WhatsApp Image 2020-07-02 at 17.01.17.jp

דוח סייבר שבועי

עדכון שבועי 09.06.2022

עיקרי הדברים

  1. מתקפת סייבר משבשת את פעילותן של אלפי מצלמות אבטחה ברחבי טהרן.

  2. מיקרוסופט: בלמנו תקיפה איראנית משטח לבנון נגד יעדים ישראלים, בהם חברת תעופה. 

  3. ישראל: ״ועדת דוידי״ מפרסמת קול קורא להתייחסות הציבור בנושא התמודדות עם מתקפות כופרה; הרשות להגנת הפרטיות מעלה הילוך: נפתחה חקירה בחשד לפרצת אבטחה ודלף מידע באתר בנושא ילדים עם מוגבלויות; כתב אישום בכפוף לשימוע בפרשת קרית מוצקין - שימוש פסול במאגרי מידע עירוניים לצרכים פוליטיים.

  4. ועדת הסנאט לביטחון המולדת: מערכת הסנקציות נגד ארנקי קריפטו שמקבלים דמי כופר מסתמנת כהצלחה; הגברת האכיפה חיונית. 

  5. אנו ממליצים לעדכן את המוצרים הבאים: מערכת ההפעלה Android (קריטי); פלטפורמת GitLab (קריטי); פלטפורמת Atlassian Confluence (קריטי); מערכת ה-LRM של Illumina (קריטי); קוד המקור של U-Boot (קריטי); מערכת ההפעלה Windows (חולשת Zero-day).

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכון אבטחה ל-GitLab נותן מענה ל-8 חולשות, בהן אחת קריטית
עדכון אבטחה ל-Atlassian Confluence נותן מענה לחולשה קריטית
עדכון אבטחה זמני למערכת ה-LRM של Illumina סוגר חולשות קריטיות במוצר
אלפי משתמשים חשופים לחולשה קריטית בקוד המקור של U-Boot; טרם פורסם עדכון אבטחה
עדכון אבטחה חינמי שאינו רשמי נותן מענה לחולשת Zero-day חדשה ב-Windows
עדכון אבטחה ל-Android נותן מענה ל-41 חולשות, בהן 5 קריטיות
חולשה קריטית בצ׳יפים של UNISOC משפיעה על מיליוני מכשירי ניידים מבוססי Android; תתוקן בעדכון האבטחה החודשי של המוצר

התקפות ואיומים

זוהתה שיטה חדשה להשתלטות על מחשבים מבוססי Windows באמצעות החולשה Follina; טרם פורסם עדכון הנותן לה מענה
10 הטרויאנים הבנקאיים המשוכללים ביותר: מאות אפליקציות פיננסיות ויותר ממיליארד משתמשים על הכוונת
דוח של HP: נוזקת SVCReady החדשה, מופצת בקמפייני פישינג בדרך בלתי שגרתית - באמצעות קוד Shell המוסתר בפרטי מסמכי Word
Avast: גרסה זדונית של CCleaner משמשת לגניבת מידע אישי ומטבעות דיגיטליים; רשמה עד כה כ-10,000 נסיונות הדבקה
וריאנט חדש של Emotet גונב פרטי כרטיסי אשראי של משתמשי Google Chrome
מספר בוטנטים החלו לנצל חולשה קריטית במוצרי Atlassian; התפשטות המתקפות מהיר מהרגיל

השבוע בכופרה

Mandiant: אין ראיות שנפרצנו על ידי LockBit
שימוש חדש לבוט ישן: קבוצת התקיפה Black Basta משתפת פעולה עם יוצרי QakBot  על מנת לנוע רוחבית ברשת
דוח מתקפות ונפגעי הכופרה של KELA לרבעון הראשון של 2022: עלייה במתקפות הכופרה; LockBit תופסת את מקומה של Conti
סימנים לחזרתה של קבוצת התקיפה CUBA

סייבר בעולם

מתקפת סייבר משבשת את פעילותן של אלפי מצלמות אבטחה ברחבי טהרן
מיקרוסופט חוסמת את השימוש ב-OneDrive לקבוצת התקיפה הלבנונית Polonium, אשר פרצה לרשתותיהן של חברות ישראליות
ה-CISA מוסיפה חולשה חדשה ל״קטלוג החולשות המנוצלות הידועות״
מיקרוסופט נוקטת בצעדים משפטיים נגד 41 דומיינים ששימשו קבוצת תקיפה איראנית לביצוע תקיפות פישינג
קבוצות תקיפה הפועלות בחסות סין מנצלות חולשות ידועות במוצרי רשת
ארה״ב: נפרצו שתי חנויות מקוונות למכירת כלי נשק ופרטי האשראי של לקוחותיהן נגנבו

סייבר בישראל

שלושה סטודנטים ממכללת HIT נחקרו בחשד שחדרו למערכת האקדמית וניגשו לחומרי לימוד ומסמכים רגישים
חשד לפרצת אבטחה ודלף מידע מהמערכת המשמשת את השירות הפסיכולוגי החינוכי; הרשות להגנת פרטיות החלה בהליך אכיפה מנהלית

סייבר ופרטיות - רגולציה ותקינה

כנס CyCon במרכז למצוינות בסייבר של נאט"ו: התמקדות במלחמת הסייבר בין רוסיה לאוקראינה
ועדת הסנאט לביטחון המולדת: מערכת הסנקציות נגד ארנקי קריפטו שמקבלים דמי כופר מסתמנת כהצלחה; הגברת האכיפה חיונית
״ועדת דוידי״ מפרסמת קול קורא להתייחסות הציבור בנושא ההתמודדות עם מתקפות כופרה
קול קורא להתייחסות הציבור: הפיקוח על יצוא דו-שימושי - כלי נשק סייברים במרכז השיח
ארה״ב: ממשל ביידן מכריז על מימון תשתיות אינטרנט במהירות גבוהה ברמה הלאומית
מחלקת הסייבר בפרקליטות המדינה מודיעה על כוונתה להעמיד לדין את ראש עיריית קריית מוצקין, גם על עבירות לפי חוק הגנת הפרטיות

כנסים

 
 

הציטוט השבועי

״ההשקעה בניהול האירוע הסתכמה ב-36 מיליון שקל שכללה, בין היתר, הקמה מחדש של תשתיות תקשורת ומערכות מידע, אובדן הכנסות ודחיית ניתוחים לא דחופים, גיוס טכנאים להקמת המחשבים ועוד.״ 

משרד הבריאות, בעקבות תקיפת הסייבר של בית החולים ״הלל יפה״ באוקטובר האחרון, tech12, 9.6.22.     

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכון אבטחה ל-GitLab נותן מענה ל-8 חולשות, בהן אחת קריטית 

העדכון רלוונטי למוצרים GitLab Community Edition ול-GitLab Enterprise Edition, ובין היתר נותן מענה לחולשה (CVE-2022-1680, CVSS 9.9) העלולה לאפשר לתוקף להשתלט על חשבון GitLab באמצעות התוסף SCIM (מערכת המנהלת את נתוני המשתמשים), הזמין רק למשתמשי פרימיום ולמנויים. מקור החולשה בכך שתוסף ה-SCIM עשוי לאפשר לבעליה של קבוצת פרימיום להזמין משתמשים אקראיים באמצעות שם המשתמש והמייל שלהם, ואז לשנות את כתובות המייל שלהם באמצעות ה-SCIM למייל המצוי בשליטת התוקף. במידה והמשתמש לא הגדיר אימות דו-שלבי (2FA), התוקף יוכל להשתלט על חשבונו. עוד נסגרות בעדכון שתי חולשות ברמת חומרה גבוהה (CVE-2022-1948, CVSS 8.7; CVE-2022-1940, CVSS 7.7), העלולות לאפשר הזרקת קוד לדפדפן הקורבן (XSS). 

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסאות 15.0.1, 14.10.4 ו-14.9.5 ולהפעיל אימות דו-שלבי (2FA) על חשבונותיהם.

עדכון אבטחה ל-Atlassian Confluence נותן מענה לחולשה קריטית

החולשה (CVE-2022-26134) שנסגרה במוצר, אשר נועד לניהול פשוט של מאגרי מידע (Wiki) תאגידיים, היא מסוג Unauthenticated RCE, ועלולה לאפשר לתוקף להריץ קוד מרחוק באמצעות OGNL Injection. החולשה רלוונטית למוצרים Confluence ,Confluence Server ו-Confluence Data Center על כל גרסאותיהם. מחברת Atlassian נמסר כי יש לבצע עדכון לגרסאותיהם האחרונות של המוצרים (7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, ​​7.17.4, 7.18.1), עם תמיכה לטווח ארוך. את רשימת העדכונים המלאה ניתן למצוא כאן. במידה ולא ניתן לבצע את העדכון באופן מידי, יש לפעול בהתאם לדרכי המיטיגציה המופיעות כאן.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה ולעקוב אחר הוראות היצרן בנושא.

עדכון אבטחה זמני למערכת ה-LRM של Illumina סוגר חולשות קריטיות במוצר

החברה, העוסקת בפיתוח טכנולוגיות חדשניות לניתוחים גנטיים, הודיעה במאי האחרון על קיומן של חולשות המשפיעות על תוכנת ה-Local Run Manager שלה, אשר משמשת כתצורת ברירת המחדל למספר מכשירים של החברה,  כמו גם על הגרסה העצמאית של התוכנה, הניתנת להתקנה במכשירים חיצוניים. החולשות, שהינן פשוטות יחסית לניצול, עלולות לאפשר לתוקף מרוחק שאינו מאומת להזריק קוד זדוני, לבצע כל פעולה ברמת מערכת ההפעלה, להשפיע על הגדרות, תצורות ותוכנה, לגשת לנתונים רגישים המצויים במכשיר פגיע ולתקשר עם הרשת אליו הוא מחובר. להלן פרטי החולשות האמורות:

חולשה (CVE-2022-1517, CVSS 10) העלולה לאפשר שימוש בהרשאותיה המוגברות של תוכנת ה-LRM לגישה לממשקי API.

חולשה (CVE-2022-1518, CVSS 10) במעבר הספריות של ה-LRM העלולה לאפשר גלישה אל מחוץ למבנה הספרייה הייעודית.

חולשה (CVE-2022-1519, CVSS 10) שמקורה בכך שה-LRM אינה מגבילה את סוגי הקבצים שניתן להעלות למוצר הפגיע, ועלולה לאפשר העלאת כל קובץ, כולל קוד הרצה זדוני. 

חולשה (CVE-2022-1521, CVSS 9.1), שמקורה בכך שה-LRM אינה מיישמת אימות או הרשאות כברירת מחדל, ועלולה לאפשר יירוט ועריכה של מידע רגיש המצוי במכשיר.

חולשה (CVE-2022-1524, CVSS 7.4) שמקורה בכך בה-LRM אינה מבצעת הצפנת TLS, ועלולה לאפשר לתוקף המוציא על הפועל מתקפת Man-in-the-middle לראות נתונים רגישים, לרבות הרשאות גישה.

Illumina שחררה תיקון זמני להתגוננות מפני החולשות, עד שתשחרר תיקון קבוע. רשימת המכשירים הפגועים וההמלצות המלאות שפרסמה החברה מצויות כאן. במקביל, הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) פרסמה מסמך ייעוץ אבטחה בנושא, המצוי כאן.

צוות קונפידס ממליץ לבעלי המוצר להטמיע את התיקון הזמני, ליישם את המלצות החברה ואת המלצותיה של ה-CISA ולעקוב אחר פרסומיה של Illumina על מנת להתקין את העדכון הקבוע, לכשישוחרר.

אלפי משתמשים חשופים לחולשה קריטית בקוד המקור של U-Boot; טרם פורסם עדכון אבטחה

התוכנה, אשר מאפשרת למערכות הפעלה בעלות ארכיטקטורות שונות לעלות באופן סדיר, כתובה בקוד פתוח ומוטמעת בכמה מערכות הפעלה מבוססות Linux, בהן גם Chrome OS ו-Amazon Kindle. השבוע התגלו ב-U-Boot שתי חולשות, האחת (CVE-2022-30790, CVSS 9.6) קריטית ועלולה לאפשר לתוקף בעל גישה פיזית למחשב המריץ את התוכנה להעלות את הרשאות הכתיבה שלו בתחנה לכדי הרשאות גבוהות, ואילו השנייה (CVE-2022-30552, CVSS 7.1) הינה ברמת חומרה גבוהה ועלולה לאפשר לתוקף בעל גישה פיזית לתחנה המריצה את התוכנה לבצע השבתת שירות. מפתחיה הציבוריים של U-Boot אמורים לפרסם בהמשך עדכון אבטחה שייתן מענה לחולשות.

צוות קונפידס ממליץ לעקוב אחר חשבון ה-GitHub של U-Boot על מנת להתקין את העדכון לכשיתפרסם.

עדכון אבטחה חינמי שאינו רשמי נותן מענה לחולשת Zero-day חדשה ב-Windows 

החולשה (CVE-2022-30190, CVSS 7.8), שהתגלתה ב-(Microsoft Support Diagnostic Tool (MSDT וקיבלה את השם DogWalk, תוקנה על ידי חברת Opatch, ועלולה לאפשר לתוקף לבצע מתקפת ​​Path Traversal לשם העתקת קובץ זדוני לתיקיית ה-Startup של Windows והרצת הקובץ בכניסתו הבאה של המשתמש למערכת. החולשה, שנחשפה לראשונה בינואר 2020 על ידי החוקר אימרה ראד, שבה אל התודעה לאחר שהחוקר j00sean​​ הראה שלמרות שמשתמשי שירות המייל Microsoft Outlook מוגנים מפניה משום שמוגדרת בו חסימה אוטומטית של קבצים מסוג diagcab, אין זו הדרך היחידה בה יכול משתמש להוריד אל מחשבו את הקובץ הזדוני. בין היתר, על ידי Drive-by-download אפילו כניסה לאתר זדוני תספיק לשם הורדת הקובץ, חרף העובדה שהקובץ מסומן ב-Mark-of-the-Web. סימון זה אמור להזהיר משתמשים מפני פתיחת קבצים זדוניים, אך הוא תלוי בתוכנית שמפעילה את הקובץ, כאשר במקרה של MSDT (ושל מרבית דפדפני האינטרנט) לא מתבצעת אזהרה. עד שיפורסם עדכון רשמי מטעם מיקרוסופט, חברת Opatch מאפשרת לכלל המשתמשים להוריד ולהתקין בחינם את התיקון, הרלוונטי לגרסאות Windows הבאות:

Windows 11 v21H2

​​Windows 10 v1803 עד v21H2
Windows 7

Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
​​Windows Server 2019


עדכון אבטחה ל-Android נותן מענה ל-41 חולשות, בהן 5 קריטיות 

העדכון שפרסמה Google רלוונטי למכשירי Android בגרסאות 10, 11, 12 ו-12L, וסוגר חולשות העלולות לאפשר לתוקף להדליף מידע, להריץ קוד מרחוק (RCE), להעלות הרשאות ולבצע מתקפת מניעת שירות (DDoS). החולשות הקריטיות המקבלות מענה בעדכון הן CVE-2022-20210 ,CVE-2022-20130 ,CVE-2022-20127 ,CVE-2022-20140 ו-CVE-2022-20145, ואילו השאר הינן ברמת חומרה גבוהה.

צוות קונפידס ממליץ למשתמשי Android לעדכן את המכשירים שברשותם לגרסאותיהם האחרונות בהקדם האפשרי.

חולשה קריטית בצ׳יפים של UNISOC משפיעה על מיליוני מכשירי ניידים מבוססי Android; תתוקן בעדכון האבטחה החודשי של המוצר

חוקר אבטחת המידע סלבה מקאביב מחברת Check Point איתר חולשה קריטית (CVE-2022-27250, CVSS 9.8) שמשפיעה על מכשירים ניידים רבים המבוססים על תקשורת 2/3/4/5G, ועלולה לאפשר לתוקף למנף אותה לנטרול תקשורת באזור מסוים. מקור החולשה הוא בקושחה המותקנת על חומרת המכשיר ולא במערכת ההפעלה של Android. לדברי החוקר, תוקף יכול להשתמש בתחנת רדיו על מנת לשלוח חבילות מידע מעוותות באופן שיגרום לרכיב התקשורת במכשירים לאפס אותם, ובכך לנטרל את יכולתו של משתמש המכשיר לבצע תקשורת. החולשה נמצאה על ידי הנדסה לאחור של פרוטוקול התקשורת LTE, שבשימושם של מכשירים ניידים רבים. 

צוות קונפידס ממליץ למשתמשי  Android לעקוב אחר פרסומי החברה ולהטמיע את העדכון לחודש יוני, לכשיתפרסם.

התקפות ואיומים

זוהתה שיטה חדשה להשתלטות על מחשבים מבוססי Windows באמצעות החולשה Follina; טרם פורסם עדכון הנותן לה מענה

החולשה (CVE-2022-30190, CVSS 7.8) (ראו ״הסייבר״, 2.6.22), עלולה לאפשר לתוקף להריץ קוד PowerShell על תחנות קצה דרך קבצי Office גם ללא אישור המשתמש, כל זאת בהתבסס על יכולותיהם של מסמכי Word לטעון תבניות HTML משרתים מרוחקים באמצעות כלי ניתוח התקלות של מיקרוסופט (MSDT). במהלך סוף השבוע האחרון זוהה קמפיין פישינג נרחב בניסיון לנצל את Follina, אשר כלל כ-1,000 מיילים זדוניים שנשלחו לקורבנות במוסדות ממשלתיים וארגונים פרטיים, וכללו מלל הנוגע לאפשרות להעלות את שכרם ב-20%, כביכול. למיילים צורף קובץ RTF, אשר לכאורה משמש כקובץ Word רגיל, אך בפועל מכיל פקודת הרצה המופעלת עם פתיחת המסמך הזדוני על ידי הקורבן.

צוות קונפידס ממליץ למשתמשי Office לעקוב אחר ההנחיות שפרסם בנושא מערך הסייבר הלאומי, ואחר המלצותיה של מיקרוסופט, על מנת להטמיע מעקפים במערכות, לרבות השבתת פרוטוקול ה-MSDT URL, עד שיפורסם עדכון אשר יסגור את החולשה. 

     (מקור: threatinsight, 4.6.22@)

10 הטרויאנים הבנקאיים המשוכללים ביותר: מאות אפליקציות פיננסיות ויותר ממיליארד משתמשים על הכוונת

10 מהטרויאנים הבנקאיים הסלולריים המשוכללים בעולם שמו להם למטרה 639 אפליקציות פיננסיות הזמינות להורדה בחנות ה-Google Play, ואשר רשמו ביחד יותר מ-1.01 מיליארד הורדות. בין האפליקציות מצויות PhonePe, Binance, Postepay, Caf-Mon Compte, Ma Banque, La Banque Postal, Garanti BBVA Mobile, Cash App, ו-BBVA México, אשר לבדן הורדו יותר מ-260 מיליון פעמים. בהתפלגות מדינתית, 121 מהאפליקציות משתייכות לשוק האמריקאי, 55 לבריטניה, 43 לאיטליה, 34 לטורקיה, 33 לאוסטרליה, 31 לצרפת, 29 לספרד ו-27 לפורטוגל. הטרויאנים הפופולריים ביותר הינם TeaBot ו-Octo, ואחריהם BianLian, Coper, EventBot, FluBot, Medusa, SharkBot, Xenomorph, כולם מסווים עצמם כאפליקציות לגיטימיות ומתמקדים בהונאות ובגניבת כספים ישירות מחשבונות הקורבנות, בהתקפות שלהן השלכות פוטנציאליות רבות, מגניבת נתונים דרך אובדן אמון הלקוחות ועד להטלת קנסות רגולטוריים על ארגונים. בעשור האחרון התעשייה הפיננסית עברה לחלוטין למתן שירותי בנקאות, תשלומים ומסחר במניות באמצעות אפליקציות סלולריות, אך לצד הנוחות והאפשרויות החדשות הגלומות בדבר - הוא מציב בפני ארגונים ולקוחות אפשרויות הונאה וסיכונים חדשים.

דוח של HP: נוזקת SVCReady החדשה, מופצת בקמפייני פישינג בדרך בלתי שגרתית - באמצעות קוד Shell המוסתר בפרטי מסמכי Word

מן הדוח עולה שמסוף אפריל האחרון נצפו קמפייני ספאם חדשים המפיצים משפחת תוכנות זדוניות שלא היתה ידועה בעבר, ואשר מתבלטות בדרך יוצאת הדופן בה הן מועברות למחשבי היעד, תוך שימוש בקוד מעטפת המוסתר במאפיינים של מסמכי Microsoft Office. לדברי חוקרי HP Wolf Security, הנוזקה תועדה לראשונה ב-22 באפריל, כאשר התוקפים שלחו במייל מסמכי Word שהכילו פקודות מאקרו לפתיחה אוטומטית של VBA והרצת קוד זדוני. אלא שבניגוד לתוכנות זדוניות אחרות התוקפות את Office, המסמך אינו משתמש ב-PowerShell או ב-MSHTA לטעינת קבצים נוספים מהאינטרנט, ובמקום זאת המאקרו VBA מריץ קוד מעטפת המאוחסן במאפייני המסמך, ולאחר מכן מוריד ומפעיל את נוזקת SVCReady, האוספת מידע מערכת, לרבות שם המשתמש, שם המחשב, אזור הזמן, ופרטים על חיבור לדומיין, יצרן המחשב, ה-BIOS והקושחה. עוד אוספת הנוזקה רשימות של תהליכים פועלים ותוכנות מותקנות, כל זאת באמצעות קריאות של Windows API ולא על ידי שאילתות של (Windows Management Instrumentation (WMI. המידע, שמעוצב כ-JSON, נשלח לשרת C2 של התוקפים באמצעות בקשת HTTP POST. לאחר שהנוזקה מסיימת לסנן את המידע שעל המחשב הנגוע, היא מנסה להשיג גישה מתמדת למערכת ויוצרת משימה מתוזמנת בשם RecoveryExTask, אשר עם הפעלת המערכת מריצה את הקובץ שהועתק ל-Roaming, ביחד עם rundll32.exe ושם פונקציה. לדברי החוקרים אותרו קווי דמיון בין שמות הקבצים של המסמכים ששימשו להעברת הנוזקה SVCReady לבין אלה האופייניים לקמפיינים של קבוצת התקיפה TA551, המכונה גם Shathak, שמפיצה קמפייני פישינג מאז 2016. נראה כי התוכנה הזדונית עודנה בשלבי פיתוח מוקדמים, משום שהיא מופצת בתדירות נמוכה ובנפח קטן. בדוח המלא של HP ניתן למצוא IOCs, שמות קבצים זדוניים ודומיינים להזנה במערכות ההגנה של ארגונים לשם התמגנות מפני הנוזקה.

צוות קונפידס ממליץ ליישם את המלצותיה של HP על מנת להימנע מליפול קורבן לנוזקה.

Avast: גרסה זדונית של CCleaner משמשת לגניבת מידע אישי ומטבעות דיגיטליים; רשמה עד כה כ-10,000 נסיונות הדבקה

בקמפיין המכונה FakeCrack שחשפה חברת Avast מוצעת תוכנת ה-CCleaner, המיועדת לניקוי קבצים זמניים וקבצי Cache במחשבים, בגרסה פרוצה המכילה כמה ״הפתעות״ נוספות. שרשרת ההדבקה בתוכנה הזדונית מתחילה באתרים מפוקפקים המציעים בחינם משחקים ותוכנות פרוצים, כאשר מרבית האתרים הללו נמצאים בראש רשימת התוצאות בעת חיפוש גרסאות פרוצות של מוצרים, תודות לטכניקות אינדוקס שונות בהן הם משתמשים. הנוזקה שחשפה Avast משתמשת בטכניקה מתוחכמת לגניבת מטבעות דיגיטליים ממכשירים נגועים, המתבססת על בדיקה קבועה של ה-Clipboard של הקורבן המבוצעת כל כמה שניות, וזיהוי העתקה שביצע המשתמש לכתובת של ארנק קריפטו. עם הזיהוי, הנוזקה מבצעת החלפה בין הארנק המקורי של הקורבן לארנקם של התוקפים. טכניקה זו מאפשרת לעקוף את כל מנגנוני ההגנה של סביבות המסחר הנפוצות, ולגנוב מטבעות דיגיטליים באמצעות החלפת כתובת הארנק שהועתקה.

צוות קונפידס ממליץ להוריד משחקים ותוכנות אך ורק ממקורות רשמיים ולא לעשות שימוש בתוכנות פרוצות. 

וריאנט חדש של Emotet גונב פרטי כרטיסי אשראי של משתמשי Google Chrome

בסוף 2021 שבה אל הזירה הנוזקה הידועה, המיוחסת לקבוצת התקיפה TA542 (ידועה גם בשמות MUMMY SPIDER ו-Gold Crestwood), ואשר מפיצה עצמה באמצעות קמפיינים פרסומיים המכילים קישורים לאתרים מתחזים, ועל ידי קבצים זדוניים הנשלחים במייל. Emotet, המדביקה מכשירים בנוזקות וכופרות, גונבת כעת נתוני אשראי המאוחסנים ושמורים בפרופילי המשתמשים של Google Chrome, ושולחת אותם לשרת C&C המצוי בשליטת התוקף.

צוות קונפידס ממליץ להימנע ככל הניתן משמירת פרטי כרטיסי אשראי בדפדפנים ובאפליקציות, ולהגדיר מנגנון אימות דו-שלבי (2FA) לשם כניסה לחשבונות משתמשים וביצוע תשלומים אונליין.

מספר בוטנטים החלו לנצל חולשה קריטית במוצרי Atlassian; התפשטות המתקפות מהיר מהרגיל

לאחר שפורסמו ברחבי הרשת מספר הוכחות היתכנות לניצול החולשה (CVE-2022-26134), חברת אבטחת המידע GreyNoise מדווחת כי זיהתה 23 כתובות IP ייחודיות אשר החלו בניצולה הפעיל. חולשה קריטית זו, אשר נסגרת בעדכון האבטחה האחרון שפרסם היצרן (ראו ״חולשות חדשות״ בדוח זה), עלולה לאפשר לתוקף להריץ קוד מרחוק ללא אימות (Unauthenticated RCE). לדברי חוקרי אבטחת המידע של חברת Laceworkֿ, מבין כתובות ה-IP שזוהו, שלוש שייכות לבוטנטים Kinsing ,Hezb ו-Dark.IoT, הידועים ככאלה המנצלים חולשות במערכות מבוססות Linux לצורך הפצת דלתות אחוריות וכורי מטבעות קריפטוגרפיים. עוד דיווחה Lacework כי למרות שכמו במקרה של כל חולשה אחרת הניצול היה צפוי, נראה כי הפעם הדבר מתפשט בצורה מהירה יותר ביחס לחולשות דומות. בתוך כך, חברת Volexity, שדיווחה על ניצול החולשה עוד בשבוע שעבר, חשפה כי נראה שתוקפים מאזור סין משתמשים בה להפצת Web shells.

השבוע בכופרה

Mandiant: אין ראיות שנפרצנו על ידי LockBit

חברת הגנת הסייבר האמריקאית חוקרת את טענתה של קבוצת הכופרה, לפיה פרצה לרשתותיה וגנבה מהן נתונים. ב-6 ביוני פרסמה LockBit עמוד חדש באתר הדלפת הנתונים שלה שבדארקנט, ובו שעון עצר הסופר לאחור עד לשעה בו תפרסם באינטרנט את 356,841 הקבצים שגנבה, לכאורה, מ-Mandiant. נכון לשעה זו, LockBit טרם חשפה באיזה מידע מדובר, אך רשימת הקבצים בדף ההדלפה שלה ריקה. ואולם, לאתרה של הקבוצה הועלה קובץ ריק (bytes-0) בשם mandiantyellowpress.com.7z, המרמז כי ההדלפה-לכאורה קושרה לדומיין mandiantyellowpress.com, שנרשם באותו היום בו הודיעה על הפריצה. לדברי מגזין אבטחת המידע BleepingComputer, כאשר ניסה לקבל מהחברה פרטים בנושא, הוא נענה על ידי מארק קאראיאן, מנהל בכיר לתקשורת שיווקית בארגון, כי ״ Mandiant מודעת לטענות התוקפים המשתייכים לקבוצת LockBit, אך בשלב זה אין בידינו כל ראיה התומכת בהן. נמשיך לעקוב אחר המצב, ככל שיתפתח״. הטענות לפריצה הופיעו לאחר ש-Mandiant חשפה בדוח שפרסמה בשבוע שעבר כי קבוצת התקיפה הרוסית Evil Corp פורסת כעת את כופרת LockBit על מנת להתחמק מהסנקציות שהטילה עליה ארצות הברית, האוסרות על תשלום דמי כופר לקבוצה. כמו כן, בפברואר פרסמה לשכת החקירות הפדרלית (FBI) התרעה שכללה פרטים טכניים ואינדיקטורים לחסימת התקפותיה של LockBit, וקראה לקורבנותיה לשתף עם יחידת הסייבר של הארגון מידע אודות אינדיקטורים נוספים השייכים לכופרה. בתוך כך, LockBit פרסמה קבצים שבדיקתם העלתה כי, ככל הנראה, לא מדובר בכאלה שנגנבו מרשתותיה של Mandiant, אלא בקבצים שפורסמו ממניע אחר - הניסיון לנתק את שמה של LockBit מ-Evil Corp, מחשש לאובדן הכנסותיה. עוד מסר מארק קאראיאן כי ״Mandiant בחנה את הנתונים שנחשפו בהדלפת הקבצים שנעשתה על ידי קבוצת LockBit, ובהתבסס עליהם מצאה שאין אינדיקציות לכך שהחברה נפרצה, אלא לכך שהקבוצה מנסה להפריך את הדוח שפורסם על ידי החברה, לפיו Evil Corp הרוסית עברה לשימוש בכופרת LockBit״.

שימוש חדש לבוט ישן: קבוצת התקיפה Black Basta משתפת פעולה עם יוצרי QakBot  על מנת לנוע רוחבית ברשת

ברשומת בלוג שפרסמה השבוע חברת NCC Group נחשף מידע על קבוצת התקיפה החדשה Black Basta, שמאז החלה לפעול באפריל כבר קושרה לקבוצת הכופרה Conti. כעת, חושפים החוקרים, נראה ש-Black Basta החלה לשתף פעולה עם יוצרי הטרויאני הבנקאי QakBot, כאשר באירוע פריצה שנחקר לאחרונה תועד שימוש של הקבוצה בבוט לשם תנועה רוחבית ברשת. אופן הפעולה האמור שונה מזה של קבוצות אחרות, המשתמשות בבוט רק על מנת להשיג גישה ראשונית לרשת הקורבן. עוד מצאו החוקרים כי Black Basta משתמשת ב-Cobalt Strike ובהשבתה של ה-Windows Defender על עמדות הקורבן. פעולה אחרונה זו נועדה למנוע את גילוי נוכחותה ברשת ולאפשר להצפנה לצלוח. על מנת למזער את נזקי התקיפה, החוקרים ממליצים לבצע גיבויים אופליין ולהקפיד על תדירות גיבוי גבוהה. המלצה נוספת היא להגביל את התנועה הפנימית בפרוטוקולי RDP ו-SMB רק לעמדות ההכרחיות, על מנת להקטין את החשיפה לפגיעה.


דוח מתקפות ונפגעי הכופרה של Kela לרבעון הראשון של 2022: עלייה במתקפות הכופרה; LockBit תופסת את מקומה של Conti

מהדוח שפורסם עולה כי ברבעון הראשון של 2022 כנופיות הכופרה שמרו על מעמדן כאיום מרכזי, תוך שיתוף פעולה עם עם פושעי סייבר שונים, כגון ברוקרי גישה ראשונית (IABs), כל זאת במטרה לתקוף תאגידים ברחבי העולם. עוד עולה מהדוח כי מספרם הכולל של קורבנות הכופרה ירד ברבעון הראשון בכ-40% ביחס לרבעון הרביעי של 2021, וכי קבוצת התקיפה LockBit החליפה את Conti כקבוצה הפעילה ביותר מאז תחילת השנה, עם ייחוס של 40% מהמתקפות שבוצעו ברבעון. מספר ההתקפות שביצעה Conti ירד בינואר 2022, ואז שב וגדל בעקבות דליפת נתונים פנימיים של הקבוצה. על המגזרים הנתקפים ביותר ברבעון נמנו הפיננסים, הייצור התעשייתי והאלקטרוני, השירותים המקצועיים והטכנולוגיה, והמדינות הנתקפות ביותר היו אנגליה, איטליה, קנדה וגרמניה. עוד נצפתה שיטת איום חדשה בה נקטו כנופיות הכופרה, המתבססת על פרסום דבר התקיפה ללא שם הקורבן. בתוך כך, KELA הצליחה לזהות יותר מ-150 נפגעים מגישה לרשת, ולקשר חלק מהמפעולות למתקפות כופרה שבוצעו על ידי הקבוצות BlackByte, Quantum ו-ALPHV. הגישה לרשת התאפשרה, ככל הנראה, בסיוע שותפים של קבוצות הכופרה. בדוח המלא מובאים כלל הנתונים, לצד דוגמאות לתקיפות שזוהו.

סימנים לחזרתה של קבוצת התקיפה CUBA 

לאחר שפרצה אשתקד ל-49 ארגונים של תשתיות קריטיות ברחבי ארצות הברית בשיתוף פעולה עם קבוצת התקיפה Hancitor, לאחרונה נרשם שימוש בכופרה של CUBA, שנראה כי שבה לפעילות. לדברי חברת אבטחת המידע Trend Micro, למרות שההתעוררות המחודשת נצפתה במהלך החודשים מרץ ואפריל, גרסת הכופרה בה נעשה שימוש באפריל שונה מזו בה נעשה שימוש במרץ, אך מכתבי הכופרה המוצגים על ידי שתיהן מפנים לאותו אתר. במכתב הכופרה המתועד האחרון מחודש אפריל, מצוין במפורש שבמידה והקורבן יסרב לנהל משא ומתן, בתום שלושה ימים יפרסמו התוקפים באתרם נתונים אודותיו, בעוד שבחודש מרץ לא נצפה שימוש בסחיטה כפולה מסוג זה. לדברי Trend Micro, הנושא עודנו בחקירה וטרם התברר במלואו אופן ההדבקה של גרסת הכופרה החדשה. בתוך כך, החברה פרסמה נתונים אודות אינדיקטור שנמצא קשור לכופרה,

89288de628b402621007c7ebb289233e7568307fb12a33aac7e834504c17b4af

ואת שם הקובץ הרלוונטי,

Ransom.Win32.BACUCRYPT.YPCD2T.

צוות קונפידס ממליץ לבצע חסימה של Hash זה ולנטרו במערכות הארגון, להטמיע וליישם מערכות לבדיקת קבצים (אנטי-וירוס, SandBox ,EDR מערכת הלבנה וכיוצא באלה) ולבצע תרגולי מודעות בקרב עובדים הארגון, תוך הנחייתם שלא לפתוח קבצים או ללחוץ על קישורים ממקורות שאינם מוכרים. כמו כן, יש לנטר את הטכניקות שבשימוש קבוצת התקיפה על פי טבלת ה-Mitre ATTACK.

סייבר בעולם

 
 

מתקפת סייבר משבשת את פעילותן של אלפי מצלמות אבטחה ברחבי טהרן

כלי תקשורת באיראן מדווחים כי המתקפה השפיעה על כ-5,000 מצלמות אבטחה המצויות בשימוש הממשלה. בתוך כך, ארגון אופוזיציה של גולים איראנים לקח אחריות על האירוע, ואף דיווח כי הצליח, בין היתר, לפרוץ למצלמות הסובבות את קברו של האייתוללה רוחאללה ח׳ומייני, מייסד הרפובליקה האיסלאמית, ולהשבית את אתר האינטרנט של עיריית טהרן ושל מערכות תקשורת אחרות המשמשות את בירת איראן. עוד פרסם הארגון סרטון בו נראים אתרים איראניים, לרבות אתרה של עיריית טהרן, לאחר שנשתלו בהם הודעות בגנות ח׳ומייני ותמונות של המנהיג הנוכחי של איראן, עלי ח׳אמינאי, עם סימן X אדום על פניו, לצד קריאה להתקומם נגד משטר האייתוללות במדינה. המתקפה מתרחשת במקביל להיערכות באיראן לציון יום השנה ה-33 למותו של ח׳ומייני. 

מיקרוסופט חוסמת את השימוש ב-OneDrive לקבוצת התקיפה הלבנונית Polonium, אשר פרצה לרשתותיהן של חברות ישראליות

עוד נחסמה גישתה של הקבוצה הידועה ל-20 יישומים נוספים המבוססים על הפלטפורמה ושימשו לפריצה, כל זאת לאחר שנצפה שימוש שעשתה בחשבונות לגיטימיים ב-OneDrive לצורכי דלף מידע ופיקוד ושליטה (C&C) במסגרת תקיפות ממוקדות של ארגונים ישראלים. מאז פברואר השנה התמקדה פעילות הקבוצה בחברות ישראליות ממגזרי הייצור, ה-IT והביטחון, כאשר להערכת מיקרוסופט הפעילות בוצעה משטח לבנון ובשיתוף גורמים המזוהים עם משרד המודיעין והביטחון של איראן. בתקיפותיה השתמשה Polonium במספר זנים של תוכנות זדוניות, כגון שתלי CreepySnail מבוססי CreepyDrive ו-PowerShell, לשליטה ובקרה ולגניבת נתונים. במרבית התקיפות, וקטור הכניסה היה ניצול חולשה ידועה (CVE-2018-13379) במכשירי Fortinet SSL VPN שאינם מעודכנים, המאפשרת גישה והורדת קבצי מערכת ללא הזדהות. הקישור לאיראן מתבסס על דמיון בטכניקות ובכלים של הקבוצה לאלה שבהם משתמשות קבוצות תקיפה איראניות מוכרות, כמו גם על שימוש במידע גנוב לפריצה לארגונים נוספים. על פי הדוח של מיקרוסופט, במידע שגנבה הקבוצה לאחר פריצה לספקית ענן ישראלית נעשה שימוש לפריצה לחברת תעופה ולמשרד עורכי דין ששמם טרם פורסם. מיקרוסופט ממליצה ללקוחותיה לעיין ב-IOCs שפרסמה ולוודא את הזנתם במערכות ההגנה של ארגוניהם, וכן לעדכן את ה-Microsoft Defender ולוודא את תקינותו של מנגנון האימות הרב-שלבי (MFA).

ה-CISA מוסיפה חולשה חדשה ל״קטלוג החולשות המנוצלות הידועות״

ב-6 ביוני הסוכנות האמריקאית להגנת סייבר ותשתיות הוסיפה לקטלוג אותו היא מנהלת חולשה (CVE-2022-26134) מסוג Zero-day העלולה לאפשר לתוקף לבצע מתקפת RCE (הרצת קוד מרחוק) בשרתי Confluence של חברת Atlassian. החולשה נוספה למאגר על בסיס עדויות לניצולה הפעיל, ולדברי ה-CISA היא מהווה כלי נשק בידי גורמי סייבר זדוניים ומסכנת באופן ממשי ארגונים פדרליים. ב-8 ביוני הוסיפה ה-CISA לקטלוג 36 חולשות נוספות, לאחר שהוכח כי נוצלו על ידי תוקפים. בתוך כך, ה-CISA עדכנה את הקטלוג ואת אזור ה״שאלות והתשובות״ הנלווה אליו על מנת לספק מידע אודות הקריטריונים וההליך המשמשים להוספת החולשות המנוצלות לפרויקט, והיא מעודדת משתמשים ומנהלי מערכות לעיין במידע החדש.

מיקרוסופט נוקטת בצעדים משפטיים נגד 41 דומיינים ששימשו קבוצת תקיפה איראנית לביצוע תקיפות פישינג

מחלקת הפשעים הדיגיטליים של מיקרוסופט (DCU) הודיעה כי נקטה בצעדים משפטיים נגד קבוצת Bohrium, המקושרת לקמפייני פישינג ממוקד (Spear phishing) רבים, שיעדיהם היו ארגונים במגזרי ההייטק, הממשל, התחבורה והחינוך ברחבי העולם. במסגרת התקיפות השתמשה הקבוצה בפרופילים מזויפים ברשתות החברתיות על מנת להתחזות למגייסים למשרות שונות, ובכך השיגה מידע אישי מקורבנותיה. במידע זה השתמשו התוקפים למשלוח מיילי פישינג, להשתלטות על עמדות ולסריקתן מרחוק, וכן לאיסוף מידע פנימי. לאחר שניתן למיקרוסופט צו משפטי שאישר לה לפעול, היא הסירה עשרות דומיינים ששימשו את Bohrium לניהול שרתי השליטה והבקרה שלה, אשר באמצעותם מימשה את תקיפותיה. 

קבוצות תקיפה הפועלות בחסות סין מנצלות חולשות ידועות במוצרי רשת 

בין היתר, התוקפים מנצלים חולשות במוצרי Cisco ,Citrix ,D-Link ו-Fortinet, במטרה לפרוץ לרשתות ארגונים מהסקטור הפרטי והציבורי כאחד. במסגרת הפריצות נעשה שימוש במכשירי רשת כגון ראטורים ועמדות NAS לניתוב התעבורה מעמדות נגועות לשרת מרוחק שברשות התוקפים, או כ״קרש קפיצה״ לפריצה לעמדות נוספות. התוקפים אינם משתמשים בנוזקה ייחודית שברשותם, אלא מתבססים על ניצול חולשות מוכרות במוצרים, כמו גם על העובדה שהמכשירים מעודכנים בתדירות נמוכה, בשל הקושי שבמעקב ובהטמעה של העדכונים לעתים תכופות. בשלב הראשוני של התקיפה, התוקפים מבצעים בדיקה מקדימה לאיתור מידע ראשוני (גרסת ודגם המוצר, למשל) באמצעות כלי קוד פתוח, כגון RouterSploit או Router Scan, על מנת לנצל את החולשה המתאימה על פי נתוני המוצר. במקרים רבים, לאחר קבלת אחיזה ראשונית ברשת של ספק רשת או ארגון תקשורת, התוקפים מאפיינים את המשתמשים והתשתיות הקריטיות בארגון, לרבות מערכות לניהול הרשאות למשאבים. לאחר מכן התוקפים מתשאלים מאגר SQL של שרת RADIUS על מנת לקבל את פרטי ההתחברות של משתמשים ומשתמשי אדמין, ואז מושכים את מידע הקונפיגורציה של הנתב ברשת באמצעות SSH והרצת סקריפט, כל זאת כדי להבין כיצד לתמרן את תעבורת הרשת. מידע זה מאפשר לתוקפים להריץ פקודות על הנתבים על מנת לנתב, לתפוס ולייצא תעבורה מהרשת אל השרת המרוחק שבבעלותם. עם סיום השינויים בקונפיגורציה, התוקפים משמידים את הלוגים המקומיים שתיעדו את פעולותיהם. בהתרעה שפרסמה הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) בנושא פעילות זו מופיעות המלצות רבות, לרבות עדכון תכוף של המערכות והמוצרים בהם עושים ארגונים שימוש, בהתאם להנחיות היצרנים העדכניות, הטמעת מערכת אוטומטית לניהול עדכונים והחלפת מוצרי End-of-life שכבר אינם נתמכים על ידי היצרן.

ארה״ב: נפרצו שתי חנויות מקוונות למכירת כלי נשק ופרטי האשראי של לקוחותיהן נגנבו

בשני אירועים שונים חוותה כל אחת מהחנויות, Rainier Arms ו-Numrich Gun Parts, מתקפה מסוג Credit card skimming, בה מושתל באתר האינטרנט קוד JavaScript זדוני, או מוחדר אליו ממשאב מרוחק הנראה כלגיטימי, כגון  Favicon (אייקון המקושר לכתובת URL ומוצג בשורת כתובת האתר). המתקפות נועדו לגניבת פרטי האשראי המוזנים בדף התשלום, לרבות מספרי כרטיסי אשראי, תוקפם, קודי ה-CVV שלהם, סיסמאותיהם/PIN, שמות הלקוחות ומספרי הטלפון שלהם וכתובתיהם. בחודש מאי האחרון גילתה Numrich Gun Parts שנתקפה, לאחר שזוהתה פעילות חשודה באתרה. היא פתחה באופן מידי בחקירה, שהעלתה כי תוקף הצליח לגשת לפרטיהם האישיים של כ-45,169 מלקוחותיה בין ה-23 בינואר ל-5 באפריל השנה. החברה הודיעה על הפריצה בהודעה משותפת עם התובע הכללי של מדינת מיין, ובימים אלה היא מיידעת את לקוחותיה שנפגעו באירוע ומעדכנת אותם בדבר הצעדים בהם נקטה לשם לחסימת גישתו של התוקף למידע רגיש. בתוך כך, החברה מבקשת מלקוחותיה לגלות ערנות לתנועות חשודות בחשבונותיהם. באשר ל-Rainier Arms, מדובר בתקיפה שהתגלתה באפריל השנה, בעקבות דיווחים של לקוחות על חיובים עבור רכישות שלא ביצעו. חקירה שנפתחה הביאה לגילוי קוד זדוני ולממצאים לפיהם בין ה-19 בינואר ל-1 ביוני השנה הצליח תוקף לגשת לפרטי כרטיסי האשראי של לקוחות החנות המקוונת שביצעו רכישות אונליין דרך אתרה. החברה שלחה כ-46,319 פניות ללקוחות שנפגעו מחשיפת הפרטים, בהן הסבירה באילו פעולות מנע נקטה על מנת שהמקרה לא יישנה. החברה הנחתה את לקוחותיה לעבור על פירוט האשראי שלהם ולחפש בהם אחר פעילות חשודה, ובמידה ויאתרו כזו - ליידע בכך את ספק האשראי שלהם. בשני המקרים טרם התבררה זהות התוקף.

סייבר בישראל

 

שלושה סטודנטים ממכללת HIT נחקרו בחשד שחדרו למערכת האקדמית וניגשו לחומרי לימוד ומסמכים רגישים

ב-6 ביוני עצרו חוקרי המחלק לפשיעה מקוונת שלושה סטודנטים כבני 25 מהמכון הטכנולוגי חולון, בחשד שביצעו עבירות מחשב ושלחו למרצים במכללה הודעות פישינג במייל עם קישור שדרש מהקורבנות לאפס את סיסמתם. באופן זה הסטודנטים קיבלו לכאורה גישה למערכות המכללה, בהן מערכת המייל ומערכת הלימוד הממוחשבת. לאחר חקירתם באזהרה, הסטודנטים שוחררו בתנאים מגבילים.

חשד לפרצת אבטחה ודלף מידע מהמערכת המשמשת את השירות הפסיכולוגי החינוכי; הרשות להגנת פרטיות החלה בהליך אכיפה מנהלית

ב-8 ביוני צייץ בטוויטר רן בר זיק, עיתונאי טכנולוגי בעיתון ״הארץ״, כי חוקר אבטחת המידע נועם רותם גילה פרצה במערכת ״משפח״ה״, המשמשת לניהול שירותים פסיכולוגיים חינוכיים, דבר שהביא לדלף מידע רגיש אודות ילדים עם מוגבלויות. בעקבות כך, באותו היום צייצה הרשות להגנת הפרטיות כי פתחה בהליך אכיפה מנהלית מול החברה המפעילה את מערכת ״משפח״ה״, וכי היא בוחנת את נסיבות המקרה.

סייבר ופרטיות - רגולציה ותקינה

 

כנס CyCon במרכז למצוינות בסייבר של נאט"ו: התמקדות במלחמת הסייבר בין רוסיה לאוקראינה

הכנס השנתי, שהתקיים בין התאריכים 1-3 ביוני ב-CCDCOE שבטאלין, בירת אסטוניה, התמקד בהיבטי הסייבר של המלחמה במזרח אירופה, לרבות עמדתם של נאט"ו והמדינות החברות בארגון ביחס למתקפות הסייבר המהוות חלק אינטגרלי בעימות. למרות שאוקראינה אינה חברה בנאט״ו, היא הצטרפה ל-CCDCOE בחסותו, ונציגיה השתתפו בכנס באופן פעיל. נושאים נוספים שהודגשו במפגש היו השפעתה של בינה מלאכותית על פעילות במרחב, מתקפות סייבר בחלל החיצון והגנה על מידע אישי דיגיטלי בזמן מלחמה - הן זה של קורבנות והן זה של לוחמים.

ועדת הסנאט לביטחון המולדת: מערכת הסנקציות נגד ארנקי קריפטו שמקבלים דמי כופר מסתמנת כהצלחה; הגברת האכיפה חיונית

הסנאטור האמריקני גארי פיטרס, יו"ר הוועדה לביטחון המולדת ולענייני ממשל, כינס שימוע של הוועדה על מנת לבחון היבטים שונים של הטיפול במטבעות קריפטוגרפיים מצד הממשל האמריקאי, בניסיונו של הממשל למנוע שימוש בהם על ידי קבוצות האקרים הדורשות דמי כופר. בין היתר, בשימוע נדונו סוגיות העלייה המהירה במספר מתקפות הכופרה הדורשות תשלום באמצעות ארנקי קריפטו והצורך בנתונים מקיפים להבנת ההשפעה ההרתעתית שיש לסנקציות הנוגעות לתשלומים המתבצעים במסגרת מתקפות אלה. עוד דנה הוועדה בהשפעת הסנקציות שהטיל ממשל ביידן על בורסת המטבעות הווירטואליים SUEX בסתיו 2021, אשר לדברי גורמים רשמיים פעלה משטח רוסי. ג'קלין ברנס קובן, ראש מודיעין איומי הסייבר בחברת Chainalysis, העידה בוועדה על מגמה חיובית של ירידת ההפקדות בבורסת ה-SUEX לכמעט אפס מאז הטלת הסנקציות. התפתחות זו מחזקת את הניסיונות למגר את פעולות הלבנת הכספים באמצעות שימוש ב"מערבלים". יחד עם זאת, למרות השפעתן החיובית של הסנקציות, עדים נוספים בוועדה העלו חששות בנוגע לחוסרים הקיימים בחוק האמריקאי העוסק בנושא, וקובן סיכמה שנדרשת רגולציה בינלאומית, בשיתוף שחקנים כמו ה-Financial Action Task Force, לחיזוק האכיפה בתחום, למיגור תופעת מתקפות הכופרה ולמלחמה העולמית בהלבנת כספים. בתגובה צדד הסנאטור פיטרס בחשיבות של נקיטה בצעדים רגולטוריים, וציין כי "מתקפת כופרה בודדת יכולה לאלץ עסקים לסגור את דלתותיהם לצמיתות, אפילו אם ישלמו את דרישת הכופר". 

״ועדת דוידי״ מפרסמת קול קורא להתייחסות הציבור בנושא ההתמודדות עם מתקפות כופרה

הוועדה מטעם משרד המשפטים, שקמה לצרכי התאמת המשפט לאתגרי החדשנות והאצת הטכנולוגיה, פרסמה ב-6 ביוני קול קורא במטרה לקבל את התייחסות ועמדות הציבור בישראל בנוגע לדרכי ההתמודדות עם תופעת תשלומי דמי הכופר בעקבות מתקפות כופרה במרחב הסייבר, כל זאת על מנת לגבש מדיניות ממשלתית "הוליסטית" להתמודדות עמה. הפרסום כולל הסבר אודות הבעיה שעל הפרק, לפיו "בשנים האחרונות אנו עדים למספר הולך וגדל של מתקפות כופרה, שגורמות לנזקים רבים ונרחבים, בראש ובראשונה לקורבנות המתקפות עצמם, אך גם לחברה כולה. הצורך להסדיר את הנושא עלה במסגרת דיוני הוועדה להתאמת המשפט לאתגרי החדשנות והאצת הטכנולוגיה במשרד המשפטים". הוועדה מבקשת לשמוע את דעת הציבור לגבי "[...] מנעד התרחישים והנתיבים האפשריים של אסדרת התחום, ובהתאם גם להזדמנויות, האתגרים והכשלים שאלו עשויים לעורר". ניתן להגיש התייחסות עד ל-30.6.2022.

קול קורא להתייחסות הציבור: הפיקוח על יצוא דו-שימושי - כלי נשק סייברים במרכז השיח

מטרת-העל של הפיקוח על היצוא בישראל, המוסדר בחוק הפיקוח על יצוא ביטחוני, תשס"ז-2007, היא להבטיח שיצוא טכנולוגיות ישראליות אזרחיות, לרבות כלים סייברים דו-שימושיים (כלומר כאלה שניתן לעשות בהם שימוש אזרחי וצבאי כאחד), לא יגרום לפגיעה במדינת ישראל או ביחסי החוץ שלה, וכן למנוע פגיעה במאמץ הבינלאומי לשמירת השלום העולמי. ההסדרה של סוגיית היצוא הביטחוני בישראל נובעת מ-החלטה 1540 של מועצת הביטחון של האו"ם משנת 2004, המחייבת את כלל המדינות להקים מנגנון של פיקוח על היצוא במטרה למנוע זליגה של סחורות וטכנולוגיות שפותחו לצרכים אזרחיים לגורמי טרור, וכן מהסדר ואסנאר מתקופת המלחמה הקרה, העוסק באותו נושא. בהתאם לכך, משרד הביטחון הישראלי, שהינו הגורם האחראי על הסדרת התחום בישראל (באמצעות אגף הפיקוח על היצוא הבטחוני, או אפ"י), פרסם ב-7 ביוני בקשה להיוועץ עם המפוקחים, עם מומחים ועם הציבור הרחב בנוגע לרגולציה הרצויה בתחום היצוא הדו-שימושי. כלי סייבר דו-שימושיים מצויים כיום במרכז השיח הרגולטורי, כאשר דוגמאות לכאלה הן כלי ניטור אלקטרוניים (כגון Pegasus של חברת NSO) ותוכנות מסוימות של בינה מלאכותית. משרד הביטחון מזמין את הציבור להתייחס לנושא במייל עד ל-7.7.2022. 

ארה״ב: ממשל ביידן מכריז על מימון תשתיות אינטרנט במהירות גבוהה ברמה הלאומית

ב-8 ביוני הכריז הבית הלבן על השקעות חדשות במסגרת תוכנית ההצלה האמריקאית (American Rescue Plan) על מנת לסייע באספקת גישה לאינטרנט מהיר במחיר סביר לכל אזרחי ארצות הברית. מימון התוכנית מתווסף להשקעה בסך 65 מיליארד דולר בהנחת תשתיות לגישה אינטרנטית מהירה בהתאם לחוק התשתית הדו-מפלגתית, וכן להכרזות מהעת האחרונה על הוזלת עלות האינטרנט המהיר לעשרות מיליוני משפחות אמריקאיות. השקעות אלה של הממשל הפדרלי נוספות להשקעות בתשתית האינטרנט שביצעו מדינות ספציפיות, בהן קליפורניה, ג׳ורג׳יה, מונטנה, צפון קרוליינה, וושינגטון, ויסקונסין, ורמונט ו-וירג'יניה.

מחלקת הסייבר בפרקליטות המדינה מודיעה על כוונתה להעמיד לדין את ראש עיריית קריית מוצקין, גם על עבירות לפי חוק הגנת הפרטיות

על פי הודעת המחלקה מה-7 ביוני, כתב האישום נגד חיים צורי יוגש בכפוף לשימוע שיערך לו, אשר מועדו צפוי להקבע בשבועות הקרובים. בין היתר, צורי חשוד בהפרות בעלות השלכות פליליות של החוק להגנת הפרטיות, כאשר החלטת הפרקליטות נשענת על חקירה בת מספר שנים שערכה בשיתוף פעולה עם הרשות להגנת הפרטיות ומשטרת ישראל. לדברי הרשות להגנת הפרטיות, "בעקבות התחקיר [שבוצע על ידי הרשות], בשת"פ עם חקירה נרחבת יותר שניהלה המשטרה, פתחה הרשות בחקירה פלילית בחשד לעבירות פגיעה בפרטיות, ביניהן שימוש במידע מתוך המאגרים העירוניים בניגוד למטרה לשמה הוקמו, והעברת המידע שכלל מיפוי הדעות הפוליטיות של התושבים/ות לגורמים שונים בעירייה, תוך פגיעה בפרטיות התושבים".

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנה, עמרי סרויה, עדי טרבלסי וגיא פינקלשטיין.