WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 04.11.2021

עיקרי הדברים

  1.  ישראל: קבוצת Black Shadow חוזרת: תקפה את חברת Cyberserve, הפילה אתרים של עשרות חברות והדליפה מידע של מאות אלפי ישראלים. לבדיקה אם מידע השייך לכם דלף:  https://haveibeenpwned.com/ 

  2. איראן: ישראל וארה״ב מואשמות בתקיפות הסייבר נגד נמל שהיד רג׳אי והרכבת בטהרן. 

  3. יורופול: נעצרו 12 אנשים שביצעו מתקפות כופר נגד 1,800 קורבנות ב-71 מדינות. 

  4. קנדה: שירותי הרפואה בשני מחוזות חווים מתקפת סייבר המשביתה את מערכותיהם

  5.  אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Fortinet (קריטי); חולשות zero day מוצרי Bitdefender (קריטי); דפדפן Google Chrome (גבוה); דפדפן Mozilla Firefox (גבוה); 

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני אבטחה למוצרי Bitdefender נותנים מענה ל-3 חולשות ברמה גבוהה; 4 חולשות Zero-day  טרם קיבלו מענה
עדכון אבטחה שייתן מענה ל-39 חולשות יפורסם על ידי Google בסוף השבוע
שני עדכוני אבטחה של Mozilla נותנים מענה ל-22 חולשות ב-Firefox
עדכוני האבטחה החודשיים למוצרי Fortinet נותנים מענה ל-20 חולשות, חלקן קריטיות
עדכוני אבטחה למוצרי Cisco נותנים מענה ל-16 חולשות, 2 מהן קריטיות ו-2 נוספות ברמת חומרה גבוהה

התקפות ואיומים

חברת בניית הספינות הדרום קוריאנית DSME מאשרת כי היא חוקרת מתקפת סייבר על מערכותיה
חברת Abnormal מפרסמת דוח אודות קמפיין תקיפה המבוצע באמצעות Quishing
קנדה: שירותי הרפואה בשני מחוזות חווים מתקפת סייבר המשביתה את מערכותיהם

השבוע בכופרה

חברת התכשיטים Graff נפגעה מקבוצת הכופרה Conti
Schreiber Foods חווה אירוע כופרה; נדרשת לשלם דמי כופר בסך 2.5 מיליון דולר
מתקפה הרסנית על הבנק הלאומי של פקיסטן
תוכנת כופרה תוקפת גיימרים באמצעות רשימות מזויפות של משתמשי מיינקראפט

סייבר בישראל

חוקר סייבר ישראלי פרץ לכ-3,000 רשתות אלחוטיות בתל אביב
קבוצת ההאקרים Black Shadow השתלטה על שרתי CyberServe והדליפה יותר מ-2 מיליון רשומות של פרטי משתמשים מכמה אתרים
קבוצת "מטה משה" (Moses Staff) מדליפה מאות רשומות מידע רגישות של חיילי צה"ל, טוענת כי מחזיקה במידע במשקל 11TB

סייבר בעולם

איראן מאשימה את ישראל במתקפות הסייבר נגד נמל שאהיד רג'אי ומערכת הרכבות במדינה
קבוצת הכופרה BlackMatter מסיימת את פעילותה עקב לחץ רב של רשויות האכיפה
הנחיה חדשה של ה-CISA מחייבת את סוכנויות הממשל הפדרלי למזער חשיפות סייבר ממוקדות

סייבר ופרטיות - רגולציה ותקינה

חוק הגנת המידע הסיני נכנס לתוקף ומציב אתגרים בפני חברות בינלאומיות
החל משפטו של אזרח רוסי החשוד בעבירות סייבר והוסגר לארצות הברית מקוריאה הדרומית
שיתוף פעולה בין-מדינתי לאכיפת דיני סייבר: יורופול ו-8 מדינות נגד האקרים שפעלו ביותר מ-70 מדינות


כנסים

 
 

הציטוט השבועי

״ניתחנו את שני האירועים. הראשון היה מתקפת הסייבר [מאי 2020] על נמל שאהיד רג'אי, והשני היה תקרית הרכבת [יולי 2021]. שניהם היו דומים מבחינת מודל ההתקפה. מבחינתנו, ברור שמדובר באויבינו - ארה"ב והמשטר הציוני״ 

 גנרל משמרות המהפכה ג'ולמרזה ג'לאלי, ראש ארגון ההגנה האזרחית של איראן

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכוני אבטחה למוצרי Bitdefender נותנים מענה ל-3 חולשות ברמה גבוהה; 4 חולשות Zero-day  טרם קיבלו מענה

6 מתוך 7 החולשות שנמצאו במוצרי החברה הן מסוג הסלמת הרשאות (Privilege Escalation), וניצולן מתבצע על ידי משתמש המצוי במערכת באמצעות שליחת בקשה שעוצבה במיוחד לשם קבלת הרשאות אדמין, באופן שיאפשר למשתמש לבצע פעולות ברמת ה-System ולהריץ פקודות במערכת. החולשה השביעית הינה מסוג מעבר בין ספריות (Path Traversal), והיא עלולה לאפשר לתוקף מרחוק לעבור בתיקיות פנימיות של המערכת באמצעות הרצת כתובות URL. בנוגע ל-4 החולשות שלא קיבלו מענה בעדכון (ZDI-21-1270, ZDI-21-1271, ZDI-21-1272, ZDI-21-1273), החברה פרסמה מיטיגציה לפיה יש לצמצם את הגישה למערכת, היות וניצול החולשות מבוסס על גישה מקומית של התוקף. עדכוני האבטחה רלוונטיים למערכות הבאות:

Bitdefender Endpoint Security Tools
Bitdefender GravityZone Update Server
Bitdefender Endpoint Security
צוות קונפידס ממליץ למשתמשי התוכנות לעדכנן לגרסאותיהן האחרונות. 

Bitdefender Endpoint Security Tools
Bitdefender GravityZone Update Server
Bitdefender Endpoint Security
צוות קונפידס ממליץ למשתמשי התוכנות לעדכנן לגרסאותיהן האחרונות. 
 

עדכון אבטחה שייתן מענה ל-39 חולשות יפורסם על ידי Google בסוף השבוע

העדכון, שישוחרר ב-5-6 בנובמבר, יהיה רלוונטי למוצרים המבוססים על מערכת ההפעלה Android, ויתקן חולשות אבטחה ברמת חומרה גבוהה, שניצולן עלול לאפשר לתוקף לקבל הרשאות גבוהות ולהפעיל קוד על עמדת הקורבן.
צוות קונפידס ממליץ למשתמשי מערכת ההפעלה להטמיע את העדכונים עם פרסומם.

שני עדכוני אבטחה של Mozilla נותנים מענה ל-22 חולשות ב-Firefox

העדכונים, שפורסמו ב-2 בנובמבר, רלוונטיים לגרסאות Firefox ESR 91.3 ו-Firefox 94 של הדפדפן. העדכון הראשון, המתקן את גרסה ESR 91.3, פותר 10 חולשות בתוכנה, 7 מהן ברמת חומרה גבוהה ועלולות לאפשר לתוקף לעקוף מנגנוני אבטחה, להפיל את התוכנה, להוציא מידע רגיש מהמערכת ולבצע Spoofing. שאר החולשות שנסגרות בעדכון הן ברמת חומרה בינונית ועלולות לאפשר לתוקף לעקוף מנגנוני אבטחה ולבצע Spoofing. העדכון השני, המתקן את גרסה 94 של הדפדפן, נותן מענה ל-12 חולשות, 7 מהן ברמת חומרה גבוהה ועלולות לאפשר לתקוף להריץ קוד על המערכת, לבצע Spoofing, לגשת למידע רגיש ולעקוף מנגנוני אבטחה. 4 מהחולשות הנותרות הן ברמת חומרה בינונית ועלולות לאפשר לתוקף לגשת למידע המצוי במערכת, לבצע Spoofing ולעקוף מנגנוני אבטחה, ואילו החולשה האחרונה הינה ברמת חומרה נמוכה ועלולה להקל על התוקף לבצע מתקפת פישינג.
צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו בהקדם לגרסתו האחרונה.

עדכוני האבטחה החודשיים למוצרי Fortinet נותנים מענה ל-20 חולשות, חלקן קריטיות

בין החולשות שטופלו בעדכונים החודשיים מצויות חולשת XSS ב-FortiAnalyzer וחולשות DoS ו-XXE ב-FortiPortal. העדכונים רלוונטיים למוצרים הבאים:
FortiPortal 
FortiADC 
FortiManager 
FortiSIEMWindowsAgent 
FortiWLM 
FortiWeb 
FortiAnalyzer 
FortiClientEMS 
FortiClientMac 
FortiClientWindows 
צוות קונפידס ממליץ למשתמשי המוצרים לעניין בהודעה הרשמית מטעם החברה ולהטמיע את העדכונים הרלוונטיים להם.

עדכוני אבטחה למוצרי Cisco הנותנים מענה ל-16 חולשות, 2 מהחולשות ברמה קריטית ו2 נוספות ברמה גבוהה

החולשה החמורה ביותר (10 CVSS) שנסגרה בעדכון מצויה בממשק האינטרנטי של מוצרי ה-Cisco Catalyst PON, ועלולה לאפשר לתוקף מרחוק להתחבר אל הממשק באמצעות פרטי התחברות דיפולטיים, לבצע הזרקת פקודות (Command Injection) ולשנות את הגדרות הממשק. חולשה קריטית נוספת (9.8 CVSS) שטופלה בעדכון מצויה במוצר Cisco Policy Suite ומקורה במנגנון האותנטיקציה מבוסס ה-SSH. חולשה זו מאפשרת לתוקף מרחוק להתחבר למערכת כמשתמש Root. עדכוני האבטחה נותנים מענה לכל החולשות שנמצאו, למעט 3 ברמת חומרה בינונית. לשם התגוננות מפני אחת מהן, המצויה במוצרי ה-Cisco Small Business RV Series Routers, ניתן לבצע מיטיגציה באמצעות חסימת האפשרות לניהול מרחוק. עבור שתי החולשות האחרות לא נמסרו דרכי מיטיגציה, אך צוין כי יפורסם עדכון אבטחה נוסף לתיקונן.
עדכוני האבטחה הנוכחיים רלוונטיים למוצרים הבאים:

Cisco Policy Suite
Cisco Catalyst PON Series
Cisco Small Business Series Switches
Cisco Email Security Appliance
Cisco Webex Meetings
Cisco Webex Video Mesh
Cisco Umbrella
Cisco Unified Communications Manager
Cisco PI and Cisco EPNM
Cisco CSPC
Cisco Prime Access Registrar
Cisco AnyConnect Secure Mobility Client for Windows
צוות קונפידס ממליץ לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.

 

התקפות ואיומים

חברת בניית הספינות הדרום קוריאנית DSME מאשרת כי היא חוקרת מתקפת סייבר על מערכותיה

החברה, שחווה פריצת אבטחה בפעם השנייה השנה, הבהירה כי אין חשש לדליפת מידע ביטחוני, וכי כבר ב-25 באוקטובר דיווחה למשטרה על האירוע, בכדי לקבל סיוע בחקירתו. בעוד שהרשויות סירבו לחשוף מידע נוסף בנוגע לאירוע, הן מסרו כי הוקם צוות חקירה משותף, בו לוקחים חלק המשרד הקוריאני לביטחון לאומי וחברות אבטחה. על פי הערכות, מטרת הפריצה הקודמת למערכות החברה, שהתרחשה ביוני האחרון ויוחסה לקוריאה הצפונית, הייתה השגת מידע על מחקר אודות צוללות הפועלות באמצעות כוח גרעיני. DSME הינה מובילה בתחום הצוללות הגרעיניות, ובחודש אוגוסט השנה הציגה את הצוללת הראשונה לה יכולת שיגור של טילים בליסטיים.

חברת Abnormal מפרסמת דוח אודות קמפיין תקיפה המבוצע באמצעות Quishing

בחודשים ספטמבר-אוקטובר זיהתה החברה שכ-200 מיילים שנשלחו ללקוחותיה היוו חלק מקמפיין שמטרתו איסוף פרטי משתמשים של מיקרוסופט. המיילים הכילו קודי QR שהובילו, לכאורה, לשמיעת הודעה קולית ש״התפספסה״. אלא שבלחיצה על הקישור נותבו הקורבנות לעמוד נחיתה מזויף של מיקרוסופט, בו נדרשו להזין את פרטי המשתמש שלהם. על מנת שהמיילים שנשלחו ייראו לגיטימיים, התוקפים נעזרו במשתמשי Outlook אמיתיים שנפרצו. קודי ה-QR שנשלחו היו זהים לגמרי ופותחו ביום השליחה, ככל הנראה על מנת להקשות על זיהוי התקיפה. הדרך הטובה ביותר להימנע מתקיפות מסוג זה, המכונות Quishing, היא שימת לב למיילים המתקבלים, בייחוד כאלה שאינם צפויים, ולפרטים הנדרשים על ידי פלטפורמה, שאינם תואמים את השירות המבוקש. במקרה של ספק, יש להיכנס לתיבת ההודעות הקוליות בדרך השגרתית ולהזדהות באמצעות קוד הנשלח לטלפון הסלולרי.

קנדה: שירותי הרפואה בשני מחוזות חווים מתקפת סייבר המשביתה את מערכותיהם

בעקבות המתקפה שחוו ב-30 באוקטובר שירותי הבריאות של המחוזות ניופאונדלנד ולברדור הושבתו כל רשתותיהם, בוטלו אלפי תורים שנקבעו למטופלים ונחסמה האפשרות ליצירת קשר טלפוני עם מוקדי החירום של המרכזים. זאת ועוד, מעובדי המרכזים נמנעה גישה למייל, לרשומות רפואיות של מטופלים ולתוצאות בדיקות, והרופאים נאלצו לעבור לתיעוד ידני. במסיבת עיתונאים מסר שר הבריאות הקנדי ג׳ון האגי כי המתקפה הביאה לשיבושים אדירים בפעילות מערכת הבריאות במחוזות שנתקפו ופגעה במאגרי המידע שלהם. ואולם, בעוד שממשלת קנדה אינה מספקת תיאור של התקיפה, לדברי מקורות אחרים מדובר במתקפת כופרה, מה שמעורר חשש שרשומות של מטופלים נגנבו ויודלפו לציבור. נכון לכתיבת שורות אלה, המגזין BleepingComputer העלה חרס בנסיונותיו לקבל את תגובת המרכזים הרפואיים שנפגעו.

השבוע בכופרה

חברת התכשיטים Graff נפגעה מקבוצת הכופרה Conti

התוקפים דרשו מחברת התכשיטים היוקרתית לשלם דמי כופר בגובה מאות מיליוני דולרים, על מנת למנוע פרסום פרטים אישיים של לקוחותיה, בהם עשירי עולם, מנהיגים וידוענים, כדוגמת דונלד טראמפ, דיוויד בקהאם וטום הנקס. להוכחת התרחשות הפריצה פרסמה קבוצת התקיפה הרוסית רשומות של כ-69,000 לקוחות, בהן קבלות, חשבוניות ומידע על רכישות שבוצעו. אחת הסיבות לחשיבות פרטיות המידע היא שפרסום הרכישות עלול לחשוף לציבור מערכות יחסים בין אנשים ידועים שאינן פומביות. בהודעה שמסרה Graff ל-Daily Mail נאמר כי הגיבה לתקיפה מיד עם גילויה, בהורידה את כל רשתותיה מהאוויר ובפנייה למומחי אבטחת מידע ולרשויות החוק לשם התמודדות עם האירוע. הודעה נשלחה לכלל הלקוחות שפרטיהם דלפו, והחברה עובדת על שחזור הרשת והחזרת מערכותיה לפעולה. עד כה, אלפי אנשים נחשפו למידע שהודלף באתרים שונים.

Schreiber Foods חווה אירוע כופרה; נדרשת לשלם דמי כופר בסך 2.5 מיליון דולר

האירוע, אשר נכון לשעה זו אינו מיוחס לאף קבוצת תקיפה, השבית את מערכות החברה האמריקאית לעיבוד מוצרי חלב למשך שני ימי עסקים, לרבות מערכת הכניסה למשרדיה. התקיפה גרמה למהומה ולפנייה של לקוחות רבים לספקים אחרים.


מתקפה הרסנית על הבנק הלאומי של פקיסטן

המתקפה, שהתרחשה בלילה שבין ה-29 ל-30 באוקטובר, פגעה בשרתי התשתית של הבנק והשביתה את השרתים האחראים על פעילות האפליקציה הסלולרית שלו ועל רשת הכספומטים הארצית שהוא מפעיל. נציגי המוסד הפיננסי דיווחו שלא נמצאו אינדיקציות לגניבת כספים מהבנק. לדבריהם, הבנק נקט בפעולות מיידיות למיצוי חקירת האירוע, ואכן, עד ל-1 בנובמבר 1000 מסניפי הבנק שבו לפעול ורשת הכספומטים חזרה לפעילות מלאה. עם זאת, חרף השיבה לפעילות שגרתית, המוני לקוחות צבאו על הכספומטים לשם משיכת מזומנים, עקב דיווחים מסולפים של התקשורת המקומית על פריצה ל-9 בנקים ברחבי המדינה. הבהלה שגרמו הידיעות הייתה כה גדולה, עד שהממשלה נדרשה להרגיע את הרוחות באמצעות הודעה בנושא ששחררה לתקשורת.

תוכנת כופרה תוקפת גיימרים באמצעות רשימות מזויפות של משתמשי מיינקראפט

השחקנים מקבלים רשימה של משתמשי מיינקראפט חלופיים, ולאחריה הודעה שכל הקבצים במחשביהם הוצפנו. לדברי חוקרי אבטחה מחברת FortiGurad, השימוש שעושים התוקפים ברשימות להצפנת המכשירים מבוססי ה-Windows של הגיימרים הינו זן חדש של כופרה מסוג Chaos .Chaos, כפי שניתן לנחש משמה, מוסיפה לכל קובץ מוצפן 4 אותיות רנדומליות המשמשות כסיומת שלו, ואינה מאפשרת שחזור קבצים שמשקלם עולה על 2MB, זאת משום שהיא מזריקה להם ביטים רנדומליים שמשחיתים אותם.

סייבר בישראל

 
 

קבוצת ההאקרים Black Shadow השתלטה על שרתי CyberServe והדליפה יותר מ-2 מיליון רשומות של פרטי משתמשים מכמה אתרים
קבוצת ההאקרים המיוחסת לאיראן, ואשר אחראית לפריצות ודליפות הענק ממערכות חברת הביטוח ״שירביט״ וחברת מימון הרכב ״ק.ל.ס״, הודיעה ביום שישי ה-29 באוקטובר כי פרצה לשרתי חברת האירוח ובניית האתרים הישראלית CyberServe וגנבה מהם מידע השייך ללקוחותיה. על החברות להן מספקת CyberServe שירותים נמנות ״דן״, ״קווים״, ״מכון מור״ ואתר ההיכרויות הגאה ״אטרף״ (שאף נמצא בבעלותה). לאחר הפריצה הציבה Black Shadow אולטימטום לפיו אם תוך 48 שעות לא תקבל מטבעות ביטקוין בשווי מיליון דולר - תפרסם את המידע שגנבה. לאחר הודעת הקבוצה על הפריצה נפתחו עמה שיחות משא ומתן, במהלכן הוצע לה תשלום בגובה 250 ו-500 אלף דולר, סכומים להם סירבה. מהתכתבויות נוספות בין הצדדים, לכאורה, שפורסמו על ידי הקבוצה, עולה כי צוות המשא ומתן ניסה לגייס 500 אלף דולר נוספים על מנת להיענות לדרישת הקבוצה, אך משפג האולטימטום מבלי שדרישתה נענתה - פרסמה הדלפה ראשונה מתוך המידע שברשותה, קובץ המכיל רשומות השייכות ל״אטרף״. מבדיקה שערך האתר Geektime עולה כי ככל הנראה הקובץ שהודלף מכיל נוזקה. לאחר מכן המשיכה הקבוצה לטפטף הדלפות של קבצים נוספים, אותם פרסמה באתריה ובקבוצות הטלגרם שלה. עם זאת, חלק מהמקורות אינם זמינים לגולשים ישראלים, בשל צו הסרת מידע שהגישה הפרקליטות, המורה לספקיות האינטרנט לחסום גישה לאתרים המובילים למידע המודלף, ולמנועי החיפוש לסנן תוצאות המקשרות אליו. יצוין כי חרף הצו ניתן להשיג גישה לקבצים ולמידע דרך מקורות אחרים.  נכון לשעה זו, אלה הן החברות מהן הודלף מידע (הנתונים אודות משקלי הקבצים נלקחו מקבוצת טלגרם אליה הועלו):

  • אתר ההיכרויות הגאה ״אטרף״ - רשומות ופרטים של יותר ממיליון משתמשים, לרבות שמות מלאים, מספרי טלפון, כתובות מייל, מיקומי GPS, העדפות מיניות ו-17 מיליון רשומות של התכתבויות (קובץ ZIP במשקל 740.8MB, המכיל מספר קבצי אקסל גדולים).  

  • חברת התיירות Trip Guaranty - כחצי מיליון רשומות, הכוללות מידע על נוסעים וטיסות (שני קבצי CSV במשקל 40.8MB ו-93MB).

  • מכון מור - קרוב ל-300 אלף רשומות פרטיות של לקוחות, לרבות רשומות רפואיות, מתוך מערכת הפניות למכון, וכן תוצאות בדיקות (קובץ CSV במשקל 88.3MB).

  • אתר תחנות הרדיו 103FM ו-104.5FM - כ-29 אלף רשומות של חברי האתר (קובץ CSV במשקל 5.6MB).

  • לוקר אמבין - כמעט חצי מיליון רשומות של לקוחות החברה (קובץ CSV במשקל 111.6MB).

  • Tacy - כ-2000 רשומות של משתמשים (קובץ CSV במשקל 354.9MB).


מערך הסייבר הלאומי הגיב לאירוע בהודעה  בה הבהיר כי בשנה האחרונה התריע בפני חברת CyberServe מספר פעמים על היותה חשופה למתקפות. בהודעתו אף המליץ המערך לאזרחים שפרטיהם הודלפו לגלות ערנות ויתר תשומת לב להודעות טקסט ומיילים חשודים, וכן להחליף את סיסמאותיהם בכלל האפליקציות שברשותם ולהטמיע בהן אימות דו-שלבי (2FA). בהודעה שפרסמה הרשות להגנת הפרטיות ב-3 בנובמבר, צוין כי פתחה בחקירה נגד CyberServe בגין התרשלות באבטחת המידע האישי שברשות החברה. עוד הוסיפה הרשות כי טרם אישרה לחברה להחזיר לאוויר את האתר ״אטרף״.
 

קבוצת "מטה משה" (Moses Staff) מדליפה מאות רשומות מידע רגישים של חיילי צה"ל, טוענת כי מחזיקה ב11TB מידע

הקבוצה עומדת מאחורי מספר הדלפות משמעותיות שהתרחשו בשבוע האחרון, ואשר כללו תמונות של שר הביטחון בני גנץ, מאגרי מידע עם פרטים של מאות אלפי ישראלים, קבצים המכילים נתונים של מאות חיילי צה"ל, לרבות שמות, כתובות מייל, מספרי טלפון וכתובות מגורים, וכן קבצים המכילים את פירוט הכוחות המלא של חטיבה קרבית מסוימת, לרבות שמות חיילים, תפקידיהם והכשרותיהם. לדברי ״מטה משה״, עלה בידיה לפרוץ ליותר מ-165 שרתים ול-254 אתרים, ולהוריד מהם מידע במשקל כולל של 11TB. כל המידע המודלף מאוחסן באתר הקבוצה ונגיש לציבור הרחב. מסתמן כי בין הארגונים שנפלו עד כה קורבן לפעילות הקבוצה מצויים דואר ישראל, משרד הביטחון, H.G.M Engineering, David Engineers, Ehud Leviathan Engineering וחברות רבות נוספות.


חוקר סייבר ישראלי פרץ לכ-3,000 רשתות אלחוטיות בתל אביב

עידו הורביץ׳, חוקר סייבר מחברת CyberArk, ניסה לפרוץ לכ-5,000 רשתות אלחוטיות ונחל הצלחה בכ-70% מהמקרים, כל זאת באמצעות ציוד בשווי 50 דולר בלבד. בעוד שבעבר על מנת לפרוץ לרשת Wi-Fi היה צורך בתפיסת ה-Four-Way Handshake בין הקליינט לראוטר, ב-2018 גילה ינס ״אטום״ שטויבה דרך להשגת את ה-PMKID, ובכך ייתר את לחיצת היד ו/או את התחברות המשתמש. לאחר תגליתו של שטויבה, כל שנדרש לעשות הוא לתפוס ״פאקטה״ אחת, לפרק ה-PMK ולבצע Brute-force על ה-Hash. אי לכך, הורביץ׳ תפס את ה-PMKID, ובעזרת כלי לפיצוח סיסמאות, כמו hashcat, נכנס אל הרשת. מכיוון שבישראל רווח ההרגל להגדיר את מספר הטלפון כסיסמת ה-Wi-Fi, בעזרת מילון שהוכן מראש פרץ הורביץ׳ לכ-2,200 רשתות, ואילו 900 סיסמאות נוספות פרץ באמצעות המילון המוכר rockyou.txt. היות ולאחר חדירה לרשת ניתן לבצע בה MITM או Lateral Movement, מומלץ לבחור בסיסמאות חזקות וקשות לפיצוח.

סייבר בעולם

 

איראן מאשימה את ישראל במתקפות הסייבר נגד נמל שאהיד רג'אי ומערכת הרכבות במדינה

בתוכנית ששודרה ב-30 באוקטובר בערוץ 1 האיראני אמר גנרל משמרות המהפכה וראש ארגון ההגנה האזרחית של איראן ג'ולמרזה ג'לאלי כי ארצות הברית ו"המשטר הציוני" עומדים מאחורי מתקפת סייבר נגד נמל שאהיד רג'אי שהתרחשה במאי השנה, ומאחורי מתקפת סייבר נגד מערכת הרכבות של איראן, שהתרחשה בחודש יולי. עוד אמר כי האנשים שביצעו את ההתקפות הללו השיגו רמות גישה שבמרבית המקרים מצויות רק בידי יצרני ומתקיני ציוד. דבריו של הגנרל ג'לאלי נאמרו על רקע מתקפת סייבר נוספת שהתרחשה באיראן ב-26 באוקטובר וכוונה אל תחנות דלק במדינה. 

 

קבוצת הכופרה BlackMatter מסיימת את פעילותה עקב לחץ רב של רשויות האכיפה

 

הקבוצה, המפעילה תשתית של ״כופרה כשירות״ (RaaS) ותומכת ב"לקוחותיה" בשלבי התקיפה השונים, פרסמה באתרה הודעה שעקב נסיבות שונות, בהן לחץ הרשויות וגופים אנונימיים, היא תיסגר תוך 48 שעות.
זאת בהמשך להשבתה המסתורית של תשתית התקיפה Revil שתועדה בחודש יולי האחרון.
סביר להניח כי BlackMatter אשר זוההתה בעבר כDarkside תחזור לפעילות תחת מיסוך שונה תוך זמן קצר.

הנחיה חדשה של ה-CISA מחייבת את סוכנויות הממשל הפדרלי למזער חשיפות סייבר ממוקדות  

ההנחיה החדשה,  Binding Operational Directive (BOD) 22-01, Reducing the Significant Risk of Known Exploited Vulnerabilities, פורסמה על ידי הסוכנות האמריקאית לאבטחת סייבר ותשתיות ב-3 בנובמבר, וקובעת את החובה לנקוט בצעדים ספציפיים למזעור סיכוני סייבר. ההנחיה מתייחסת לחשיפות המנוצלות באופן פעיל על ידי יריבים ידועים, וקובעת לוח זמנים פרטני לתיקונן. על מנת לתמוך בהנחיה פתחה ה-CISA קטלוג של נקודות תורפה רלוונטיות, אשר יעודכן באופן שוטף. חברות פרטיות מוזמנות להירשם לקבלת הודעות אודות חשיפות חדשות שיתווספו לקטלוג.

סייבר ופרטיות - רגולציה ותקינה

 

חוק הגנת המידע הסיני נכנס לתוקף ומציב אתגרים בפני חברות בינלאומיות 

החוק החדש, ה-Personal Information Protection Law (למקור), שנחקק בחודש אוגוסט 2021 ונכנס לתוקף ב-1 בנובמבר, הינו יוזמה רגולטורית שנועדה לחול על השימוש במידע האישי של כמעט מיליארד מתושבי סין שהם משתמשי רשת האינטרנט. בין היתר, החוק קובע ששימוש במידע אישי מצד ארגונים פרטיים חייב להיעשות אך ורק למטרה ברורה וסבירה, והוא מוגבל ל"היקף המינימלי הדרוש להשגת מטרות השימוש [במידע]". זאת ועוד, החוק החדש מפרט תנאים שבהם חברות, כולל חברות זרות, רשאיות לאסוף מידע מלקוחות וממשתמשים אחרים. תנאים אלה כוללים את קבלת הסכמתו של נושא המידע ומתווה להגנה על המידע כאשר הוא מועבר אל מחוץ לסין. תאגידים רב-לאומיים שמעבירים מידע אישי אל מחוץ לסין יצטרכו לקבל על כך אישור ממשלתי. על רקע כניסתו של החוק לתוקף וההגבלות החדשות על פעילותן של חברות בינלאומיות, מספר תאגידים שוקלים את המשך פעילותם בסין, וחברת !Yahoo הודיעה על סיום פעילותה במדינה. 

החל משפטו של אזרח רוסי החשוד בעבירות סייבר והוסגר לארצות הברית מקוריאה הדרומית

ולדימיר דונאב עומד לדין בבית המשפט הפדרלי האמריקאי על עבירות שבוצעו כשפעל, לכאורה, כהאקר ברשת פשיעת סייבר בינלאומית המכונה TrickBot. דונאב הוסגר לארצות הברית במסגרת שיתוף פעולה בין משרד המשפטים האמריקאי לבין זה של קוריאה הדרומית. לדברי סגנית התובע הכללי של ארצות הברית, ליסה או. מונקו: "TrickBot תקפה עסקים וקורבנות ברחבי העולם והדביקה מיליוני מחשבים [בנוזקות] לצורך גניבה וכופר, לרבות רשתות בתי ספר, בנקים, ממשלים עירוניים וחברות במגזרי הבריאות, האנרגיה והחקלאות". בנוגע לדונאב אמרה מונקו כי "זהו הנאשם השני [בפעילות] ב-TrickBot שנעצר בחו״ל בחודשים האחרונים, מה שמבהיר שביחד עם שותפינו הבינלאומיים, משרד המשפטים יכול ללכוד וילכוד פושעי סייבר ברחבי העולם. עבור כוח המשימה של המשרד בנושא תוכנות כופרה וסחיטה דיגיטלית, שהושק לאחרונה, זוהי הצלחה נוספת בפירוק קבוצות של תוכנות כופר ובשיבוש האקוסיסטם של פושעי הסייבר, שמאפשר לתוכנות כופר להתקיים ולאיים על התשתית הקריטית שלנו."

שיתוף פעולה בין-מדינתי לאכיפת דיני סייבר: יורופול ו-8 מדינות נגד האקרים שפעלו ביותר מ-70 מדינות

במסגרת יוזמות שונות מהעת האחרונה שנועדו לקדם שיתופי פעולה בינלאומיים להגברת האכיפה של דיני סייבר, ב-26 באוקטובר נתפסו באוקראינה ובשוויץ 12 האקרים, שככל הנראה יועמדו לדין על עבירות סייבר שביצעו, לכאורה, בהן התקפות שפגעו ביותר מ-1,800 קורבנות ב-71 מדינות, ואשר חלקן כוונו נגד תאגידים גדולים ותשתיות קריטיות. המדינות ששיתפו פעולה במבצע הן ארצות הברית, נורבגיה, צרפת, הולנד, אוקראינה, גרמניה, בריטניה ושוויץ, בתיאום ה-EMPACT - פלטפורמה אירופית רב-תחומית נגד איומים פליליים. 

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: שרון פישר, רחל ביניאשוילי, רז ראש, רם לוי, דבּ האוסן-כוריאל, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, סער אביבי, רוני עזורי, עמית מוזס וגיא פינקלשטיין.