דו״ח סייבר שבועי
עדכון שבועי 06.07.2023
עיקרי הדברים
1. ישראל: בית גן, וסייבר - מתקפת DDoS של אנונימוס סודן על אתרי רדיו 103FM, ערוץ 7 ואפליקציית חמ״ל בעקבות המבצע בג'נין; פשרה בייצוגית בעקבות מתקפת הסייבר על שירביט: הראל תשלם פיצויים בסך 4.8 מיליון שקל. רנ״י - "ליקויים רוחביים" ביישום של תקנות הגנת הפרטיות (אבטחת מידע) בחברות ניהול תיקים.
2. סייבר ובריאות: איטליה: מתקפת כופרה על בית חולים בנאפולי.
3. סייבר ולוגיסטיקה: יפן: מתקפת כופרה של Lockbit השביתה את המל Nagoya הנמל הגדול ביותר במדינה ונמל הבית של Toyota.
4. דלף מידע מסיבי של 17 מיליון חשבונות Instagram ו- 178 GB של מאגרי מידע של TikTok ו-Yahoo.
5. *אנו ממליצים לעדכן את המוצרים הבאים: תוסף Ultimate Member ב-WordPress (קריטי); מוצרי Cisco (גבוה); דפדפן Mozilla Firefox (גבוה); *
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
התגלתה חולשה ברמת חומרה קריטית בתוסף Ultimate Member בWordPress
Cisco מפרסמת עדכוני תוכנה לחולשות שונות ביניהן חולשות ברמת חומרה גבוהה
Mozilla שחררה עדכוני אבטחה עבור חולשות ב-Firefox ו-Thunderbir
התקפות ואיומים
קבוצת הכופרה BlackCat מפעילה קמפיין מודעות (malvertizing) זדוני
התגלתה נוזקה חדשה בשם RedEnergy Stealer המשמשת לגניבת מידע וכופר
סייבר בעולם
קבוצת הכופרה LockBit דורשת כופר של 70 מיליון דולר מחברת TSMC
דלף מידע מסיבי של 17 מיליון חשבונות Instagram ו- 178 GB של מאגרי מידע של TikTok ו-Yahoo
סייבר בגופי בריאות
איטליה: מתקפת כופרה על בית חולים בנאפולי
סייבר בספנות ולוגיסטיקה
יפן: מתקפת כופר השביתה את הנמל הגדול ביותר במדינה
סייבר בישראל
בית גן, וסייבר - מתקפת DDoS רדיו 103FM, אתר החדשות Channel 7 ואפליקציית חמ״ל. בעקבות המבצע בג'נין
איגוד האינטרנט הישראלי: 4 ספקי האינטרנט הגדולים שולטים ב83% מהשוק בישראל
סייבר ופרטיות - רגולציה ותקינה
פשרה בפרשת פריצת הסייבר לשירביט: הראל תשלם פיצויים בסך 4.8 מיליון שקל
רשות ניירות ערך: "ליקויים רוחביים" שעלו בבדיקה מדגמית של חברות ניהול תיקים מחייבים עדכון של חוזר התובנות בעניין היישום של תקנות הגנת הפרטיות (אבטחת מידע)
כנסים
הציטוט השבועי
_"קשה לגוף אכיפה בינלאומי לפעול נגד פשע, שבמהותו הוא חסר גבולות, המנדט של האינטרפול מונע מאיתנו לעסוק בכל דבר – מלבד פשע שהוא פוליטי, ספרותי, גזעני או דתי. זה מגביל מאוד את היכולת שלנו לזהות, לנטר ולתפוס את המבצעים של פשעי סייבר – כי זה אומר משהו אחר בכל מקום."_
קרייג ג'ונס, מנהל עולמי לתחום פשעי סייבר באינטרפול, שבוע הסייבר באוניברסיטת תל אביב
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
התגלתה חולשה ברמת חומרה קריטית בתוסף Ultimate Member בWordPress
לאחרונה דווח כי התגלתה חולשה (Zero Day (CVE-2023-3460 ברמת חומרה קריטית (CVSS 9.8) בתוסף Ultimate Member לפלטפורמת WordPress אשר עלולה לעקוף אמצעי אבטחה ולקבל הרשאות אדמין למשתמש לא מאומת. מתקפת Zero Day היא ניצול של פגם אבטחה במערכת מוכרת רק למי שגילה אותה. המתקפה מתרחשת באופן מיידי ללא יכולת לזהות את התוקף או לתקן את הנזק. פגמי אבטחה הם מצרך מבוקש עבור חוקרים, פושעים או ממשלות. פלאגין Ultimate Member לאתרי WordPress הינו תוסף חברות באתר אשר מיועד עבור משתמשים חדשים המבקשים להירשם לאתר ולהיות חברים בו. התוסף מאפשר להוסיף פרופילים אטרקטיביים והוא טוב ליצירת קהילות מקוונות ואתרי חברות. מכיוון שהגרסה העדכנית ביותר של התוסף (2.6.6) אינה מותקנת במלואה, צוות קונפידס ממליץ לבעלי אתרי WordPress אשר משתמשים ב- Ultimate Member להסיר את התקנת פלאגין עד לשחרור תיקון מלא שצפוי שיצא בימים הקרובים.
Cisco מפרסמת עדכוני תוכנה לחולשות שונות ביניהן חולשות ברמת חומרה גבוההחברת התקשורת והתוכנה Cisco מפרסמת חמישה עדכוני תוכנה למערכות שונות שנותנות מענה לחולשות שונות, חלקן ברמת חומרה גבוהה. החולשות הינן במערכות AnyConnect, Cisco ACI CloudSec Encryption, Webex, BroadWorks. להלן החולשות:
Cisco Anyconnect, CVE-2023-20178 - Version below 1.4
Cisco ACI CloudSec Encryption, CVE-2023-20185 - Version below 1.0
Cisco Webex, CVE-2023-20133, CVE-2023-20180 - Version below 1.0
Cisco Duo, CVE-2023-20207 - version below 1.0
Cisco BroadWorks, CVE-2023-20210 - version below 1.0
צוות קונפידס ממליץ לעדכן את גרסאות המוצרים כדי להימנע מניצול של חולשות אלו.
Mozilla שחררה עדכוני אבטחה עבור חולשות ב-Firefox ו-Thunderbird
חברת Mozilla שחררה עדכוני אבטחה עבור מספר חולשות כששבעה מהן בדרגת סיכון גבוהה בדפדפן Firefox. ניצול מוצלח של חולשות אלו עלול להביא לתוקף אפשרות להרצת קוד לא מבוקר שיבוש זיכרון ועוד.
CVE-2023-37201 - חולשה המאפשרת ניצול משאבי זיכרון שלא מוקצים לתוכנה הנגרמת על ידי יצירת חיבור WebRTC ב-HTTPS. ניצול מוצלח של חולשה זו עלול לאשפר לתוקף הרצת קוד לא מבוקר עם ההרשאות של המשתמש הנוכחי בדפדפן Firefox.
CVE-2023-37202 - חולשה נוספת המנצלת קונפיגורציה לא נכונה שעלולה לגרום למשאבי אובייקטים להיות מאוחסנים במקום לא ראוי ותופעה זו יכולה להוביל לאפשרות שתוקף יוכל להריץ קוד לא מבוקר עם ההרשאות של המשתמש הנוכחי ב-Firefox.
CVE-2023-37211, CVE-2023-37212 - חולשות אבטחה בניצול משאבי זיכרון של הדפדפן שעלול להביא לשיבושי זיכרון והרצה של קוד לא מבוקר (נכון לעכשיו אין פרטים מדויקים על אופן ניצול החולשה).
CVE-2023-34414 - חולשה בדף השגיאה של אתרים ללא תעודת TLS שהופעל ללא השהייה דבר שיכול לאפשר לתוקף בניצול מוצלח של חולשה זו לבצע Clickjacking.
CVE-2023-34416, CVE-2023-34417 - חולשות אבטחה בניצול משאבי זיכרון של הדפדפן היכולות לאפשר לתוקף בניצול מוצלח שלהם לבצע הרצת קוד במערכת.
Mozilla שחררה תיקונים לחולשות בגרסאות העדכניות ביותר של Firefox 115, Firefox ESR 102.13, Thunderbird 102.13 ו Firefox 114
צוות קונפידס ממליץ לעדכן את גרסאות מוצרי Mozilla הרלוונטים העדכניים ביותר כדי להימנע מניצול של חולשות אלו.
התקפות ואיומים
קבוצת הכופרה BlackCat מפעילה קמפיין מודעות (malvertizing) זדוני
קבוצת הכופרה הרוסית BlackCat (ידועה גם בשם AlphaV) מפעילה קמפיין מודעות זדוני חדש על מנת לבצע התקנה של Cobalt Strike על מחשב הקורבן. בקמפיין זה קבוצת התקיפה מפעילה מודעות שמיודעות להיראות כמודעות המובילות להורדה של WinSCP תוכנת קוד פתוח להעברת קבצים במחשבי ווינדוס עם כ 400 אלף הורדות שבועיות, נראה כי השימוש בתוכנה זו כפיתיון נובע מכמות ההורדות הגדולה שלה ובנוסף במטרה להדביק מחשבים של מנהלי מערכות, מנהלי רשת ואנשי IT (עקב אופי התוכנה אשר משמשת אנשים בתפקידים אלו). קמפיין זה נצפה לראשונה על ידי חוקרי אבטחת מידע מ Trend Micro שהבחינו במודעות המזוייפות במנועי החיפוש של Google ו Bing, בפתיחה של העמוד ניתן לראות מאמר המסביר איך לבצע העברת קבצים אוטומטית עם WinSCP ונראה שהאתר עצמו לא מכיל שום קוד זדוני אך כן ניתן למצוא באתר זה כפתור להורדה של התוכנה WinSCP במידה ומשתמש יוריד ויפעיל את הקובץ שמתחזה לתוכנה WinSCP אך בפועל מכיל קובץ DLL שבתורו מופעל ומוריד קובץ DLL נוסף בשם python310.dll שמכיל התקנה של התוכנה Cobalt Strike ומבצע חיבור לשרת C2 שבשליטת התוקף.
התגלתה נוזקה חדשה בשם RedEnergy Stealer המשמשת לגניבת מידע וכופרההנוזקה החדשה התגלתה על ידי צוות חוקרים מחברת Zscaler וקיבלה את השם RedEnergy stealer נוזקה זו משלבת בין נוזקה לגניבת מידע (Stealer) וכופרה (Ransomware) ונחשבת כ Stealer-as-a-Ransomware. הנוזקה RedEnergy stealer מתמקדמת בתקיפות על תעשיית האנרגיה, נפט, גז, טלפוניה ועוד ומופצת על ידי קמפיין לינקדאין בו מבוצע שימוש בדפי עסק מזוייפים המכילים לינק לאתר העסק לינק זה מפנה לאתר זדוני שמקפיץ הודעה למשתמש המבקשת ממנו להוריד ולהתקין עידכון לדפדפן, שיטה נוספת בה נוזקה זו מופצת היא על ידי אתר המציע גירסה של ChatGPT שלא מצריכה חיבור לאינטרנט בשתי המקרים הקורבן מובל להורדה של הנוזקה למחשב, בזמן ההתקנה הנוזקה מבצעת הורדה של ארבע קבצים למחשב הקורבן שתי קבצי tmp ושתי קבצי exe. בזמן פעולת הנוזקה מוצג לקורבן הודעת קללה למסך ככול הנראה על מנת לגרום ללחץ ובילבול נוסף של הקורבן. בנוסף הנוזקה RedEnergy stealer מציגה יכולות התמדה על ידי הכנסה של עצמה לתיקיית ה Startup של המערכת דבר שמבטיח שהנוזקה תעלה מחדש גם לאחר הפעלה מחדש של המערכת וגם יכולות של תקשורת לשרת חיצוני לקבל פקודות מהתוקף (C2) שמבוצע על ידי שימוש בפרוטוקול HTTPS דבר שמקשה על גילוי וניתוח של התקשורת. לאחר הצפנת הקבצים ניתן לכול קובץ הסיומת ".FACKOFF!". נוזקה זו היא דוגמא ראשונית לזני נוזקות חדשות המשלבות שתי דרכי פעולה הנוזקה RedEnergy stealer שנכנסת לקטגוריה של Stealer-as-a-Ransomware וגילוי נוסף של נוזקת RAT-as-a-Ransomware שתיהם מראות על התפתחות התיחכום והנוזקות שמיוצרות על ידי תוקפים.
סייבר בעולם
קבוצת הכופרה LockBit דורשת כופר של 70 מיליון דולר מחברת TSMC
TSMC , חברה גדולה לייצור שבבים, הכחישה כי נפרצה לאחר שקבוצת הכופרה LockBit דרשה כופר של 70 מיליון דולר כדי למנוע שחרור נתונים גנובים. תוקף המזוהה עם LockBit, Bassterlord, צייץ בשידור חי מה שנראה כמו התקפת כופר על TSMC, ושיתף צילומי מסך עם מידע רגיש. עם זאת, TSMC טוענת שהפריצה התרחשה במערכות של אחד מספקי ה-IT שלה, Kinmax Technology, ולא ב-TSMC עצמה. TSMC טוענת כי פעילותה העסקית ופרטי הלקוחות שלה לא נפגעו וניתקה את הקשר עם הספק. החקירה סביב תקיפה זאת נמשכת ומערבת רשויות אכיפת חוק. בעוד ש LockBit דרש כופר משמעותי של 70 מיליון דולר , זהו סכום שחברת Kinmax אינה מסוגלת להכיל כלכלית כמו TSMC. ב 3 ליוני Lockbit פרסמה את המידע של TSMC באתר הדלף שלה.
דלף מידע מסיבי של 17 מיליון חשבונות Instagram ו- 178 GB של מאגרי מידע של TikTok ו-Yahoo
צוות המחקר של חברת SOCRadar Dark Web Team, שבבעלותה כלי האוסף מידע על נכסים ברשת, מאשר כי מידע של מיליוני חשבונות Instagram, TikTok Yahoo נחשפו בפורומים של האקרים אך החוקרים לא סיפקו שמות של פורומים אלו.
החוקרים דיווחו כי הנתונים שהודלפו ממאגרי המידע של TikTok הועברו בפורמט JSON באמצעות בקשת HTTP POST והגיעו מהאתר www.tiktok.com. למרות שהתאריך המדויק של ההדלפה אינו ידוע, נחשפו 178GB של נתונים.
בנוסף, מעל מ-17 מיליון פרטי משתמשים הכוללים שמות משתמש, כתובות דוא"ל ומספרי טלפון הודלפו מ-Instagram בפורמט JSON, שהינו פורמט סטנדרטי לקבצים ולהחלפת מידע, שנמצא בשימוש נפוץ במידע שנשלח משרתים לאפליקציות אינטרנטיות.
על פי הדיווחים, מידע על משתמשי Yahoo! נחשף גם הוא, בעיקר פרטי חשבונות של משתמשים אך היקף המידע המדויק שהושפע לא ידוע.
עדיין לא ידוע מי התוקפים האחראים על ההדלפות המוזכרות,אך הצוות ממשיך בחקירה על מנת לייחס מתקפות אלה לקבוצות ספציפיות.
סייבר בגופי בריאות
איטליה: מתקפת כופרה על בית חולים בנאפולי
מתקפת כופרה פגעה בימים האחרונים במערכת המחשוב של בית החולים האוניברסיטאי Vanvitelli בנאפולי. מבית החולים נמסר בהודעה רשמית כי בתאריך ה-01 ביולי בית החולים נפל קורבן למתקפת כופרה ושממדי הנזק נמצאים בבירור של מערך הסייבר האיטלקי, שבודק גם את האפשרות לדלף מידע כתוצאה מהאירוע. ראש מערך הסייבר האיטלקי ביקש מכלל בתי החולים הציבוריים במדינה להגן על רשתות ומערכות המחשוב שלהם על ידי אימוץ פתרונות טכניים וארגוניים מתאימים. בתי החולים התבקשו לנקוט בצעדים בסיסיים נוספים להגנה מפני מתקפות סייבר כמו הקפדה על עדכון מערכת ההפעלה והתוכנות שנמצאות בשימוש של מערכת הבריאות ושמירה על גיבויים כדי לצמצם את זמני ההתאוששות והחשיפה לסיכונים ואת חלון הזמן בו הם יכולים להיות אפקטיביים.
סייבר בספנות ולוגיסטיקה
יפן: מתקפת כופר השביתה את הנמל הגדול ביותר במדינה
נמל Nagoya, הנמל הגדול והעמוס ביותר ביפן, הותקף על ידי תוכנת כופר שהתרחשה ב-4 ביולי 2023, בסביבות השעה 06:30 בבוקר. מתקפת הכופר השביתה את המערכת המרכזית לתפעול מסופי המכולות בנמל וגרמה לביטול פעולות ההעמסה והפריקה של המכולות במסופים, אירוע שגרם להפסדים כספיים אדירים לנמל ולהפרעה חמורה בהעברת הסחורות ליפן וממנה. הנמל מהווה כ-10% מנפח הסחר הכולל של יפן והוא מטפל בלמעלה משני מיליון מכולות מדי שנה.ביום רביעי פרסמה הרשות המנהלית של נמל נגויה הודעה על תקלה במערכת המרכזית השולטת על כל מסופי המכולות בנמל והצהירה שהחזרה לפעילות במתכונת מלאה תתעכב בעקבות שחזור כמויות גדולות של נתונים. לצד זאת, דווח כי המערכות המרכזיות של מסופי המכולות שוחזרו והנמל יחדש את פעילותו במתכונת חלקית היום אחר הצהריים.
הנמל משמש גם את חברת Toyota Motor Corporation, אחת מיצרניות הרכב הגדולות בעולם, לייצוא רוב מכוניותיה. מהחברה נמסר כי המתקפה בנמל Nagoya ביום שלישי לא תשפיע על משלוחי המכוניות החדשות, אך לא ניתן להעלות או לפרוק חלקים מיובאים ומיוצאים בנמל עד לפתרון הבעיה. לאירוע לא הייתה כל השפעה על הייצור נכון ליום רביעי, על פי דובר של יצרנית הרכב.
נכון לכתיבת שורות אלו, זהות התוקף אינה ידועה ואף קבוצת כופרה לא לקחה אחריות על המתקפה.
סייבר בישראל
בית גן, וסייבר - מתקפת DDoS רדיו 103FM, אתר החדשות Channel 7 ואפליקציית חמ״ל - בעקבות המבצע בג'נין
קבוצת התקיפה Anonymous Sudan שעמדה מאחורי מספר תקיפות סייבר שבוצעו כנגד גופים ומוסדות ישראלים (ראה הסייבר 27.04 , 11.05) וזאת כתגובה למבצעים קודמים שהתנהלו על ידי צה״ל (מבצע מגן וחץ), ביצעה תקיפות DDoS ושיבשה את האתרים של רדיו 103FM, אתר החדשות Channel 7 אפליקציית חמ״ל. הקבוצה טענה שהמתקפות הן בתגובה למבצע האחרון שמנהל צה"ל בג'נין. בנוסף, קבוצת התקיפה פירסמה בערוץ הטלגרם שלה כי ״אנחנו צופים במתרחש ברגע שעזה יתחילו להפציץ את ישראל אנחנו נתחיל את משימתנו״ - וזאת, ככל הנראה, בהתייחסות לתקיפות סייבר מתוכננות על ידי הקבוצה עם המשך המבצע, ובמקרה של פעילות צבאית בעזה.
מקור:התמונה מתוך ערוץ הטלגרם של קבוצת התקיפה(05.07.23).
איגוד האינטרנט הישראלי: 4 ספקי האינטרנט הגדולים שולטים ב83% מהשוק בישראל
איגוד האינטרנט הישראלי פרסם השבוע כי כעת בשוק הספקת שירותי אינטרנט, שולטות ארבע קבוצות התקשורת הגדולות, "...ורק 17% מהתעבורה נעשית דרך ספקיות האינטרנט הקטנות." החלוקה בין ארבע ספקי האינטרנט הגדולים היא: קבוצת בזק (פלאפון, בזק בינלאומי ופלאפון) - 27.39%; קבוצת פרטנר - 23.07%; סלקום - 18.66%; ו-הוטנט - 13.45%. ראו את התרשים להלן.
מקור: איגוד האינטרנט הישראלי, האינטרנט הישראלי: מדדים ונתוני שימוש, אתרים, מהירות וביצועים, יולי 2023.
סייבר ופרטיות - רגולציה ותקינה
פשרה בפרשת פריצת הסייבר לשירביט: הראל תשלם פיצויים בסך 4.8 מיליון שקל
הסדר הפשרה שהוגש לבית המשפט בהתייחס לאירוע הסייבר שהתרחש בחברת הביטוח שירביט בשנת 2020 קובע כי חברת הראל, שרכשה את פעילות שירביט בשנת 2021, תשלם בסך הכל כ-3.4 מיליון שקל מי שנפגעו מדלף מידע אישי (500 ש"ח לכל אדם שנפגע), ועוד 1.4 מיליון שקל לקרן לתובענות ייצוגיות נגד החברה שנפגעו מאירוע הסייבר. דלף המידע האישי היה רק היבט אחד של האירוע: ב-29 בנובמבר 2022, פרצה קבוצת האקרים לשרתי חברת שירביט, הצפינו מידע במערכותיה, והתחילו לפרסם מידע אישי של לקוחותיה, עובדיה ואנשים נוספים. אמנם דרשו ההאקרים תשלום תמורת הפסקת הפרסומים של מידע אישי, אבל שירביט החליטה שלא לשלם. בעקבות המקרה, הממונה על שוק ההון, ביטוח וחיסכון הטיל קנס של כ-10 מיליון שקל על חברת שירביט. שנה אחרי האירוע, בדצמבר 2021, חברת הביטוח הראל רכשה את חברת שירביט, וכעת, הסדר הפשרה של שקיבל את האישור של בית המשפט יבוצע על ידי חברת הראל.
בבדיקה מדגמית של חברות ניהול תיקים שערכה מחלקת ביקורת והערכה של רשות ניירות ערך, עלו מספר ליקויים רוחביים בקרב חברות ניהול תיקים שמפוקחות על ידי הרשות. מדובר בבדיקה מדגמית שנערכה במהלך החודשים נובמבר 2022 -מרץ 2023, בקרב חברות מפוקחות שמחוייבות ליישום של תקנות הגנת הפרטיות (אבטחת מידע) - התשע"ז - 2017. כתוצאה מהבדיקה, הוחלט לעדכן את חוזר התובנות של מחלקת הביקורת והערכה מניתוח מענה לשאלון בנושא סיכוני אבטחת מידע וסייבר שנערך בחודש יולי 2018. בין הליקוים הרוחביים שאובחנו על ידי הרשות ושדרשו עדכון התובנות: (1) הצורך להתאים תוכניות לרציפות עסקית לא רק להיבטים שנוגעים להשבתת מערכות מחשוב באירוע הסייבר, אלא גם להיבטים כגון דליפת מידע אישי ועדכון לקוחות; (2) הצורך להפעיל אמצעי אבטחה על מתקנים ניידים כדי לצמצם את הסיכון של דליפת מידע אישי; (3) מומלץ לחברות שמעבירות מידע אישי לספקים לנקוט באמצעי הצפנה בעת ההעברה אליהם; ו-(4) חשוב לצמצם את השימוש בחשבונות משותפים של משתמשים מטעם החברה. התובנות המעודכנות הופצו לחברות ניהול תיקים.
כנסים
דיסקליימר: המידע שמופיע בדוח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדוח בכל זמן.
בכתיבת הדוח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, רוני עזורי, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ואורי יוסף.