דו״ח סייבר שבועי
עדכון שבועי 06.10.2022
עיקרי הדברים
-
ישראל: הממשלה אישרה - הרשות להגנת הפרטיות תהפוך לעצמאית.
-
אוקטובר הוא חודש מודעות הסייבר העולמי; מערך הסייבר הלאומי יוצא בקמפיין שכותרתו ״אם זה נראה פישי - כנראה שזה פישינג״.
-
נמשכות תקיפות הכופרה על בתי חולים ברחבי העולם: CommonSpirit Health משביתה גישה לרישומים אלקטרוניים של מטופלים עקב ״תקרית אבטחת IT", קשיים בטיפול ועומסים כבדים בבי״ח רבים.
-
הורשע האחראי על הגנת הסייבר של חברת Uber: הסתרת פרטים בנוגע לאירוע סייבר מהווה עבירה על החוק.
-
*אנו ממליצים לעדכן את המוצרים הבאים: שרתי Exchange של מיקרוסופט (Zero-day); מערכת Drupal והמודול S3 File System (קריטי); דפדפן Google Chrome (גבוה); מוצרי Cisco (גבוה); דפדפן Thunderbird של Mozilla (גבוה); דפדפן Microsoft Edge (גבוה); המוצר Orion של SolarWinds (גבוה); המוצרים RealVNC Server ו-VNC Viewer (גבוה).*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכוני אבטחה למוצרי Cisco נותנים מענה ל-12 חולשות, 4 מהן ברמת חומרה גבוהה
מיקרוסופט מנתחת מתקפות של קבוצה בגיבוי מדינתי המשתמשת בשתי חולשות Zero-day בשרתי Exchange מקומיים
עדכוני אבטחה לדפדפן Google Chrome נותנים מענה לחולשות ברמת חומרה גבוהה
עדכון אבטחה של Mozilla נותן מענה לחולשות ב-Thunderbird, חלקן ברמת חומרה גבוהה
עדכון אבטחה ל-SolarWinds Orion נותן מענה לחולשת XSS ברמת חומרה גבוהה
עדכון אבטחה ל-RealVNC Server ול-VNC Viewer נותן מענה לחולשה ברמת חומרה גבוהה
עדכוני אבטחה ל-Drupal ולמודול S3 File System נותנים מענה לשתי חולשות, אחת מהן ברמת חומרה גבוהה
עדכון אבטחה ל-Microsoft Edge נותן מענה לחולשה ברמת חומרה גבוהה
התקפות ואיומים
קבוצת התקיפה הצפון קוריאנית Lazarus תוקפת מטרות באירופה בקמפיין ריגול חדש
שיטה חדשה להתקנת קבצים זדוניים זוהתה במכונות הווירטואליות של שרתי VMware ESXi ,Linux vCenter ו-Windows
קבוצת תקיפה המקושרת לסין מטמיעה קוד זדוני בתמונות רקע של Windows
מתקפה על שרשרת אספקה זוהתה באפליקציית ההתקשרויות Comm100
קבוצת התקיפה RansomEXX מודיעה שתקפה את יצרנית רכבי היוקרה האיטלקית Ferrar
השבוע בכופרה
ארה״ב: CommonSpirit Health משביתה גישה לרישומים אלקטרוניים של מטופלים עקב ״תקרית אבטחת IT", קשיים בטיפול ועומסים כבדים בבי״ח רבים
קבוצת הכופרה BlackCat טוענת כי פרצה לקבלן של משרד ההגנה האמריקאי
אזרח קנדי שלקח חלק במתקפת כופרה של קבוצת Netwalker נידון ל-20 שנות מאסר בארה״ב
Avast הוסיפה לסל הכלים שלה יכולות התמודדות נוספות עם מתקפות כופרה והצפנת קבצי
סייבר בעולם
מיקרוסופט מוסיפה אפשרות לדווח על הודעות פישינג מתוך Microsoft Teams
ה-CISA מוסיפה 3 חולשות ל״קטלוג החולשות הידועות המנוצלות״ שלה
עובד לשעבר ב-NSA נעצר לאחר שניסה למכור מסמכים סודיים ל״סוכן זר״
אריזונה: דלף מידע ממערכות עיריית טוסון משפיע על כ-125 אלף תושבי
סייבר בישראל
חודש אוקטובר הוא חודש המודעות העולמי להגנת סייב
סייבר ופרטיות - רגולציה ותקינה
הורשע האחראי על הגנת סייבר של חברת Uber: הסתרת פרטים בנוגע לאירוע סייבר מהווה עבירה על החוק
הרשות להגנת הפרטיות תהנה מעצמאות רגולטורית ומבנית
המועמדת האמריקאית לתפקיד מזכ"ל איגוד הבזק הבינלאומי גברה על המועמד הרוסי
Meta הגיעה לפשרה עם שתי חברות שיווק, אחת מהן ישראלית, שביצעו Web scraping בפייסבוק ובאינסטגרם: ״החברה תקבל סכום משמעותי
כנסים
הציטוט השבועי
״בעבר הייתי עד לשימוש ב-TikTok של בתו בת ה-10 של מנכ"ל. [...] זה עושה את העבודה, זו טקטיקה טובה של הפעלת לחץ. אין דבר יעיל יותר משליחת מייל [לאנשים] בטענה שתפגע בילדיהם.״
ראיון של vx-underground עם RWO-09-26, מפעיל כופרה, 26.9.2022.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכוני אבטחה למוצרי Cisco נותנים מענה ל-12 חולשות, 4 מהן ברמת חומרה גבוהה
העדכונים סוגרים חולשות בארבעת המוצרים הבאים:
Cisco SD-WAN - שתי חולשות (CVE-2022-20775, CVSS 7.8; CVE-2022-20818, CVSS 7.8) המצויות ב-CLI של המוצרים, ואשר עלולות לאפשר לתוקף מקומי ומאומת להעלות את הרשאותיו ולבצע פקודות שרירותיות כמשתמש אדמין. רשימת המוצרים הפגיעים והעדכונים הרלוונטיים מצויה כאן.
Cisco AsyncOS - חולשה (CVE-2022-20871, CVSS 6.3) המצויה בממשק ניהול ה-Web של המוצר עבור Cisco ,Secure Web Appliance ועלולה לאפשר לתוקף מרוחק ומאומת להעלות הרשאות לרמת אדמין ולבצע Command Injection. מקור החולשה באימות שאינו מספק של הקלט שסופק בממשק ה-Web על ידי המשתמש. רשימת המוצרים הפגיעים והעדכונים הרלוונטיים מצויה כאן.
Cisco Enterprise NFV Infrastructure Software - חולשה (CVE-2022-20929, CVSS 7.8) שמקורה באימות חתימה קריפטוגרפית שאינה מספקת בקובצי שדרוג, ועלולה לאפשר לתוקף מקומי שאינו מאומת להעלות קובץ שדרוג שאינו אותנטי למנהל המערכת, ובכך לסכן את מערכת ה-NFVIS. רשימת המוצרים הפגיעים והעדכונים הרלוונטיים מצויה כאן.
Cisco Expressway Series Software & Cisco TelePresence Video Communication Server - שתי חולשות (CVE-2022-20814, CVSS 7.4; CVE-2022-20853, CVSS 7.4) המצויות בממשק ה-API ובממשק הניהול מבוסס ה-Web של תוכנות אלה, ועלולות לאפשר לתוקף מרוחק לעקוף את אימות האישורים או לבצע מתקפת Cross-site request forgery. רשימת המוצרים הפגיעים והעדכונים הרלוונטיים מצויה כאן.
צוות קונפידס ממליץ לבעלי המוצרים לעדכנם לגרסאותיהם האחרונות.
מיקרוסופט מנתחת מתקפות של קבוצה בגיבוי מדינתי המשתמשת בשתי חולשות Zero-day בשרתי Exchange מקומיים
לדברי צוות אבטחת המידע של החברה, החולשות עלולות לאפשר העלאת הרשאות (CVE-2022-41040, CVSS 8.8) והרצת קוד מרחוק (C,VE-2022-41082, CVSS 8.8) והן רלוונטיות לשרתים בגרסאות 2013, 2016 ו-2019. עוד נמסר ממיקרוסופט כי זוהו מספר מתקפות בהן מנוצלת החולשה הראשונה על מנת לנצל מרחוק את השנייה להרצת קוד על שרת פגיע, כאשר בשלב זה אותרו פחות מ-10 ארגונים ברחבי העולם שנתקפו במתווה זה. על מנת לנצל את החולשות יש צורך באימות מוקדם מול שרת ה-Exchange הפגיע, אך אין צורך במשתמש בעל הרשאות גבוהות, שכן החולשה השנייה מאפשרת גם למשתמש בעל הרשאות נמוכות לשלוח בקשה בצד שרת בהרשאות גבוהות יותר.
החולשות זוהו לראשונה באוגוסט 2022 על ידי צוות המודיעין של החברה, שהבחין בקבוצה שהצליחה לשרשר את שתי החולשות ולהשיג גישה ראשונית אל מספר שרתי Exchange פגיעים, באמצעות טכניקות נפוצות יחסית, כגון פישינג, ריסוס סיסמאות (Password Spraying) וקניית משתמשים גנובים ברשת האפלה. לאחר מכן התקינו התוקפים Web shells על שרתי ה-IIS על מנת להשיג ממשק להרצת פקודות בהרשאות גבוהות. באמצעות ה-Web shells עלה בידיהם למפות את הרשת הארגונית ולחלץ ממנה מידע.
החולשות רלוונטיות אך ורק לשרתים בסביבת On-prem (שרתים פיזיים), ומשתמשי Exchange Online מוגנים מפני המתקפה. בתוך כך, מיקרוסופט פרסמה סקריפט שעורך את הגדרות מודול ה-URL Rewrite וגודע את שרשרת התקיפה בכך שהוא מונע מהתוקפים לנצל את החולשה הראשונה (במידה והמודול אינו קיים על השרת מקומי, הסקריפט יוריד אותו).
צוות קונפידס ממליץ לארגונים המשתמשים ב-Exchange מקומי לפעול לפי המלצותיה של מיקרוסופט ולעקוב אחר ההתפתחויות והמלצות נוספות שינתנו בהמשך למיגור החולשות ברשומת הבלוג המתעדכנת של מיקרוסופט.
עדכוני אבטחה לדפדפן Google Chrome נותנים מענה לחולשות ברמת חומרה גבוהה
גרסה 106.0.5249.91 של המוצר עבור Mac ,Linux ו-Windows סוגרת בכל גרסאותיו המוקדמות יותר 3 חולשות, שתיים מהן (CVE-2022-3370, CVE-2022-3373) ברמת חומרה גבוהה. החולשות הן מסוג Use-After-Free ו-Out-of-bounds Write, ועלולות לאפשר לתוקף מרוחק להריץ קוד שרירותי. עדכוני האבטחה יהיו זמינים להורדה בימים/שבועות הקרובים.
צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו לגרסתו החדשה עם שחרורה.
עדכון אבטחה של Mozilla נותן מענה לחולשות ב-Thunderbird, חלקן ברמת חומרה גבוהה
העדכון לפלטפורמת ה-Email Client של החברה סוגר 5 חולשות במוצר, 4 מהן ברמת חומרה גבוהה, הרלוונטיות למשתמשים בפרוטוקול ה-Matrix Chat. ניצול מוצלח של החולשות עלול לאפשר לתוקף לבצע מתקפה מסוג Impersonation על ידי שליחת הודעות מוצפנות מזויפות הנראות כאילו נשלחו על ידי משתמש מהשרת הלגיטימי, וכן מתקפה מסוג Device Verification, לאימות מכשיר התוקף במקום מכשיר לגיטימי.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה, Thunderbird 102.3.1.
עדכון אבטחה ל-SolarWinds Orion נותן מענה לחולשת XSS ברמת חומרה גבוהה
העדכון סוגר במוצר חולשה (CVE-2022-36965, CVSS3.0 7.5) העלולה לאפשר לתוקף להזריק קוד זדוני, שיופעל בעת צפייה בדף אינטרנט באמצעות הדפדפן בו משתמש הקורבן. מקור החולשה באימות קלט לקוי באזור הפידבק של הפלטפורמה.
צוות קונפידס ממליץ למשתמשי Orion לעדכנו לגרסתו האחרונה (2022.3).
עדכון אבטחה ל-RealVNC Server ול-VNC Viewer נותן מענה לחולשה ברמת חומרה גבוהה
החולשה, שקיבלה את ציון החומרה CVSS 7.8, עלולה לאפשר למשתמש מקומי מאומת להעלות הרשאות, כל זאת בשל באג במצב ה-Repair של קובץ ההתקנה של המוצר.
צוות קונפידס ממליץ למשתמשי התוכנה לעדכנה לגרסתה האחרונה.
עדכוני אבטחה ל-Drupal ולמודול S3 File System נותנים מענה לשתי חולשות, אחת מהן ברמת חומרה גבוהה
החולשה הראשונה (CVE-2022-39261, CVSS 8.8) מצויה במוצר בשם Twig, מעבד תבניות עבור PHP בו Drupal עושה שימוש. עדכון אבטחה שפורסם על ידי Twig משפיע על Drupal באופן שעלול לאפשר לתוקף שאינו מאומת ואשר יכול לכתוב קוד Twig לגשת ולקרוא קבצים רנדומליים הנמצאים מחוץ לתיקייה בה נמצאות התבניות שבהן Twig משתמש, לגנוב את פרטי ההתחברות למסד הנתונים ועוד. עבור חולשה זו פורסמה גם התרעה דחופה מטעם הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), כך שנדרש להטמיע את עדכון האבטחה בדחיפות. החולשה רלוונטית למוצר Drupal החל מגרסה 8.0.0 ועד 9.3.22, וכן מגרסה 9.4.0 עד 9.4.7. גרסאות ישנות יותר מ-9.3 אינן נתמכות עוד, וגרסה 7 של Drupal אינה כוללת את הספרייה האמורה, ועל כן העדכון הספציפי אינו נחוץ עבורה.
החולשה השנייה, שרמת חומרתה נקבעה על ידי Drupal כבינונית, רלוונטית ללקוחות שעושים שימוש במודול S3 File System, שמהווה מערכת קבצים נוספת לאתר Drupal, המאפשרת אחסון קבצים במאגר נתונים S3 של Amazon. לדברי חוקרי האבטחה של Drupal, התברר שבהינתן תנאים מסוימים תוקף עשוי לגשת לקבצים המאוחסנים באותו Bucket, גם אם התקבלו ממערכות קבצים אחרות.
צוות קונפידס ממליץ לבעלי המוצרים לעדכנם לגרסאותיהם האחרונות.
עדכון אבטחה ל-Microsoft Edge נותן מענה לחולשה ברמת חומרה גבוהה
העדכון ל-Microsoft Edge מבוסס Chromium נותן מענה לחולשה (CVE-2022-41035, CVSS 8.3) מסוג Spoofing, העלולה לאפשר לתוקף לארח אתר אינטרנט המכיל קובץ בעל מבנה מיוחד שנועד לנצל את החולשה (או למנף לשם כך אתר אינטרנט שנפרץ, אשר מקבל או מארח תוכן שסופק על ידי המשתמש).
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה בהקדם האפשרי .
התקפות ואיומים
קבוצת התקיפה הצפון קוריאנית Lazarus תוקפת מטרות באירופה בקמפיין ריגול חדש
מדוח שפרסמה חברת אבטחת המידע ESET על קמפיין פישינג שהחל ב-2021, עולה ש-Lazarus תקפה חברת תעופה וחלל הולנדית ועיתונאית פוליטית בבלגיה למטרות ריגול. על פי ESET, הפנייה לעובדי החברות נעשתה באמצעות הצעת עבודה, לכאורה, כאשר עובדים בחברה ההולנדית קיבלו הודעה עם קובץ מצורף באמצעות לינקדאין ועובדים בחברה הבלגית קיבלו מסמך שצורף להודעת מייל. פתיחת המסמכים הביאה להורדת וירוסים, שבתורם הורידו לעמדות תוכנות זדוניות, דלתות אחוריות מותאמות אישית ועוד. במסגרת המקפיין, קבוצת התקיפה השתמשה בכלים רבים, אך הדבר שתפס את תשומת לבם של החוקרים הוא השימוש שעשתה בהתקפה מסוג BYOVDי(Bring Your Own Vulnerable Driver), המאפשרת להאקרים לטעון מנהל התקן (Driver), המכיל גם חולשות. דבר זה נעשה תוך ניצול לראשונה של חולשה (CVE-2021-21551) המצויה במנהל התקן של חברת Dell, ואשר מאפשרת לתוקפים גישה לכתיבה וקריאה לזיכרון הליבה. באופן זה ניתן להשבית שבעה מנגנונים שמערכת ההפעלה Windows מציעה לניטור פעולותיה, בהם רישום, מערכת קבצים, יצירת תהליכים, מעקב אחר אירועים ועוד, ובכך להשבית את פעולתם של פתרונות אבטחה בצורה כוללת וחזקה מאוד. זוהי הפעם הראשונה בה נצפה מינוף של החולשה האמורה לכיבוי פעולות הניטור של כל פתרונות האבטחה של הקורבן.
לדברי ESET, מאחורי מתקפה זו, ובאופן האופייני למתקפות אחרות המיוחסות ל-Lazarus, עומד צוות גדול, מאורגן ושיטתי, הפועל במיומנות, לאחר ביצוע מחקר, פיתוח ובדיקות מעמיקות. ESET מפצירה בארגונים לעמוד על כך שעובדיהם לא יבצעו פעולות אישיות, כגון חיפוש עבודה, במכשירים השייכים לתשתית החברה אליה הם משתייכים.
צוות קונפידס ממליץ לארגונים להטמיע במערכות ההגנה שלהם את מזהי התקיפה (IOCs) המופיעים בדוח.
במהלך 2022 נצפו קבוצות תקיפה שונות מנצלות פלטפורמות וירטואליות. בתוך כך, לפני מספר חודשים חשפו חוקרים מחברת Mandiant נוזקות חדשות בפלטפורמות הווירטואליות של שרתי VMware ESXi ,Linux vCenter ו-Windows המתקשרות עם תהליך המשתמש של VMware (המוכר גם כ-vmtoolsd.exe). הנוזקות מאפשרות לתוקף לשמר גישה אדמיניסטרטיבית על מחשב הקורבן, להריץ פקודות מרחוק מהמכונה הווירטואלית לפלטפורמה המארחת, להעביר קבצים מהמכונה הווירטואלית לפלטפורמה המארחת, לשנות את הגדרות הרישום על גבי ה-Hypervisor ולהריץ פקודות מן המכונה הווירטואלית למכונות נוספות שנמצאות על אותו Hypervisor. בחקירה מעמיקה החוקרים זיהו בפלטפורמות שנתקפו התקנה של חבילת vSphere Installation Bundle) VIB) לא חתומה, שמטרתה המקורית היא להקל על הפצות תוכנה ועל ניהול מערכות וירטואליות. בהינתן הרשאות אדמין במערכת הקורבן, התוקף יוכל להתקין בה שתי נוזקות דלת אחורית שטרם נצפו עד כה: VIRTUALPITA ו-VIRTUALPIE.
הנוזקה VIRTUALPITA, יוצרת מאזין (Listener) לשרת ה-VMware ESXi, משתמשת ביציאות ושמות לגיטימיים של VMware על מנת להסוות עצמה כשירות לגיטימי ומאפשרת הרצת פקודות זדוניות מרחוק, העלאה והורדה של קבצים ויכולת להפעיל ולהפסיק את שירות ה-vmsyslog (המשמש לתיעוד פעולות ולהקפצה של הודעות מערכת לשרת מסוים). הנוזקה VIRTUALPIE, המוצפנת על ידי RC4, מאזינה גם היא לשרת ה-VMware ESXi לפי כתובות של IPv6, ומאפשרת הרצת פקודות זדוניות מרוחקות והעברת קבצים לתוך ומחוץ לפלטפורמה הווירטואלית. לדברי חוקרי Mandiant, לא זוהה ניצול החולשות הללו בפלטפורמה הווירטואלית של VMware. בדוח טכני שפרסמה החברה היא מתייחסת אל המתקפה כאל ריגול סייבר, וטוענת כי ייתכן ויש לנוזקה קשר לסין.
צוות קונפידס ממליץ למשתמשי VMware ESXi לפעול בהתאם ל-Best Practice שפורסמו באתר החברה.
קבוצת תקיפה המקושרת לסין מטמיעה קוד זדוני בתמונות רקע של Windows
מדוח שפרסמה חברת Symantec עולה שקבוצת התקיפה Witchetty, אשר ככל הנראה קשורה לסין, נצפתה משתמשת בסטגנוגרפיה, כאשר שלפה קוד זדוני מתוך תמונת Bitmap. הקבוצה, שלרוב אף משתמשת ב-LookBack בתור Backdoor, הורידה באמצעות DLL loader קובץ Bitmap מ-GitHub, שעל פניו נראה כמו רקע ישן של Windows, אך בפועל מכיל קוד זדוני המוצפן באמצעות מפתח XOR. לדברי החוקרים, הטמעת קוד זדוני באופן זה מאפשרת לתוקפים להחביא קבצים בשירותים לגיטימיים, כגון GitHub, בהם מערכות הגנה לא יחשדו. הקוד הזדוני שהוצפן בתוך התמונה משרת את התוקפים כ-Backdoor המסוגל, בין היתר, ליצור תיקיות, להעתיק ולמחוק קבצים, להוריד ולהריץ קבצים מהרשת ואף לבצע פעולות כתיבה וקריאה ב-Registry.
צוות קונפידס ממליץ לארגונים להטמיע במערכות ההגנה שלהם את מזהי התקיפה (IOCs) המופיעים בדוח.
מתקפה על שרשרת אספקה זוהתה באפליקציית ההתקשרויות Comm100
חוקרי חולשות מחברת CrowdStrike זיהו קובץ התקנה נגוע באתרה של Comm100, לה יותר מ-15,000 לקוחות ב-51 מדינות בצפון אמריקה ובאירופה, לרבות ארגונים ממגזרי הבריאות, הטכנולוגיה, הייצור הביטוח והתקשורת. הקובץ הזדוני נחתם על ידי היצרן ב-26 בספטמבר ואף היה זמין להורדה באתרו הרשמי, דבר המקשה על זיהויו באמצעות מערכות הגנה. הקובץ, שמותקן ביחד עם האפליקציה הלגיטימית, הינו קובץ Electron המכיל דלת אחורית שכתובה בשפת JavaScript ותפקידה להוריד ולהריץ קובץ JavaScript שני, שהמהווה דלת אחורית נוספת, אשר מטרתה לאסוף מידע על מערכת הקורבן ולהעבירו לתוקף. לאחר שלב זה, לתוקף תהיה יכולת להריץ על העמדה פקודות מרחוק. עוד פועל התוקף להורדת קובצי DLL זדוניים נוספים, שיוצרים התקשרות עם שרת פיקוד ושליטה (C2). להערכת חוקרי CrowdStrike, מתקפת שרשרת האספקה על האפליקציה התרחשה בין ה-27 ל-29 בספטמבר, ויש סבירות בינונית לכך שהתוקף האחראי לה הוא אותו תוקף סיני שזוהה בעבר פועל נגד אתרי הימורים, זאת לאור השימוש שנעשה באפליקציית התקשרויות להעברת הנוזקה, השימוש בתשתיות Alibaba לתחזוקת השרתים ודפוסי פעולה דומים אחרים. מ-Comm100 נמסר בתגובה כי היא פועלת להשגת מידע נוסף אודות התקרית.
צוות קונפידס ממליץ למשתמשי האפליקציה לעדכנה באופן מיידי לגרסתה האחרונה, 10.0.9.
קבוצת התקיפה RansomEXX מודיעה שתקפה את יצרנית רכבי היוקרה האיטלקית Ferrari
הקבוצה פעילה מ-2018 וידועה ככזו התוקפת ארגונים בעלי פרופיל גבוה, בהם מערכת התחבורה של מונטריאול, משרד התחבורה של טקסס ומערכת המשפט הברזילאית. לאחרונה הודיעה RansomEXX כי תקפה את חברת Ferrari, וכי פרסמה באתר ההדלפות שלה מידע בנפח של יותר מ-7GB, לרבות מסמכים פנימיים, גיליונות נתונים ומדרכי תיקון, הניתנים להורדה בחינם. בתוך כך, דובר חברת Ferrari דריו אספוזיטו מסר לאתר האיטלקי Red Hot Cyber כי אין ראיות לפריצה או לפעילות כופרה במערכות החברה, וכי לא היתה הפרעה לפעילותה. עוד מסר שהחברה תעשה כל שנדרש לאיתור מקור האירוע. מקרה זה אינו הראשון בו דולפים מסמכים של Ferrari, כאשר בדצמבר 2021 קבוצת הכופרה Everest פרצה למערכותיה של Speroni, חברת ייצור המהווה חלק משרשרת האספקה של מספר יצרניות רכב, לרבות Ferrari. באותה מתקפה נגנבו 850GB של מידע רגיש, אשר הוצע למכירה ברשת האפלה.
השבוע בכופרה
אחת ממערכות הבריאות הגדולות ביותר בארצות הברית מדווחת כי הסירה מהרשת חלק ממערכות ה-IT שלה בעקבות אירוע אבטחה שהשפיע על כמה משירותיה. כצעד מניעתי, ולאחר שזיהתה בעיית אבטחה המשפיעה על חלק ממתקניה, CommonSpirit העבירה למצב לא-מקוון חלק ממערכותיה שעשויות לכלול רישום רפואי אלקטרוני של מטופלים. כתוצאה מכך, בוטלו תורים ותהליכים רפואיים קריטיים של מטופלים, ומטופלים בבתי חולים אחרים שמושפעים מהאירוע מדווחים כי הצוותים הרפואיים עברו לעבודה ידנית עם טפסים מאולתרים, והם משתמשים בטלפונים הניידים האישיים שלהם לתקשורת זה עם זה. הדבר מביא לעומסים כבדים במרכזים הרפואיים, ואמבולנסים שמגיעים אליהם מנותבים למוסדות רפואיים אחרים.
CommonSpirit מפעילה יותר מ-140 מתקנים רפואיים ו-1,000 מרכזי טיפול רפואיים ב-21 מדינות, ומספקת שירותי בריאות ליותר מ-21 מיליון מטופלים. מן החברה נמסר כי היא לוקחת אחריות מלאה לאבטחת מערכות ה-IT שלה, והודתה לצוותים הרפואיים שעושים כל שביכולתם למעזור ההשפעה על המטופלים. למרות שסוג המתקפה טרם נקבע בוודאות, השבתת המערכות על ידי החברה מעידה בסבירות גבוהה על מתקפת כופרה, וגם ברשתות החברתיות מובע החשד שמדובר במתקפה רחבת היקף מסוג זה, כחלק מתופעת מתקפות הכופרה על המגזר הרפואי בעת האחרונה.
אזרח קנדי שלקח חלק במתקפת כופרה של קבוצת Netwalker נידון ל-20 שנות מאסר בארה״ב
סבסטיאן ואשון-דז׳ארדן (35) הינו שותף לשעבר של קבוצת Netwalker, אשר לפני כשלושה חודשים הודה בהאשמות נגדו בגין פעילות כופרה, אשר במסגרתה זיהה ותקף קורבנות בעלי פרופיל גבוה ברחבי העולם, בהם חברות, עיריות, בתי חולים, רשויות אכיפת חוק ועוד. ואשון-דז׳ארדן, שעבד עבור ממשלת קנדה כמהנדס IT, גזר רווח מהצפנות וגניבות נתונים שביצע, תוך שימוש ״באמצעים טכנולוגיים מתוחכמים לניצול מאות קורבנות במספר רב של מדינות, בשיאו של משבר בריאות עולמי״. הוא הוסגר לארצות הברית בחודש מרץ 2022, לאחר שנעצר בעיר קוויבק שבקנדה ב-27 בינואר 2021 (ראו ״הסייבר״, 28.1.21), ומעצרו הוביל לתפיסתם של 742,840 דולר במטבע קנדי ו-719 ביטקוין (21,849,087 דולר בזמן התפיסה, 14,463,993 דולר כיום). קבוצת התקיפה Netwalker החלה לפעול ב-2019 והרבתה לבצע תקיפות נגד מוסדות במגזר הבריאות, תוך ניצול מגפת הקורונה ולשם סחיטת כספים ממגוון קורבנות. על פי נתונים סטטיסטיים מחברת ניתוח הבלוקצ'יין Chainalysis, עד היום אותרו בידי חברי Netwalker כספים בשווי של יותר מ-46 מיליון דולר.
קבוצת הכופרה BlackCat טוענת כי תקפה חברה המספקת שירותי קבלן למשרד ההגנה האמריקאי
קבוצת הכופרה הוסיפה לאחרונה לרשימת הקורבנות המצויה באתרה את שמה של חברת NJVC, המספקת שירותי IT למשרד ההגנה האמריקאי (DOD), ובעלת מחזור שנתי של 290 מיליון דולר. בחשבון הטוויטר של DarkFeed, חברת מודיעין Deep web הפועלת ברשת האפלה, נכתב כי הבחינה בהודעה של BlackCat ב-28 בספטמבר וכי אתר ההדלפות של הקבוצה היה פעיל עד ל-30 בספטמבר. בשעה זו נראה כי NJCV כבר אינה מופיעה ברשימת הקורבנות האמורה, אך על פי צילום מסך שפורסם בחשבון הטוויטר של DarkFeed קבוצת הכופרה BlackCat ממליצה ״ליצור עמנו קשר על מנת לדון במצבכם, אחרת מידע חסוי שבידינו ישוחרר כל 12 שעות״. BlackCat, שגל תקיפות מצדה התפרץ לראשונה ב-2021, משתמשת בשפת התכנות Rust ומציעה כופרה כשירות (RaaS או Ransomware-as-a-Service), בה משתמשות, בין היתר, קבוצות הכופרה Conti ,LockBit ואחרות. על פי ההערכות, במהלך 2022 קרוב ל-12% אחוז מכלל התקיפות בוצעו על ידי BlackCat, ופעילותה עלתה בשיעור של 117% במהלך הרבעון הקודם.
Avast הוסיפה לסל הכלים שלה יכולות התמודדות נוספות עם מתקפות כופרה והצפנת קבצים
חברת הסייבר Avast, המוכרת בעיקר בזכות מוצר האנטי-וירוס שלה, מציעה כלים חינמיים לפיצוח הצפנת קבצים שהוצפנו בידי קבוצות כופרה שונות (AES_NI ,Alcatraz Locker ,AtomSilo&LockFile ורבות אחרות). הכלים שנוספו כעת להיצע של Avast נותנים מענה לפעולותיהן של קבוצות הכופרה MafiaWare666 ,JCrypt ,RIP Lmao ו-BrutusptCrypt, כאשר לדברי החברה היא מצאה מספר פגמים בשיטת ההצפנה של אותן קבוצות, שבהתבסס עליהם ניתן לנסות ולפצח את הצפנת הקבצים. הכלים שמציעה Avast מסייעים לקורבנות רבים להימנע מתשלומי כופרה. עם זאת, קבוצות הכופרה שלפעולותיהן הכלים הוותיקים והחדשים של Avast נותנים מענה הינן קבוצות קטנות יחסית לקבוצות כופרה אחרות הפועלות במרחב הסייבר, וייתכן שכלים אלה לא יהיו תקפים למתקפות כופרה של קבוצות אחרות. כלים אלה ונוספים זמינים גם בפרויקט No More Ransom.
סייבר בעולם
מיקרוסופט מוסיפה אפשרות לדווח על הודעות פישינג מתוך Microsoft Teams
לדברי החברה, היא עובדת על עדכון ל-Microsoft Defender for Office 365 שיאפשר למשתמשים לדווח על הודעות חשודות/פישינג ישירות למנהלי הארגון מתוך ה-Microsoft Teams. ה-Microsoft Defender for Office 365 נועד להגן על משתמשי מערכת המיילים מפני הודעות פישינג, לינקים זדוניים ועוד, והכלי החדש שמפותח נועד לאפשר לאדמינים לסנן הודעות בעלות פוטנציאל מסוכנות הנשלחות לעובדים ומכילות קובץ זדוני או לינק לאתר פישינג. לדברי מיקרוסופט, משתמשי הקצה יוכלו לדווח על הודעות Teams חשודות כפי שכיום מתאפשר רק בנוגע להודעות מייל, וההודעות המדווחות יחולקו לקטגוריות בהתאם לדיווחו של העובד (פישינג או ספאם, למשל). העדכון, שככל הנראה יופץ לכלל משתמשי 365 עד סוף ינואר 2023, מפותח על בסיס עדכון קודם, שפורסם ביולי 2021 ואיפשר ל-Teams לחסום באופן אוטומטי ניסיונות פישינג באמצעות סריקה אוטומטית של לינקים. עדכון נוסף שפורסם בנובמבר 2021 מחיל הגדרות ומדיניות אבטחה מומלצות באופן אוטומטי, כך שכלל המשתמשים בשירות מקבלים הגנה בסיסית מרגע הפעלת התוכנה. עדכון אחר, שפורסם בינואר השנה, הוסיף יכולת הבחנה בין חשבונות והחלה של מדיניות הגנה בהתאם, למשל מדיניות אבטחה קפדנית יותר על משתמשי אדמין, שלרוב מהווים מטרה לתקיפות.
ה-CISA מוסיפה 3 חולשות ל״קטלוג החולשות הידועות המנוצלות״ שלה
הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) הוסיפה את החולשות לקטלוג שהיא מתחזקת בהתבסס על עדויות לניצולן האקטיבי על ידי תוקפים. החולשות מצויות במוצרים Bitbucket Server ו-Data Center של Atlassian ובשרתי Microsoft Exchange. החולשה (CVE-2022-36804, CVSS 8.8) במוצרי Atlassian, שרמת חומרתה גבוהה, עלולה לאפשר לתוקף להריץ קוד על עמדת הקורבן על ידי שליחת בקשת HTTP זדונית (בהינתן גישה ל-Bitbucket), ואילו ניצולן של החולשות ב-Microsoft Exchange, שטרם קיבלו ציון חומרה (CVSS) עלול לאפשר לתוקף לכפות על השרת להוציא אל הפועל את בקשתו באמצעות ניצול אחת מהן (CVE-2022-41040) ולהריץ עליו קוד מרחוק באמצעות ניצול האחרת (CVE-2022-41082). על אף שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות בקטלוג, ה-CISA ממליצה לכל ארגון לפעול לטיפול בהן, על מנת לצמצם את חשיפתו לתקיפות סייבר.
צוות קונפידס ממליץ למשתמש המוצרים לפעול בהתאם להנחיות שפורסמו על ידי היצרן עבור שרתי ה-Exchange, ולהטמיע את עדכון האבטחה שפורסם על ידי Atlassian עבור גרסאות 7.0.0 עד 8.3.0 של המוצרים הפגיעים.
עובד לשעבר ב-NSA נעצר לאחר שניסה למכור מסמכים סודיים ל״סוכן זר״
ג׳ארה דאלקה, שעבד בסוכנות האמריקאית לביטחון לאומי (NSA) כארכיטקט אבטחת מידע משך חודש אחד בלבד ושירת בצבא ארצות הברית כ-3 שנים, ניסה למכור את המסמכים לסוכן של לשכת החקירות הפדרלית (FBI), שהתחזה לסוכן העובד עבור מדינה זרה. במהלך שירותו ב-NSA סיווגו הבטחוני של דאלקה היה ״סודי ביותר״. ככל הנראה כי הוא השתמש בחשבון מייל מוצפן על מנת להעביר שלושה מסמכים לסוכן ה-FBI, שניים מהם סווגו כ״סודיים ביותר״ והשלישי סווג כ״סודי״. עבור המסמכים דרש דאלקה תשלום במטבעות קריפטו, והוא אף הסכים להעביר לידי הסוכן מידע מסווג נוסף עבור 85 אלף דולר במקום ציבורי, שם נעצר על ידי ה-FBI.
אריזונה: דלף מידע ממערכות עיריית טוסון משפיע על כ-125 אלף תושבים
על פי הודעה שמסרה העיריה, דלף המידע התרחש לאחר שתוקף פרץ לרשתותיה והוריד מספר קבצים המכילים מידע רגיש, אותם הפיץ ברשת. עוד דווחה העיריה כי התוקף השיג גישה ואחיזה במערכותיה בין ה-17 ל-31 במאי השנה, כאשר ב-29 במאי הבחינה בהתנהגות חשודה בהן וב-4 באוגוסט נודע לה על העתקת והורדת הקבצים. ב-23 בספטמבר החל הארגון למסור הודעות על התקרית לאנשים שהושפעו מדלף המידע, אשר ככל הנראה כלל שמות, מספרי ביטוח לאומי, מספרי רישוי, מספרי דרכונים ועוד, כך על פי תוצאות חקירה שנערכה בנושא, שהתקבלו ב-12 בספטמבר. לדברי העירייה, לא נמצאו ראיות לשימוש זדוני במידע, והיא ממליצה למי שמידע אודותיו נחשף לעקוב אחר פעולות כרטיס האשראי שלו, לזיהוי פעילות חשודה שעלולה לרמוז על גניבת זהות. על מנת לסייע בכך, העירייה סיפקה לתושבים הרלוונטיים גישה חופשית למשך שנה לשירות ניטור האשראי Experian. לדבריה, בעקבות המקרה נבחנה מחדש מדיניות אבטחת המידע של הארגון והוטמעו בו אמצעי אבטחה נוספים, למניעת הישנות אירועים דומים בעתיד.
סייבר בישראל
חודש אוקטובר הוא חודש המודעות העולמי להגנת סייבר
החודש מצוין ברחבי העולם חודש המודעות העולמי להגנת סייבר, אשר נועד להדגיש בפני הציבור הרחב וארגונים את חשיבותו הרבה של הנושא. במסגרת חודש זה, מתמקד השנה מערך הסייבר הלאומי בהעלאת המודעות לנושא הודעות הפישינג בקרב אזרחים וחברות בישראל, תחת הכותרת ״אם זה נראה פישי - כנראה שזה פישינג״. מתוך כלל הדיווחים שהגיעו השנה לחמ״ל המבצעי 119 - המרכז המבצעי לדיווח על אירועי סייבר, כ-51% היו של אזרחים (להבדיל מארגונים) ועסקו בהודעות פישינג ובניסיונות הנדסה חברתית. חומרי הסברה מתעדכנים בנושא זה ניתן למצוא כאן.
סייבר ופרטיות - רגולציה ותקינה
הורשע האחראי על הגנת סייבר של חברת Uber: הסתרת פרטים בנוגע לאירוע סייבר מהווה עבירה על החוק
בפסק דין תקדימי שניתן ב-5 באוקטובר על ידי בית משפט פדרלי במדינת קליפורניה הורשע ג׳ו סאליבן, לשעבר מנהל האבטחה והאחראי על הגנת הסייבר של חברת התחבורה Uber, בשתי עבירות במסגרת הסתרת פרטים של אירוע סייבר שהתרחש בחברה בשנת 2016. סאליבן, ששימש בתפקיד בין השנים 2015-2017, הורשע שטייח והסתיר אירוע בו בוצעה גישה לפרטים אישיים אודות 57 מיליון נוסעי החברה, וכ-600 אלף נהגי Uber USA. האירוע דווח לראשונה רק בנובמבר 2017, כאשר מנכ״ל החברה דאז, דארה קוסרשאהי, חשף אותו. בהמשך לפרסום החלה חקירה פלילית פדרלית של המקרה, וב-2018 הגיעה החברה להסדר טיעון מול הרשויות ושילמה קנס בגובה 148 מיליון דולר. מאוחר יותר באותה שנה נעצרו שני תוקפים, שנידונו לעונש מאסר של כ-5 שנים ולקנס בסך 250 אלף דולר כל אחד. בפסק הדין במשפטו של סאליבן נקבע כי זה האחרון חסם חקירה של האירוע על ידי נציבות הסחר הפדרלית (FTC) והסתיר פרטים אודות פשע פדרלי. טרם נקבע עונשו, אך החוק מאפשר לגזור מאסר בפועל של עד 5 שנים בגין העבירה הראשונה ועד 3 שנים בגין השנייה. החקירה לקראת הגשת כתב האישום נערכה על ידי לשכת החקירות הפדרלית (FBI), כאשר לדברי רוברט טריפ, סוכן מיוחד בארגון, "המסר בהכרעת הדין שניתנה היום הוא ברור: לחברות המאחסנות מידע של לקוחותיהן יש אחריות להגן על הנתונים הללו ולעשות את הדבר הנכון כאשר מתרחשות הפרות. […] ה-FBI ושותפינו הממשלתיים לא יאפשרו למנהלי חברות טכנולוגיה נוכלות לסכן את המידע האישי של צרכנים אמריקאים לרווחתן".
הרשות להגנת הפרטיות תהנה מעצמאות רגולטורית ומבנית
ב-2 באוקטובר אישרה הממשלה החלטה שהוצעה על ידי סגן ראש הממשלה ושר המשפטים גדעון סער, המבססת את עצמאותה של הרשות להגנת הפרטיות בהפעלת סמכויותיה לשם מילוי תפקידה וקיום פעילותה. עוד נקבע בהחלטת הממשלה כי תקציבה של הרשות ינוהל בנפרד, בתוך תקציב משרד המשפטים. בין היתר, סמכויותיה העצמאיות יכללו פיקוח על מילוי הוראות דיני הגנת הפרטיות בישראל, חקירת חשדות לביצוע עבירות לפי הדין האמור, העלאת מודעות הציבור לזכות לפרטיות בכל הנוגע למאגרי מידע, טיפול בפניות הציבור בעניין פגיעה במידע, פיתוח ויישום תוכניות מקצועיות והכשרות בתחומי פעילותה וקידום קשרים עם גופים מקבילים בעולם. לדברי ראש הרשות להגנת הפרטיות, עו"ד גלעד סממה: "החלטת הממשלה הינה צעד חשוב ומשמעותי המעגן באופן פורמלי את העצמאות המוקנית לרשות בפועל, ומבססת את מעמדה כרשות מקצועית הפועלת באופן בלתי תלוי בהפעלת הסמכויות המוקנות לה."
המועמדת האמריקאית לתפקיד מזכ"ל איגוד הבזק הבינלאומי גברה על המועמד הרוסי
ב-30 בספטמבר פורסמו תוצאות הבחירות להנהלה הבכירה של ה-ITU, שהינה סוכנות מיוחדת של האו"ם האחראית על קביעת הסטנדרטים העולמיים בתחומי הטכנולוגיות, העברת המידע הדיגיטלי מעבר לגבולות מדינתיים ועוד. ישנה חשיבות מהותית לבחירתה לתפקיד של דורין בוגדן-מרטין, המועמדת שהגישה ארצות הברית, שכן זהות המזכ״ל תקבע ותעצב את תפיסת הארגון בנוגע להיבטים שונים של הובלת תקשורת דיגיטלית גלובלית בארבע השנים הקרובות. המועמד הרוסי שהפסיד בהצבעה הינו ראשיד איסמאילוב, לשעבר סגן שר במשרד הטלקום והתקשורת של רוסיה. המזכ"לית הנכנסת, שנבחרה ברוב של 139 קולות מתוך 172 מדינות שהשתתפו בהצבעה, ואשר כהונתה תחל ב-1 בינואר 2023, אמרה שהיא מתחייבת "להמשיך להניע את [ה-ITU] כך שיהיה חדשני ורלוונטי יותר ויותר עבור המדינות החברות [בו], למקם טוב יותר את כולנו באימוץ הסביבה הדיגיטלית ולהתקדם להשגת יעדי הפיתוח בר-הקיימא של האו"ם ולחבר [לעולם הדיגיטלי] את הבלתי-מחוברים".
באוקטובר 2020 הגישה פייסבוק תביעה נגד BrandTotal הישראלית ו-Unimania האמריקאית, בטענה כי הן אוספות מידע אישי ומידע הקשור לחשבונות אישיים של משתמשים, כל זאת באמצעות תוספים לדפדפנים, בהם Google Chrome. המידע נאסף באמצעות Scraping ("גירוד" דפי רשת) ונשלח לשרת המצוי בבעלות משותפת של שתי החברות. בסוף חודש ספטמבר הגיעו הצדדים לפשרה, לפיה השתיים יחדלו משימוש ומ-Scraping בפלטפורמות השייכות ל-Meta, ואף יפצו את האחרונה ״בסכום משמעותי״, שגובהו לא צוין. הסוגיה של "גירוד" מעוררת מספר שאלות רגולטוריות ומשפטיות, וחוקיותה הפעולה משתנה ממדינה למדינה.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.