להוכיח זאת אך עד כה לא הצליחה גם לשלול זאת. בין מאמצינו ניסינו לאמת כי המקור של קבוצת ״אנונימוס סודן״ בסודן עצמה אך ללא הצלחה. האם מדובר בקבוצת בת של קבוצת ההאקטיביסטים הפרו רוסית ״Killnet"? אין לדעת. אך ההשערות של חברת Trustwave בהחלט מעלים מספר סימני שאלה אודות קבוצת ״אנונימוס סודן״ ומקורה האמיתי. 

​

סייבר ופרטיות - רגולציה ותקינה