דו״ח סייבר שבועי
עדכון שבועי 09.02.2023
עיקרי הדברים
-
ישראל: תקלה במערכת בית ספר? מערך הסייבר הלאומי ערך תרגיל פישינג עם משרד החינוך.
-
סייבר ובריאות: ארה״ב: מתקפת כופרה על בית החולים Tallahassee Memorial HealthCare בבפלורידה. צרפת: מתקפת סייבר חדשה על ארבעה מתקני בריאות של קבוצת Ramsay Santé. קנדה: מתקפת כופרה על בית החולים Ross Memorial באונטריו.
-
קמפיין ESXiArgs: גל מתקפות כופרה בעולם המנצלות חולשה בשרתי VMware ESXi. ה-FBI מפרסם מדריך לשיקום מערכות שנפגעו.
-
איראן: נחשף מבצע תודעה נגד מערכת העיתון Charlie Hebdo, קמפיין ריגול של קבוצת APT34 המזוהה עם משמרות המהפכה במזרח התיכון.
-
אנו ממליצים את המוצרים הבאים: מוצר GoAnywhere MFT של חברת Fortra (Zero day); מוצרי Altassian (קריטי); מודול Apigee Edge של Drupal (קריטי); מוצרי Cisco (גבוה); דפדפן Google Chrome (גבוה); ספריית OpenSSL (גבוה).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה של Atlassian נותן מענה לחולשה ברמה קריטית
פגיעות Zero Day שהתגלה במוצר העברת הקבצים GoAnywhere MFT של יום אפס מאפשרת לתוקפים לפרוץ שרתים
Drupal מדווחת על פגיעות חמורה בפלטפורמת ה Web
עדכון אבטחה של Cisco נותן מענה לחולשה ברמת גבוהה
עדכוני אבטחה ל-Google Chrome נותנים מענה למספר חולשות, בהם חולשות ברמת חומרה גבוה
עדכון אבטחה ל OpenSSL נותן מענה לחולשה ברמה גבוהה
התקפות ואיומים
קבוצת התקיפה APT34 המזוהה עם משמרות המהפכה בקמפיין ריגול נגד יעדים במזרח התיכון
השבוע בכופרה
מתקפות כופרה מרובות מנצלות חולשה במערכות VMware ESXi
חוקרים גילו גרסה של Cl0p Ransomware המכוונת ל Linux
סייבר בעולם
CISA מוסיפה ל״קטלוג החולשות המנוצלות הידועות״ שתי חולשות המשפיעות על מוצרים של החברות SugarCRM ו Oracle
קבוצת התקיפה Lazarus מתמקדת במטרות מגופי הבריאות הרפואה והאנרגיה
מתקפת סייבר איראנית כנגד העיתון הצרפתי Charlie Hebdo
האקרים משתילים Backdoors במערכות הפעלה של Windows על ידי ניצול חולשות ב-SunLogin
הקמפיין הזדוני Guloader שם למטרה את תעשיית המסחר האלקטרוני
המשטרה ההולנדית הצליחה להשיג גישה לאפליקציית המסרים המוצפנים ״Exclu״, ולבצע מעצרים ותפיסות נרחבות ברחבי אירופה
חברת המשלוחים האמריקאית Wee מדווחת על דלף מידע
האקרים רוסים שמים למטרה את אוקראינה ומשתמשים בתוכנה זדונית חדשה שגונבת מידע
סייבר בגופי בריאות
ארה״ב: מתקפת סייבר על בית החולים Tallahassee Memorial HealthCare בפלורידה, בוטלו טיפולים אלקטיביים
צרפת: מתקפת סייבר חדשה השפיעה על ארבעה מתקני בריאות של קבוצת Ramsay Santé
קנדה: מתקפה כופרה על בית החולים Ross Memorial באונטריו
סייבר בישראל
מערך הסייבר בתרגיל משותף עם משרד החינוך להעלאת המודעות לפישינג
סייבר ופרטיות - רגולציה ותקינה
הרשות להגנת הפרטיות פשטה על מספר זירות שקשורות לעובדי חברת ביטוח: קיים חשד לסחר במידע אישי של לקוחות
ארה"ב והאיגוד האירופאי: הצהרה משותפת של שיתוף פעולה להגנת סייבר מוגברת
כנסים
הציטוט השבועי
״אני באמת רוצה לעזוב. אבל זה מקור ההכנסה היחיד שלי. תאמין לי, אני יכול לעשות הרבה בתחום אבטחת המידע, אבל כל חיפושי העבודה שלי נכשלים באופן עקבי. אני מאוד רוצה לעבוד ולדעת שהעבודה שלי לא תזיק לאף אחד״
- האקר שהיה חבר בקבוצת התקיפה Conti שתקפה את ארגון הבריאות האירי HSE בראיון ל Bloomberg.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה של Atlassian נותן מענה לחולשה ברמה קריטית
חברת Atlassian הוציאה עדכון אבטחה CVE-2023-22501 CVSS 9.4 למוצרים Jira Service Management Server ו- Data Center. החולשה מאפשרת לתוקף לא מאומת להתחזות למשתמשים אחרים ולקבל גישה מרחוק למערכות. החולשה נמצאת בגרסאות 5.3.0 עד גרסה 5.5.0. בעבר האקרים נצפו מנצלים חולשות במערכות Atlassian (ראה ״הסייבר״ 16.06.22).
צוות קונפידס ממליץ למשתמשי המערכות לעדכן לגרסה האחרונה בהקדם האפשרי.
פגיעות Zero Day שהתגלה במוצר העברת הקבצים GoAnywhere MFT של יום אפס מאפשרת לתוקפים לפרוץ שרתים
המפתחים של GoAnywhere MFT, פתרון מאובטח להעברת קבצים באינטרנט המאפשר לחברות להעביר בצורה מאובטחת קבצים מוצפנים עם השותפים שלהן תוך שמירה על יומני ביקורת מפורטים של מי ניגש לקבצים, מזהירים לקוחות מפני הפגיעות, העלולה לאפשר לתוקפים להריץ קוד זדוני מרחוק על ממשקי ניהול חשופים לרשת.
הכתב בריאן קרבס פרסם לראשונה על הפגיעות שהתגלתה, ועל פי הפרסום של GoAnywhere MFT, החולשה מנוצלת על ממשקי ניהול החשופים לרשת, שבדרך כלל צריכים להיות נגישים רק מתוך הרשת הפנימית של הארגון, או ע״י חיבור VPN. מכיוון שעדיין לא פורסם עדכון לחולשה חברת Forta , שבבעלותה נמצא המוצר ממליצה לנקוט בפעולת מנע ידנית ולערוך את קובץ הקונפיגורציה באופן ידני כפי המוצג בהודעה שפורסמה, וכמו כן לעשות בדיקות בלוגים של המערכת לזיהוי גישות לא מורשות לממשק. בנוסף החברה ממליצה לחדש את מפתחות ההצפנה הראשיים לחשבונות, לאפס אישורים - מפתחות ו/או סיסמאות - עבור כל שותפי המסחר/מערכות החיצוניים ולמחוק כל חשבונות מנהל ו/או משתמשי אינטרנט חשודים. במקביל, החברה כיבתה את השרת המספק את שירות ה SaaS עד להוצאת עדכון לתיקון החולשה.
מבדיקה שביצעה BleepingComputer על כי ממשלות מקומיות, חברות בריאות, בנקים, חברות אנרגיה, חברות שירותים פיננסיים, מוזיאונים ויצרני חלקי מחשב המשתמשים בפתרון העברת הקבצים של GoAnywhere, מה שמראה שלמרות שניצול החולשה עלול להיראות מוגבל, זה עדיין עלול לסכן חברות בקנה מידה גדול.
ב6 לפברואר, פרסם חוקר האבטחה של Frycos Security את הקוד המלא לניצול החולשה, ובו אפשר לראות את השלבים המלאים לניצול החולשה והרצת קוד מרחוק על השרת.
מערך הסייבר פרסם המלצות התגוננות הכוללות המלצה למשתמשים במוצר לעדכנו לגרסתו האחרונה גרסה 7.1.2 בהמשך לפרסום החברה, וכמו כן מומלץ לוודא כי ממשק הניהול של השרת אינו נגיש מרשת האינטרנט והגישה אליו מוגבלת לכתובות ארגוניות מורשות בלבד.
Drupal מדווחת על פגיעות חמורה בפלטפורמת ה Web
השבוע דיווחה החברה כי גילתה חולשת מעקף גישה (Access Bypass) במודול Apigee Edge המאפשר חיבור למפתחים (API). החברה מפרסמת כי בגרסאות החדשות של המודול Apigee Edge 2.0.8, Apigee Edge 8.x-1.27.
צוות קונפידס ממליץ ללקוחותיו לבצע עדכון לגרסאות אלה.
עדכון אבטחה של Cisco נותן מענה לחולשה ברמת גבוהה
חברת Cisco הפיצה השבוע עידכון אבטחה ל BroadWorks Application Delivery Platform ו Xtended Services Platform שמטפל בחולשה ברמת חומרה גבוהה (CVE-2023-20020 ציון CVSS 8.6 ) אשר יכולה לאפשר לתוקף לבצע מתקפה מסוג מניעת שירות (Denial of Service) במכשירים נגועים. החולשה נובעת מוולידציה לא נכונה של קלט כאשר השירותים מעבדים בקשות HTTP, תוקף יכול לנצל את הפגיעות הזו על ידי שליחה של זרם קבוע של בקשות זדוניות למכשירים נגועים דבר שיגרום לשאר הבקשות ליפול ויוביל למצב של מניעת שירות. חברת Cisco הפיצה עידכון גירסה שסוגר חולשה זו בגירסה 23.0 של המוצר. צוות קונפידס ממליץ למשתמשי המוצר לבצע עידכון גירסה לגירסה האחרונה כפי שפורסמה על ידי חברת Cisco על מנת לסגור פגיעות לחולשה זו.
עדכוני אבטחה ל-Google Chrome נותנים מענה למספר חולשות, בהם חולשות ברמת חומרה גבוה
גרסאות המוצר 110.0.5481.77 עבור Mac ו-Linux, הגרסא 110.0.5481.77/78 עבור Windows ו-110.0.5481.63/.64 עבור Android, שיהיו זמינות בימים או בשבועות הקרובים, סוגרות כ 15 חולשות בהן 3 בדרגת חומרה גבוהה כאשר החמורה מבניהן העלולה לאפשר לתוקף מרוחק הרצה של קוד זדוני בהקשר של המשתמש המחובר כאשר בהתאם להרשאות שלו, תוקף יכול לבצע התקנה של תוכנות, צפייה, עריכה, או מחיקה של מידע, וכן, יצירה של משתמשים עם הרשאות מלאות.
טרם דווח על ניצולים פעילים של חולשה זו.
צוות קונפידס ממליץ למשתמשי Google Chrome לעדכנו לגרסתו האחרונה, עם שחרורה.
עדכון אבטחה ל OpenSSL נותן מענה לחולשה ברמה גבוהה
OpenSSL הוציאו עדכון אבטחה CVE-2023-0286 CVSS 7.4 לחולשה מסוג Type confusion, שיכולה לאפשר לתוקף לקרוא את הזיכרון וגם לגרום למתקפת מניעת שירות. מוצר זה הינה ספריה העוסקת בכלל ההיבטים הקריפטוגרפיים של הקמת תעבורה מוצפנת ווידוא זהות המשתמשים בתעבורה. הגרסאות המושפעות הן 3.0, 1.1.1 ו-1.0.2.
צוות קונפידס ממליץ למשתמשי המוצר לעדכן לגרסה האחרונה בהקדם האפשרי.
התקפות ואיומים
קבוצת התקיפה APT34 המזוהה עם משמרות המהפכה בקמפיין ריגול נגד יעדים במזרח התיכון
קבוצת התקיפה APT34הידועה גם בשם תוקפת ארגונים ממשלתיים במזרח התיכון כחלק מקמפיין ריגול סייבר במטרה לגנוב נתונים, בהתמקדות ופרטי גישה לחשבונות. חוקרי Trend Micro אשר פרסמו דו״ח אודות קמפיין התקיפה פרסמו בדו״ח כי "הקמפיין מנצל לרעה חשבונות אימייל לגיטימיים כדי לשלוח נתונים גנובים לחשבונות דואר חיצוניים הנשלטים על ידי התוקפים, המיילים האלה נשלחים דרך שרתי Exchange ממשלתיים תוך שימוש בחשבונות חוקיים עם סיסמאות גנובות". קבוצת התקיפה משתמשת בקמפיין זה בטכניקה בלתי מוכרת ושימוש בשיטה נצפה בפעם הראשונה בקמפיין זה, מה שמצביע על המשך התפתחות השיטות של הקבוצה לעקוף הגנות אבטחה.
וקטור הכניסה של קמפיין זה הינו Dropper מבוסס שפת NET שמטרתו להוריד ארבעה קבצים שונים ולהפעיל את הקומפוננטה הראשית ("DevicesSrv.exe") האחראית על הוצאת קבצים ספציפיים בעלי עניין מ-LSASS ומקורות אחרים. בשלב השני נעשה שימוש בקובץ (DLL) המסוגל לאסוף נתונים ממשתמשי דומיין וחשבונות מקומיים. כאשר לאחר מכן מתבצעת שליחת מייל לכתובות אימייל של Gmail ו-Proton Mail הנשלטות על ידי הקבוצה עם הנתונים הגנובים. החוקרים קישרו את הקמפיין ל-APT34 עקב קווי דמיון בין ה-Dropper לנוזקת Saitama וגם דפוסי הקורבנות והשימוש בשרתי Exchange הפונים לאינטרנט כשיטת תקשורת, כפי שנצפה בקמפייני עבר של הקבוצה.
צוות קונפידס ממליץ לצוותי האבטחה להזין את ה-IOC's מהדו"ח במערכות ההגנה ולגלות עירונות גבוהה לקבצים לא מזוהים הנמצאים על עמדות החברה.
השבוע בכופרה
מתקפות כופרה מרובות מנצלות חולשה במערכות VMware ESXi
בימים האחרונים הם צופים במתקפות מרובות שמנצלות חולשה במערכת VMware ESXi ומפיצות כופרה מסוג ESXiArgs. הגרסאות הפגיעות הן:
ESXi 7.0 לפני ESXi70U1c-17325551
ESXi 6.7 לפני ESXi670-202102401-SG
ESXi 6.5 לפני ESXi650-202102101-SG
החולשה CVE-2021-2197, CVSS:8.8 ברמת חומרה גבוהה, מסוג Heap Overflow, מאפשרת לתוקף בעל גישה לפורט 427 (שירות ה-OpenSLP) להזריק קוד אל מחוץ לאזור המוקצה בזיכרון אל התוכנה ובכך להריץ קוד שרירותי על עמדה פגיעה ועלולה לאפשר לתוקף יכולת להריץ קוד מרחוק ללא כל אימות מקדים. החולשה נחשבת קלה לניצול ולכן משמשת מטרה אטרקטיבית לתוקפים. על מנת לבלום את מומלץ לעדכן את מערכת ה-ESXi לגרסאות העדכניות ביותר, שכן חולשה זו דווחה לראשונה בפברואר 2021 וקיבלה עדכון באותו החודש. ה-CERT הצרפתי מדווח כי ישנם המון מערכות לא מעודכנות עם שירות OpenSLP פתוח לעולם וכי הם זיהו מספר רב של מתקפות המכוונות למערכת אלו. אנו ממליצים בנוסף למנהלי מערכות עם שירות זה פתוח לסרוק את מערכותיהם בחיפוש אחר מזהים מהקמפיין תקיפה המדובר על מנת להבין האם כבר נפלו קורבן למתקפה זו. מבדיקה ניתן לראות כי מעל 2,000 מערכות נגעו במתקפה זו נכון לרגע התקיפה והמספרים ממשיכים לעלות (ע״פ תוצאות חיפוש Censys). צוות קונפידס ממליץ למשתמשי מערכת ה-ESXi לעקוב אחר הוראות היצרן לטיפול בחולשה, ולהגביל גישה של שירותים אינטרנטיים לכתובות רשת פנימיות, בין היתר שימוש ב-VPN. ארגון CISA פרסם סקריפט לשחזור הקבצים של קורבנות של כופרת ESXiArgs אותו ניתן למצוא כאן.
חוקרים גילו גרסה של Cl0p Ransomware המכוונת ל Linux
בסוף דצמבר 2022, חוקרים של חברת SentinelOne זיהו את הגרסה הראשונה של הכופרה המיועדת למערכת ההפעלה מסוג Linux. גרסה זו דומה לגרסה של Windows בשיטת ההצפנה ובלוגיקה שלה, עם זאת חלק מהפונקציונליות הקיימת בגרסה של Windows אינה קיימת בגרסה זו כגון קריאות לפונקציות API, דבר המצביע על כך שגרסה זו עוד בפיתוח ושכרגע מכיוון שכל 64 המנועים של Virus Total אינם מזהים את הנוזקה, אין צורך מצד התוקף להשקיע בהתחמקות ובערפול. בעקבות אלגוריתם הצפנה פגום הקיים בקובץ ההפעלה "ELF", התאפשר לחוקרים לבצע הנדסה לאחור (reverse engineer) לתהליכים של הכופרה, פגם זה מתבטא באפשרות לפענח את הקבצים המוצפנים ללא צורך לשלם את הכופר. בדוח מפורט של SentinelOne, מתארים החוקרים כיצד הצליחו לשחזר את הקבצים וכמו כן הם מביאים את המפתח הפרטי המפענח של וריאנט זה. כופרה זו מצטרפת למגמה של תוכנות כופרה המכוונות ללינוקס.
צוות קונפידס ממליץ לארגונים להכניס את המזהים המופיעים בדוח זה למערכות ההגנה.
סייבר בעולם
הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) הוסיפה לקטלוג שהיא מתחזקת שתי חולשות, האחת ברמת חומרה קריטית (CVE-2022-21587, CVSS 9.8) שמקורה במוצר E-Business Suite של חברת Oracle, ואשר עלולה לאפשר לתוקף מרוחק ולא מאומת בעל גישה לרשת דרך HTTP, להשתלט על ה Oracle Web Applications Desktop Integrator.
החולשה השניה (CVE-2023-22952, CVSS 8.8) בעלת החומרה הגבוה, מקורה במספר מוצרים של חברת SugarCRM, המאפשרת לתוקף לבצע הרצה של קוד מרחוק.
אנו בקונפידס ממליצים לכל ארגון לפעול לטיפול בחולשה המנוצלת, על מנת לצמצם את חשיפתו לתקיפות סייבר.
קבוצת התקיפה Lazarus מתמקדת במטרות מגופי הבריאות הרפואה והאנרגיה
קבוצת התקיפה הצפון קוריאנית Lazarus זוהתה לאחרונה כקבוצת התקיפה שעומדת מאוחרי קמפיין הריגול שקיבל את השם ״No Pineapple!״ שבמהלכו הצליחה קבוצת התקיפה להוציא כ 100GB של מידע באופן חשאי ללא גרימה של נזק למערכות. בקמפיין זה קבוצת התקיפה מנצלת חולשות ידועות בשרתי Zimbra לא מעודכנים על מנת להיכנס למערכות הקורבן, החולשות (CVE-2022-27925, CVE-2022-37042) יכולת לאפשר לתוקפים בניצול מוצלח שלהם לבצע מעקף מנגנוני אימות ובנסוף הרצת קוד מרחוק ובאמצעותם התקיפה מבוצעת. קמפיין זה מופעל על ידי קבוצת התקיפה מחודש נובמבר 2022 ומתמקד בעיקר במגזרים הבאים : מחקר רפואי, גופי בריאות, הנדסה כימית, אנרגיה, הגנה ואוניברסיטאות מחקר. קישור קבוצת התקיפה הצפון קוריאנית לקמפיין זה נעשה על ידי חקירה של חברת WithSecure אשר מצאו באחד מהלוגים של הרשת של אחד המכשירים הנגועים תקשורת לכתובת IP צפון קוריאנית (175.45.176.27).
צוות קונפידס ממליץ למשתמשי המוצרים לבצע עדכון גירסא על פי הנחיות שפורסמו על ידי Zimbra בהקדם על מנת להימנע מפגיעות לקמפיין תקיפה זה ובנסוף לבצע חסימה על פי IOC's כפי שפורסמו.
מתקפת סייבר איראנית כנגד העיתון הצרפתי Charlie Hebdo
המרכז לניתוח איומים דיגיטליים (DTAC) של מיקרוסופט מייחס תקיפה שכוונה למגזין הצרפתי הסאטירי Charlie Hebdo לקבוצת תקיפה איראנית המכנה את עצמה Holy Souls, אך מיקרוסופט מכנה את קבוצת התקיפה הזאת NEPTUNIUM, שזוהתה גם על ידי משרד המשפטים האמריקני בשם Emennet Pasargad.
בתחילת ינואר, הקבוצה טענה כי היא השיגה מידע אישי של יותר מ-200,000 לקוחות של Charlie Hebdo לאחר שפרצה את מאגר הנתונים שלהם, כהוכחה, Holy Souls פרסמה חלק מן הנתונים ב-YouTube ובפורומים של האקרים, שכללו את השמות המלאים, מספרי הטלפון וכתובות הבית והמייל של לקוחות המגזין וכמו כן קבוצת התקיפה הוציאה למכירה את הנתונים ברשת האפלה עבור 20 BTC.
מתקפה זו הינה תגובה של ממשלת איראן לתחרות דמויות מצוירות שערך Charlie Hebdo. חודש לפני שקבוצת התקיפה ביצעו את המתקפה, הודיע המגזין כי יקיים תחרות בינלאומית לקריקטורות "הלועגות" למנהיג העליון האיראני עלי חמינאי.
ב-4 בינואר, שר החוץ האיראני, חוסיין אמיר-עבדולהיאן, צייץ בטוויטר :
"הפעולה המעליבה והבלתי מנומסת של הפרסום הצרפתי [...] נגד הרשות הדתית והפוליטית-רוחנית לא תישאר ללא תגובה". באותו יום, משרד החוץ האיראני זימן את שגריר צרפת באיראן בשל "העלבון" של Charlie Hebdo.
האקרים משתילים Backdoors במערכות הפעלה של Windows על ידי ניצול חולשות ב-SunLogin
קמפיין תקיפה חדש שזיהה צוות המחקר של חברת ASEC מנצל חולשות בתוכנת השליטה מרחוק SunLogin על מנת להפיץ ערכת Post-Exploitation מסוג Silver. ערכה זו זהה במבנה שלה למערכות Post Exploitation נוספות כגון Metasploit ו-Cobalt Strike. התקיפה מתחילה בניצול חולשות מסוג RCE ב-Sunlogin גרסאות v11.0.0.33 וישנות יותר, שלהן הוכחת היתכנות (PoC) מפורסמות באינטרנט. התוקפים ממנפים את החולשות כדי להריץ קוד PowerShell שטוען נוזקה הכתובה ב-NET. ישירות לזיכרון, מטרתה לעקוף מערכות הגנה (Anti-Virus, EDR וכו..). על מנת להצליח לעקוף את מערכות ההגנה מתקינים התוקפים Driver פגיע וחתום דיגיטלית של Anti-Cheat למשחק Genshin Impact. שאותו תוקפים החלו למנף למטרת תקיפות עוד לפני שנה, כך זוהה על ידי חברת Trend Micro. ניצול החולשה הקיימת ב-Driver מתבצעת על ידי שימוש בכלי Open Source בשם Mhyprot2DrvControl, מטרתו של הכלי היא לנצל חולשות בדרייברים פגיעים למערכת ההפעלה Windows. הכלי Mhyprot2DrvControl במהותו מנצל את הפגיעות בקובץ mhyprot2.sys שכמו שהוזכר קודם לכן הוא חלק מה-Driver החתום דיגיטלית של Anti-Cheat למשחק Genshin Impact. באמצעות פעולה פשוטה יכולים התוקפים לעקוף את ההגנות הקיימות במערכת ולהריץ את קוד זדוני ברמת ה-Kernel. לאחר ניצול הפגיעות הקיימת ב-Driver הפגיע משתילים התוקפים Backdoor באמצעות מערכת התקיפה Silver.
הקמפיין הזדוני Guloader שם למטרה את תעשיית המסחר האלקטרוני
חברת הסייבר Trellix חשפה בחודש ינואר 2023 קמפיין זדוני חדש מבוסס GuLoader, קוד מתוחכם המשתמש בשיטות מתקדמות כדי להתחמק מזיהוי ומקשה על הנדסה לאחור. על פי הדוח של Trellix, סקטור המסחר האלקטרוני בדרום קוריאה ובארה"ב היו המטרה העיקרית של קמפיין זה, ומדינות נוספות שנכללו בקמפיין זה היו בגרמניה, ערב הסעודית, טייוואן ויפן. דרך הפעולה של הקמפיין הוא דרך מייל ספאם שבו נמצא קובץ Microsoft Word עם התוכנה הזדונית כדי שיגיע לקבצי הפעלה בשם Nullsoft Scriptable Install System. קבצי ההפעלה NSIS הוא כלי קוד פתוח המשמש לפיתוח installers עבור מערכת ההפעלה Windows. קמפיין זה שונה מפני שבעבר השתמשו בקבצי ZIP שבתוכם יש מסמך Word שבו קובץ מאקרו הנועד לטעון את GuLoader. הוריאנט החדש, הוא ככל הנראה בתגובה לחסימת של פקודות מאקרו בקבצי Office שהורדו מהאינטרנט, (ראה ה״סייבר״ 28.7.22).
צוות קונפידס ממליץ להטמיע במערכות ההגנה את המזהים (IOC'S) מדו״ח זה.
המשטרה ההולנדית, בעזרת מומחי סייבר, הצליחה להשיג גישה לנתונים ולשחזר שיחות באפליקציית המסרים המוצפנים "Exclu" שמשמש האקרים לשיחות שאינן גלויות לרשויות החוק ומערכת המשפט. על פי הדיווחים, משטרת הולנד, צרפת, איטליה ושוודיה היו מעורבות בחקירה, שנוהלה על ידי יחידות האכיפה האירופיות Europol ו-Eurojust.
על פי הדיווחים, המשטרה ערכה בשבוע שעבר 79 חיפושים ברחבי בלגיה, גרמניה והולנד, ועד כה נעצרו 48 חשודים בחשד לעבירות של החזקת נשק ואקדחים, סמים ומזומן בסכומים גבוהים מאוד. בנוסף, מדווח כי המשטרה עצרה את מנהלי מערכת ״Exclu״. כמו כן, מפרטי החקירה עולה כי נחשפו שתי מעבדות סמים ונתפסו קילוגרמים רבים של סמים, מעל ל-4 מיליון יורו במזומן ומספר כלי נשק. כמו כן, אפליקציית המסרים המוצפנים ״Exclu״ נחסמה לשימוש בהולנד.
חברת המשלוחים האמריקאית Wee מדווחת על דלף מידע
חברת המשלוחים Wee, מדווחת השבוע על דלף מידע ממערכותיה החושף מידע אישי של יותר ממיליון משתמשים. השבוע, שחקן המכונה "IntelBroker" החל להדליף מידע בפורום האקרים מוכר, לטענתו הוא מחזיק מידע של 11 מיליון לקוחות בעוד שהחברה מדווחת על דלף של 1.1 מיליון. המידע שהודלף כולל פרטים אישיים מסוג שם מלא, כתובת מייל, מספר טלפון, הערות והזמנות משלוחים, אך לטענת החברה המידע אינו כולל פרטי תשלום והיא פועלת לדיווח הפרטים מול המשתמשים שפרטיהם דלפו על מנת ליידע אותם במקרה ולהציע פתרונות משלימים.
האקרים רוסים שמים למטרה את אוקראינה ומשתמשים בתוכנה זדונית חדשה שגונבת מידע
חברת הסייבר Symantec מדווחים על תוכנה זדונית חדשה בשם Graphiron שכתובה בשפת GO שקבוצת ההאקרים הרוסית Nodaria משתמשת בה כדי לתקוף מטרות אוקראיניות. הקבוצה שככל הנראה פעילה מאפריל 2021 כבר השתמשה בכלים מתואמים אישית כמו GraphSteel ו-GrimPlant והוסיפה לארסנל שלה גם את Graphiron שזוהי גרסה משופרת של התוכנות האחרות. התוכנה הזדונית נועדה לגנוב מידע ממחשב נגוע הכולל מידע מערכת, אישורים, צילומי מסך וקבצים. על פי הדוח של Symantec הקבוצה הרוסית Nodaria לא הייתה ידועה יחסית לפני הפלישה הרוסית לאוקראינה, פעילותה הגבוהה של הקבוצה בשנה האחרונה שמה אותה בתור אחת מקבוצות הסייבר המרכזיות בנוגע להתקפות הסייבר המתמשכות של רוסיה נגד אוקראינה.
צוות קונפידס ממליץ להטמיע במערכות ההגנה את המזהים (IOC'S) מדו״ח זה.
סייבר בגופי בריאות
ארה״ב: מתקפת סייבר על בית החולים Tallahassee Memorial HealthCare בפלורידה, בוטלו טיפולים אלקטיביים
בערב יום חמישי ה-02.02.23, החל בית החולים Tallahassee Memorial HealthCare שבפלורידה לחוות שיבושים בחלק ממערכות ה-IT שלו. כצעד ראשון לאחר זיהוי הבעיה, ניתקו את מערכות ה- IT. כתוצאה ממתקפת הסייבר: בוטלו כל ההליכים הכירורגים וכן, כלל הטיפולים הלא דחופים, בוצע פינוי של מטופלי שירותי החירום ונקבע כי רק מקרי טראומה ברמת דירוג 1 יקבלו טיפול בבית החולים. בנוסף, הוחלט כי לא יבצעו רידוד מטופלים נוסף למתקנים רפואיים חיצוניים.
ביום שבת ה-04.02.23, המשיכו לעדכן מבית בחולים כי הצוותים עובדים במסירות על מנת למזער את הפגיעה ולהמשיך לספק טיפול איכותי למטופלים וכן הם מודים למטופלים, למשפחות ולקהילה על התמיכה בתקופה זו. בנוסף עדכנו כי אין שינוי במדיניות קבלת המטופלים ולא יבצעו בשלב זה רידוד מאושפזים למתקנים אחרים (מלבד רפואה דחופה). כמו כן, חקירת המתקפה נמשכת ובית החולים עובד בשיתוף פעולה עם רשויות אכיפת החוק ומומחי אבטחת מידע חיצוניים.
ביום ראשון ה-05.02.23, מוסיף בית החולים לעדכן על האירוע ועל סטטוס הטיפולים בבית החולים.
מבחינת ניתוחים, כל ההליכים הכירורגיים שנקבעו לימים הקרובים בוטלו. בהיבטי השבתת המערכות, בית החולים עדיין פועל תחת נהלי השבתה ועושה שימוש בתיעוד ידני. מבחינת רידוד מטופלים, בוצע ממשיכים לבצע רידוד מטופלים חלקי של חולי EMS. עוד מסרו כי חקירת האירוע נמשכת, עדיין לא ברור מה בדיוק התרחש והם ימשיכו לעדכן בהתפתחויות.
צרפת: מתקפת סייבר חדשה השפיעה על ארבעה מתקני בריאות של קבוצת Ramsay Santé
ארבעה מתקנים רפואיים השייכים לקבוצת Ramsay Santé היו יעד למתקפת סייבר ביום רביעי ה-25 בינואר, שעל פי דיווחים מדובר במתקפת כופרה וכן הופצה דרישת תשלום גבוהה. הקבוצה, שכבר בשנת 2019 הייתה יעד לתקיפה של האקרים, חוותה ניסיון חדירה לשרתי המחשבים שלה אשר נמצאים במתקני הבריאות השונים, ביניהם בית החולים הפרטי ז'אן-מרמוז (HPJM) בליון ומרפאת Convert בבורג-אן-ברס. כאמור, ב-2019, 120 מתקני בריאות בצרפת השייכים לקבוצת Ramsay Santé הושבתו עקב מתקפת סייבר, אשר השפיעה באופן משמעותי על פעילותם למשך מספר שבועות. באירוע האחרון פעלו באופן מיידי לחסימת הגישה החיצונית לשרתים, למען בטיחות והגנה על המטופלים, כך פרסמה הקבוצה בהודעה לעיתונות. מתקפת הסייבר השפיעה באופן חלקי על ההליכים הרפואיים, כאשר חלקם נדחו. מקבוצת Ramsay Santé מסרו כי חקירת האירוע לא העלתה אינדיקציה לגניבת נתונים וכי החקירה נמשכת בשיתוף עם שירותי המדינה.
קנדה: מתקפה כופרה על בית החולים Ross Memorial באונטריו
בית החולים Ross Memorial שבקנדה, הכריז על אירוע חירום ביום ראשון ה-5 בפברואר בשעה 22:53.
מיד עם קרות האירוע החל בחקירתו בליווי מומחים טכניים ובהתאם לשיטות מומלצות בתעשייה.
בית החולים הצהיר שנעשים מיטב המאמצים על מנת לשמר את השירותים הקריטיים של בית החולים. עם זאת, מטופלים אשר אינו דחוף התבקשו לשקול אפשרויות טיפול חלופיות על פני הגעה לבית החולים, כגון רופאי משפחה, שירותי הבריאות הטלפוניים באונטריו, מרפאות חירום, שירותי רפואה וירטואליים וכו׳. בין היתר, הצהיר בית החולים כי מאמצי שחזור המערכות נמשכים בעזרתם של שותפים מקומיים ומחוזיים וכי עדכונים נוספים ישותפו במדיה החברתית ובאתר האינטרנט.
סייבר בישראל
מערך הסייבר בתרגיל משותף עם משרד החינוך להעלאת המודעות לפישינג
בתרגיל משותף שנערך בין הארגונים, נשלחו לתלמידים הודעות פישינג המתחזות להודעה ממערכת Mashov של בית הספר ובה התבקשו ללחוץ על לינק שיוביל אותם למערכת שבה יתבקשו להזין את תעודת הזהות שלהם והסיסמא בעקבות תקלה במערכות בית הספר, בעת לחיצה על הלינק הופנו התלמידים לעמוד של מערך הסייבר שהסביר להם שהם נפלו קובן להודעת פישינג וקישור להמלצות לזיהוי פישינג. לתרגיל זה חשיבות רבה בהעלאת המודעות להודעות פישינג בקרב תלמידים , שכן זו אחת מתוך רבות מהסכנות הדיגיטליות הרבות שנמצאות ברשת, ויש חשיבות רבה לעלאת המודעות לקיומה ולימוד הדרכים להתגוננות מפניה.
(מתוך הפייסבוק של מערך הסייבר הלאומי, 8.2.23)
סייבר ופרטיות - רגולציה ותקינה
הרשות להגנת הפרטיות פשטה על מספר זירות שקשורות לעובדי חברת ביטוח: קיים חשד לסחר במידע אישי של לקוחות
ביום 9.2.2023 הודיעה הרשות להגנת הפרטיות על כך שמפקחים שלה פשטו על כמה זירות שקשורות לכאורה לביצוע עבירות של סחר בלתי-חוקי במידע אישי של לקוחות של מבוטחות ומבוטחים. הרשות עדכנה כי פעולות הפיקוח הסתיימו בהצלחה, ו-"...נתפסו והוחרמו חומרי מחשב רבים" שהיו רלוונטיים לחקירה. מדובר, לפי החשד, בפרשת ריגול מסחרי שכלל סחר במידע אישי, כולל מידע רגיש, של לקוחות חברת ביטוח שטרם מזוהה באופן פומבי. לפי ההודעה, כבר נחקרו חשודים בפרשה על ידי חוקרים של הרשות להגנת הפרטיות, כולל על הפרת חובת הסודיות בנוגע למאגר המידע אישי של החברה.
ארה"ב והאיגוד האירופאי: הצהרה משותפת חדשה של "עמידות סייבר" משותפת
הצהרה משותפת של ראש ההומלנד סקוריטי (DHS) ונציבות האיחוד האירופאי שפורסמה מיום 26.1.2023 קובעת תחומי "עמידות סייבר" (cyber resilience) בהם יתמקדו השניים במהלך שנת 2023. בהצהרה נאמר כי "מרחב הסייבר אינו יודע גבולות, ורק על ידי עבודה צמודה עם בעלי בריתנו ושותפינו דומים, נצליח להגן על האנשים, התשתיות הקריטיות והעסקים שלנו מפני פעילויות סייבר זדוניות. היום אנו משיקים פרק חדש בשותפות הטרנס-אטלנטית שלנו עם [כמה] זרמי עבודה המתמקדים בהעמקת שיתוף הפעולה שלנו בנושא חוסן סייבר." הזרמים האמורים של cyber resilience, שיטופלו על ידי צוותים משולבים של נציגי ארה"ב ונציגי האיחוד האירופאי, הם שיתוף מידע בנוגע להגנת סייבר משותפת, תפיסה מרחבית במרחב הסייבר, תגובה למתקפות סייבר (incident response), הגנת סייבר על תשתיות קריטיות, דיווח רגולטורי של אירועי סייבר, והגנת סייבר של תוכנה וחומרה.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.