דו״ח סייבר שבועי
עדכון שבועי 10.08.2023
עיקרי הדברים
1. ישראל: מתקפת כופרה על בית חולים מעייני הישועה. ע״פ משרד הבריאות: ״כל המידע כולל השרתים ותחנות הקצה הוצפנו.״; עובדת רשות המיסים הגישה תלונה נגד רכז אבטחת מידע וממונה בכיר בסייבר בטענה שחיטטו לה בחשבון הגוגל פוטוס.
2. סייבר בבריאות: ארה״ב - מתקפת סייבר משפיעה על 16 בתי חולים ב-4 מדינות; מתקפת סייבר על בית החולים טמפה, בפלורידה כולל דלף מידע של 3.4 מיליון מטופלים. דלף מידע של 1.7 מיליון מבוטחי הבריאות במדינת אורגון; בתי חולים באלבמה הושפעו מדלף המידע של Fortra; מתקפת סייבר על רשת שירותי רפואת משפחה מארקנסו ע״י קבוצת Karakurt; מתקפת כופרה על חברת CareSource - דיווחים על דלף מידע;
3 טאלוס: ברבעון 2 של 2023 חלה עליה של 25% במתקפות סייבר שכוללות רק דלף וסחיטה ללא הצפנה. תחום הבריאות הוא הנתקף ביותר.
4. האקרים מצפון קוריאה פרצו ליצרנית טילים הרוסית NPO Mashinostroyeniya.
5. *אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Microsoft (zero day); מוצרי Adobe (קריטי); *
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
Adobe הוציאה עדכוני אבטחה קריטיים
Microsoft פרסמה 87 עדכוני אבטחה במסגרת Patch Tuesda
התקפות ואיומים
תוכנה זדונית חדשה הנקראת hVNC משומשת כנגד מכשירי macOS
סייבר בעולם
CISA מפרסמת מסמך על תוכניותיה ב-3 שנים הקרובות
חוקרי Cisco Talos פרסמו דוח המסכם את ההתקפות והטקטיקות הנפוצות ברבעון השני של 2023
פרסום משותף של ה-CISA, NSA, FBI ושותפים בינלאומיים מזהיר על הפגיעויות המנוצלות ביותר שהיו במהלך שנת 2022
האקרים מצפון קוריאה פרצו לרשת יצרנית טילים רוסית NPO Mashinostroyeniy
סייבר בגופי בריאות
ארה״ב: מתקפת סייבר משפיעה על 16 בתי חולים ב-4 מדינות שונות
ארה״ב: דלף מידע משפיע על 1.7 מיליון מבוטחי הבריאות במדינת אורגון
ארה״ב: בתי חולים באלבמה שהם חלק מערכת הבריאות הקהילתית ככל הנראה הושפע מדלף המידע של Fortra
ארה״ב: קבוצת ההאקרים Karakurt הוסיפה רשת שירותי רפואת משפחה מארקנסו לרשימת הקורבנות שלה
ארה״ב: מתקפת כופרה על חברת CareSource - דיווחים על דלף מיד
פלורידה : נתונים של 3.4 מיליון מטופלים הושפעו מדלף מידע
סייבר בישראל
בית החולים מעייני הישועה חווה מתקפת כופרה
כנסים
הציטוט השבועי
_"מבקר המדינה התריע כי מערכת הבריאות אינה ערוכה בצורה מספקת לאיומי סייבר, ובמאי 2023 קרא למשרד הבריאות לסייע לכל המוסדות הרפואיים להתמודד עם אתגרי אבטחת המידע, כדי למנוע פגיעה בהם כפי שקרה הבוקר בבית החולים "מעייני הישועה.״_
- משרד מבקר המדינה ונציב תלונות הציבור, בעקבות מתקפת הסייבר על המרכז הרפואי מעייני הישועה
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
Adobe הוציאה עדכוני אבטחה קריטיים
Adobe פרסמה עדכוני אבטחה עבור Adobe Acrobat Reader ,Adobe Commerce ,Adobe Dimension ו- Magento Open Source. עבור Windows ו-macOS. עדכונים אלו מטפלים בפרצות במספר חולשות בינהן חולשות קריטיות. ניצול מוצלח עלול להוביל למניעת שירות של יישומים, לעקוף תכונות אבטחה, דליפת זיכרון והרצת קוד שרירותי.
Improper Access Control עלול להוביל לעקיפת תכונות אבטחה (CVE-2023-29320)
Use-After-Free עלול להוביל לביצוע קוד שרירותי (CVE-2023-38222, CVE-2023-38224, CVE-2023-38225, CVE-2023-38227, CVE-2023-38228)
OS command injection עלול להוביל לביצוע קוד שרירותי (CVE-2023-38208)
Heap-based Buffer Overflow עלול להוביל לביצוע קוד שרירותי (CVE-2023-38212)
צוות קונפידס ממליץ לעדכן את גרסאות Adobe Acrobat Reader ,Adobe Commerce ,Adobe Dimension ו- Magento Open Source לגרסה העדכנית ביותר.
Microsoft פרסמה 87 עדכוני אבטחה במסגרת Patch Tuesday
מיקרוסופט שחררה עדכוני אבטחה במסגרת Patch Tuesday של חודש אוגוסט. עדכונים אלו כוללים תיקונים עבור 87 חולשות שביניהן 6 מוגדרות כקריטיות ו-2 מהן zero-day שמנוצלות לתקיפה.. שתי חולשות ה-zero day הן CVE-2023-36884 המוגדרת גבוהה ומאפשרת לתוקף להריץ קוד לא מבוקר מרחוק על ידי יצירת קבצי office זדוניים העוקפים את רכיב האבטחה ״Mark of the Web״ ובסופו של דבר גורמים להרצת הקבצים ללא התרעה או חסימה. החולשה השנייה היא CVE-2023-38180 המוגדרת כבינונית ומנצלת חולשה העלולה לגרום למניעת שירת ב-Microsoft Visual Studio ו-NET. נכון לעכשיו Microsoft לא פרסמו עוד פרטים לגבי אופן ניצול החולשה ומי אחראי על גילויה. בנוסף לשתי חולשות zero-day אלו, Microsoft תיקנה 23 חולשות של הרצת קוד מרוחק, 18 חולשות של הסלמת הרשאות, 8 חולשות מנועת שירות ועוד…
צוות קונפידס ממליץ לבצע את עדכונים אלו בהקדם האפשרי כדי להימנע מניצול פוטנציאלי של חולשות אלו.
התקפות ואיומים
תוכנה זדונית חדשה הנקראת hVNC משומשת כנגד מכשירי macOS
HVNC הוא גרסה זדונית של VNC; ה-H מייצג את המילה hidden, כלומר הוא נועד לרוץ בשקט ברקע, ללא ידיעתו או הסכמתו של הקורבן. גרסת ה-Mac HVNC לכאורה יכולה לעשות דברים אחרים. המטרה העיקרית של התוכנה הזדונית היא לגנוב מידע רגיש כולל אישורים ומידע אישי ופיננסי. התוכנה הזדונית פועלת רק על גרסאות macOS 10 עד 13.2 ויכולה לפעול ללא הרשאת משתמש. התוכנה הזדונית מספקת לתוקפים שליטה מרחוק על מכונות נגועות.
מכיוון ש-hVNC יכול לאפשר לתוקפים לקבל גישה מרחוק למכונות ללא ידיעת הקורבנות, ארגונים מתבקשים לעדכן גרסאות למערכות MacOS כדי להישאר בטוחים. צוות קונפידס ממליץ לעדכן לגרסאות מעל 13.2. בנוסף, מומלץ להוריד תוכנה ממקורות מהימנים בלבד או ישירות מהמפתח.
סייבר בעולם
CISA מפרסמת מסמך על תוכניותיה ב-3 שנים הקרובות
ארגון CISA האמריקאי פרסם השבוע מסמך על תוכנית אסטרטגית של הארגון הכולל 9 יעדים בהם יתמקדו ב-3 שנים הבאות כדי לשפר את מצב אבטחת המידע בארצות הברית. המטרות אליהן מתייחסים במסמך כוללות הגברת הראייה הכוללת והיכולת לשבש ולסכל אירועי סייבר וקמפיינים. להרחיב את שיתוף הפעולה עם גורמים שונים בנוגע למציאה וטיפול בחולשות ובמתן מענה לאירועי סייבר משמעותיים. העמקת ההבנה בניצול חולשות המובילות לאירועי סייבר, להגביר ולתמוך בפיתוח טכנולוגיות שונות, הבנה עמוקה והפחתה של סיכוני הסייבר בטכנולוגיות חדשות והשתתפות במאמצים לבניית צוותי עבודה עבור שוק הסייבר המדינתי בארצות הברית. בנוסף לכך, ליעדים אלו יש דגשים והכוונות לייעול התהליכים לעמידה ביעד. דגשים אלו יעזרו ל-CISA לעקוב אחר ההתקדמות כדי לעמוד ביעדים. פרסום מסמך זה הוא צעד משמעותי עבור CISA ולהתקדמות שלה במשימה הכוללת שלה כדי להגן על התשתיות הקריטיות של ארצות הברית בעולם הסייבר.
חוקרי Cisco Talos פרסמו דוח המסכם את ההתקפות והטקטיקות הנפוצות ברבעון השני של 2023
ברבעון השני של 2023, Cisco Talos Incident Response) Talos IR) הבחינה בכמה מגמות בולטות באיומי סייבר. האיום הנצפה ביותר היה סחיטת בעקבות דלף מיד, שרשמה עלייה של 25 אחוז בהשוואה לרבעון הקודם. בתקיפה מסוג זה, תוקפים גונבים נתונים של משתמשים ומאיימים להדליף או למכור אותם אלא אם ישולם כופר, מבלי להצפין את הנתונים. התקפות תוכנות כופר היו האיום השני הנצפה ביותר, והיוו 17 אחוז מההתקפות, כאשר קבוצות הכופרה LockBit ו-Royal הבולטות ביותר . Talos IR נתקלה גם בקבוצות כופרה חדשות, כולל 8Base ו-MoneyMessage. על פי הדיווחים, מספר קבוצות כופרה, כמו BianLian ו-Clop, מתרחקות משימוש בהצפנה בפעילותן ומתמקדות יותר בסחיטת גניבת נתונים. קבוצת Clop, במיוחד, הראתה גישה מתוחכמת על ידי ניצול פגיעויות zero-day ביישומי העברת קבצים (כמו: MoveIT , Forta GoAnyWhere , Kiteworks - מצורפים קישורים למתקפות ביישומים) כדי לבצע את ההתקפות שלהם. כדי להשיג גישה ראשונית, תוקפים מנצלים לעתים קרובות אישורים שנפגעו, תוך שימת דגש על החשיבות של מדיניות סיסמאות חזקה ואימות דו שלבי (2FA) בשרתים קריטיים. היעדר 2FA או יישום לא תקין תרמו ליותר מ-40 אחוז מההתקפות. Talos IR ממליצה לארגונים להשבית את גישת ה-VPN עבור חשבונות ללא MFA מופעל, להרחיב את ה-MFA עבור כל חשבונות המשתמש ולהגדיר מדיניות לסיסמאות כדי להבטיח סיסמאות חזקות בכל החשבונות. בנוסף, הטמעת גישה מינימלית ואפשרות רישום וניטור אבטחה עבור חשבונות ספקים וקבלנים הם צעדים חיוניים לשיפור האבטחה. בהמון מההתקפות, Talos IR הבחינו בשימוש תכוף ב- PowerShell, כלי עזר רב-תכליתי המועדף על ידי תוקפים בשל יכולות ההתגנבות והניהול שלו. יתר על כן, תוקפים השתמשו בדרך כלל לרעה בשירותים מרוחקים כמו RDP ו-SSH כדי להקל על תנועה לרוחב בתוך הסביבה הנפגעת. לבסוף, נמצא כי התוקפים מנצלים לרעה את מתזמן המשימות של Windows כמנגנון התמדה ליצירת משימות מתוזמנות, המאפשר להם לבצע תוכניות או פקודות בזמנים מוגדרים או באתחול המערכת. ממצאים אלה ממסגרת MITRE ATT&CK מספקים תובנות חשובות לגבי נוף איומי הסייבר הנוכחי, ודוחקים בארגונים לחזק את אמצעי האבטחה שלהם ולהישאר ערניים מפני טכניקות תקיפה מתפתחות.
ניתן לראות שברבעון השני של שנת 2023 שהאיום העיקרי היה סחיטת גניבת נתונים ושהיעדים הנפוצים של התוקפים הם חברות ומוסדות בריאות.
CISA, NSA, FBI ושותפים בינלאומיים (ACSC, CCCS, NCSC-NZ, CERT NZ ו-NCSC-UK) שיתפו פעולה על מנת לפרסם דו״ח משותף לאבטחת סייבר שכותרתו "2022 Top Routinely Exploited Vulnerabilities". הדו״ח מתאר את הפגיעויות הנפוצות ביותר שהיו מנוצלות על ידי תוקפים במהלך שנת 2022, יחד עם מזהי חולשות (CVE) השייכים להן ובנוסף מספק מידע שנועד לעזור לארגונים להבין את ההשפעה הפוטנציאלית של ניצול על המערכות שלהם.
ידוע כי תוקפים ניצלו את הפגיויות האלו על מנת לאסוף, למכור או לשחרר מידע על ארגונים רבים בכל רחבי העולם.
CISA, FBI, NSA מעודדים את כל הארגונים לפעול על פי המסמך המשותף וליישם את ההמלצות שפורסמו במסמך.
CVE-2018-13379 - Fortinet - SSL VPN credential exposure
CVE-2021-34473 - Microsoft - RCE
CVE-2021-31207 - Microsoft - Security Feature Bypass
CVE-2021-34523 - Microsoft - Elevation of Privilege
CVE-2021-40539 - Zoho ManageEngine - RCE/Authentication Bypass
CVE-2021-26084 - Atlassian - Arbitrary code execution
CVE-2021- 44228 - Apache - RCE
CVE-2022-22954 - VMware - RCE
CVE-2022-22960 - VMware - Improper Privilege Management
CVE-2022-1388 - F5 Networks - Missing Authentication Vulnerability
CVE-2022-30190 - Microsoft - RCE
CVE-2022-26134 - Atlassian - RCE
(12 הפגיעויות המנוצלות ביותר שהיו במהלך שנת 2022)
האקרים מצפון קוריאה פרצו לרשת יצרנית טילים רוסית NPO Mashinostroyeniya
בדו"ח שנערך לאחרונה על ידי SentinelOne Labs, נחשף כי קבוצת עלית של האקרים צפון קוריאנים פרצה בחשאי לרשתות מחשבים של חברת ייצור טילים רוסית גדולה במשך חמישה חודשים לפחות בשנה שעברה. לפי התחקיר, קבוצות האקרים הקשורות לממשלת קוריאה הצפונית, מכנים ScarCruft ו-Lazarus, התקינו בחשאי "כניסות אחוריות" במערכות חברת NPO Mashinostroyeniya, העוסקת בפיתוח טילים ויושבת ברויטוב, עיירה קטנה בפאתי מוסקבה.
״הממצאים שלנו מזהים שני מקרי פריצה הקשורים לצפון קוריאה של תשתית IT פנימית רגישה בתוך אותו ארגון רוסי, כולל שרת דוא"ל ספציפי, לצד שימוש בדלת אחורית של Windows המכונה OpenCarrot״, כותבים במחקר של S1. התחקיר לא הצליח לזהות האם התוקפים גנבו נתונים כלשהם במהלך החדירה או את סוג המידע שבהם בחנו.
הודעות דוא״ל פנימיות של NPO Mashinostroyeniya מראות שצוות ה-IT החליפו דיונים המדגישים תקשורת בין תהליכים ספציפיים ותשתית חיצונית לא ידועה. צוות NPO Mashinostroyeniya זיהה גם קובץ DLL חשוד הקיים במערכות פנימיות שונות. על פי נתונים טכניים, החדירה החלה בערך בסוף 2021 ונמשכה עד מאי 2022
המתקפה מדגישה את האתגרים המתמשכים שמציב ריגול סייבר בחסות המדינה ואת הצורך באמצעי אבטחת סייבר לשמירה על תעשיות ותשתיות קריטיות.
סייבר בגופי בריאות
ארה״ב: מתקפת סייבר משפיעה על 16 בתי חולים ב-4 מדינות שונות
מתקפת סייבר על 16 בתי חולים, המנוהלים על ידי חברת Prospect Medical Holdings שהוכרזה ביום חמישי שעבר (3 באוגוסט) וגרמה להפסקות קשות במתקנים בארבע מדינות. כמה מבתי החולים נאלצו להפנות אמבולנסים למתקני בריאות אחרים, לבטל פגישות ולסגור מרפאות קטנות יותר בזמן הנהלת החברה טיפלה בפיגוע.
בית החולים Waterbury שבקונטיקט פרסם בפייסבוק כי מערכות המחשב שלו "ממשיכות להיות מושבתות ברחבי הרשת עקב תקרית אבטחת מידע". בית החולים עבר לעבודה ידנית וביטל זמנית את מרפאות החוץ ואת פעילות מכון הדימות. "אנו פועלים לפתור את הבעיה בהקדם האפשרי ומתחרטים על כל אי נוחות", נכתב בהודעת החברה שמנהלת בתי חולים בקליפורניה, רוד איילנד, קונטיקט ופנסילבניה.
לפי הדיווחים, קבוצת התקיפה Rhysida עומדת מאחורי המתקפה על החברה. משרד הבריאות והשירותים האמריקני (HHS) פרסם אזהרה לכל בתי החולים ביום שישי על Rhysida, וציינה כי מדובר בתוכנת כופר חדשה יחסית שהופיעה לראשונה בחודש מאי האחרון.
ארה״ב: דלף מידע משפיע על 1.7 מיליון מבוטחי הבריאות במדינת אורגון
דלף המידע של המטופלים אירע ביום רביעי ה-2 באוגוסט לאחר שהאקרים פרצו למערכות המחשוב שלהם באמצעות ליקוי אבטחה בכלי העברת הקבצים MOVEit Transfer. מבוטחי תוכנית הבריאות של מדינת אורגון התבקשו להשגיח על האשראי שלהם לאחר שהאקרים ניגשו למידע האישי של כ-1.7 מיליון חברים. מחברת ביטוחי הבריאות נמסר שכל חברי תוכנית הבריאות של אורגון מוזמנים לבקש דוח ניטור אשראי בחינם מהחברות הבאות -Equifax, TransUnion או Experian.
ארה״ב: בתי חולים באלבמה שהם חלק מערכת הבריאות הקהילתית ככל הנראה הושפע מדלף המידע של Fortra
המרכז הרפואי Grandview ושורה של בתי חולים אחרים באלבמה שהם חלק ממערכת הבריאות הקהילתית Community Health Systems נמצאים בסיכון להיפגע מדלף המידע בחברת Fortra. החברה הושפעה מגל התקיפות האחרון שכוון לפגיעות zero-day על פלטפורמת העברת הקבצים המאובטחת GoAnywhere MFT של Fortra, לאחר שזאת פרסמה התראה כי היא חווה תקרית אבטחת מידע שפוגעת בנתונים של CHS. מחקירת הנושא עלה כי תקרית האבטחה השפיעה על מידע אישי ובריאותי של עד מיליון מטופלים תחת תאגיד שירותי הבריאות הקהילתי. המידע האישי שנפגע יכול לכלול שמות מלאים, כתובות, פרטי ביטוח רפואי, מידע רפואי כמו אבחנות ומרשמי תרופת, מידע דמוגרפי כמו תאריך לידה ומספרי תעודת זהות. מרכזי הבריאות שפרסמו שהמטופלים במרכזים הרפואיים הבאים עשויים להיפגע מדלף המידע:
Crestwood Medical Center in Huntsville, Flowers Hospital in Dothan, Gadsden Regional Medical Center in Gadsden, Grandview Medical Center in Birmingham, Medical Center Enterprise in Enterprise, South Baldwin Regional Medical Center in Foley, The compromised personal information could include. שירותי הבריאות כי היא מציעה שירותי הגנה על גניבת זהות ותודיע לכל מטופלים אשר הושפעו מהאירוע.
הקבוצה שעומדת מאחורי גניבת הנתונים ודלף המידע היא קבוצת התקיפה ״Clop״ טוענת כי פרצה ל-130 לקוחות של Fortra בעזרת ניצול ממוקד של באג CVE-2023-0669 RCE על שרתים פגיעים של GoAnywhere MFT. חברת Fortra טרם השיבה אודות טענות אלו ובנוגע לניצול החולשה. הסוכנות לאבטחת מידע ותשתיות (CISA) הוסיפה ביום שישי את GoAnywhere MFT לקטלוג הפגיעויות המנוצלות שלה והורתה לסוכנויות הפדרליות בארה״ב לאבטח את מערכותיהן בשלושת השבועות הקרובים.
ארה״ב: קבוצת ההאקרים Karakurt הוסיפה רשת שירותי רפואת משפחה מארקנסו לרשימת הקורבנות שלה
קבוצת התקיפה מאיימת לחשוף נתונים רגישים שנגנבו לכאורה מקבוצת הטיפול הראשוני של רפואת המשפחה של ארקנסו, כולל למעלה מ-5GB של נתוני SQL על הצוות הרפואי כמו מספרי תעודת זהות, דוחות רפואיים, דפי בנק, חשבוניות, ומסמכים חסויים אחרים. Karakurt זוהתה לראשונה ביוני 2021, אז רשמה שני דומיינים המקושרים לפעילותה, ובאוגוסט פתחה חשבון טוויטר תחת שם המשתמש karakurtlair. חברת Accenture Security, היא זו שהבחינה בה לראשונה, כאשר התגלתה כמות גדולה של מתקפות בעלות מאפיינים המקשרים בין התקיפות לקבוצה בפרק זמן קצר יחסית. עיקר העיסוק של הקבוצה הוא גניבת מידע רגיש ואישי וסחיטת מושאי המידע.
ארה״ב: מתקפת כופרה על חברת CareSource - דיווחים על דלף מידע
קבוצת התקיפה Cl0p הדליפה נתוני חולים פרטיים השייכים לכאורה ל-CareSource, אחת מספקיות הבריאות הגדולות בארה"ב בניהול Medicaid. קבוצת התקיפה הדליפה נתונים בנפח של 40 ג'יגה-בייט השייכים לכאורה ל-CareSource, ארגון ללא מטרות רווח מאוהיו המספק תוכניות בריאות ציבוריות, כולל ביטוחי בריאות, שירותי בריאות וציוד בריאות. דלף המידע שלכאורה דלף כולל מידע אישי של מטופלים, כולל שמות מלאים, כתובות, תאריכי לידה, מיילים ומספרי טלפון. בנוסף לכך, פושעי הסייבר הדליפו מידע רפואי רגיש כמו מרשמי תרופות, קבוצות סיכון ופרטי הטיפול של החולים. "לחברה לא אכפת מהלקוחות שלה, היא התעלמה מהביטחון שלהם!!!" כתבו Cl0p באתר האינטרנט שלהם, אשר נמצא ברשת האפלה, שם פרסמו את הנתונים שגנבו מהחברה. מחברת CareSource טרם נמסרה תגובה. קבוצת התקיפה מקושרת לרוסיה ושמה, CLOP - או cl0p, נגזר מהמילה הרוסית "klop" שמתורגמת ל"פשפש המיטה". הקבוצה הופיעה לראשונה בשנת 2019 והיא משתמשת במודל כופרה כשירות (RaaS) ומכוונת למגזרים בעלי פרופיל גבוה, ביניהם מגזר שירותי הבריאות.
פלורידה : נתונים של 3.4 מיליון מטופלים הושפעו מדלף מידע
ה-FBI חוקרת מתקפת סייבר על בית החולים טמפה שבפלורידה. הקבוצה שנחשדת במתקפה לא הצליחה להצפין את המערכות, הודות לאמצעי אבטחה פנימיים, אך הצליחה לגשת לנתונים אישיים של 1.2 מיליון מטופלים.
ברקע לזה, נחשפו עוד מספר אירועים בהם משתמשים לא מורשים גנבו נתונים על מטופלי פלורידה ופרסמו אותם במדיות שונות. על פי ניתוח של חברת אבטחת הסייבר Critical Insight, רשומות של יותר מ-3.4 מיליון חולים בפלורידה נפגעו השנה ו-36 אירועי דלף מידע עדיין נמצאים בחקירה.
מגזר שירותי הבריאות נתפס כפגיע יותר ממגזרים אחרים: פיננסי, ביטחון או החלל, סיפר ג'ו פרטלו, קצין טכנולוגיה ראשי ב-ReliaQuest, חברה המספקת שירותי אבטחת מידע לבנקים, חברות שירות וספקי שירותי בריאות. עוד הוסיף כי הודעות דוא"ל פישינג שמפתות עובדים להזין סיסמאות הן עדיין האמצעי העיקרי המשמש האקרים כדי לקבל גישה למערכות מחשב. לאחר שהאקרים פורצים פנימה, הם מצפינים את הנתונים והופכים אותם לבלתי נגישים, כך שבתי החולים נאלצים לשלם כופר. פרטלו מספר כי לפחות חמישה בתי חולים בארה"ב שילמו כופר בשנת 2021 כדי שיוכלו להשתמש שוב בנתונים שלהם, על פי דו"ח של Becker's Hospital Review. המשימה הקריטית של בתי החולים הופכת אותם לפגיעים במיוחד לאיום הזה. מעבר לדרישת תשלום הכופר, האקרים יכולים להשתמש במידע שהשיגו (שמות, כתובות, תאריכי לידה, מספר תעודת זהות וכו׳) לגניבת זהות והונאה של כרטיסי אשראי. כמו כן, מספרת ליסה פלגמייר, מנכ"לית National Cybersecurity Alliance, עמותה הפועלת לחינוך חברות ויחידים בנושא אבטחת אינטרנט, כי בתי החולים נמצאים בסיכון ממתקפות סייבר לא רק מהאקרים, שמקורם בקבוצות פליליות, אלא גם ממדינות לאום, כמו רוסיה, סין, צפון קוריאה ואיראן.
סייבר בישראל
בית החולים מעייני הישועה חווה מתקפת כופרה
ביום שלישי דווח כי המרכז הרפואי מעיני הישועה שבבני ברק, נמצא תחת מתקפת סייבר. בשעות הבוקר הוציא משרד הבריאות הודעה ובה דיווח כי "המכשור הרפואי לא נפגע. צוותי בית החולים ממשיכים להעניק טיפול לחולים" ומבית החולים נמסר ש״המערכות המנהלתיות הושבתו״. בתיאום עם משרד הבריאות, בית החולים החליט להפסיק את קבלת החולים למרפאות החוץ ומכוני הדימות בבית החולים והם התבקשו לפנות לטיפול בבתי חולים סמוכים. כמו כן, התקבלה הנחיה במד"א שלא לפנות חולים לבית החולים. יום למחרת (רביעי) פרסם בית החולים שמתקפת הסייבר נבלמה ושחדרי הניתוח ומרבית מרפאות החוץ יעבדו ביום חמישי כמתוכנן. על פי הדיווחים, קבוצת התקיפה ששמה את ידה על מערכות בית החולים ודרשה תשלום כופר היא ככל הנראה קבוצת Ragnar_Locker, קבוצה מוכרת שתקפה בעבר מספר מוסדות, כולל בתי חולים באיטליה וצרפת. נכון לכתיבת שורות אלו, לא קיים באתר של קבוצת התקיפה Ragnar_Locker פרסום על המתקפה על בית החולים הישראלי ועוד לא ידוע אם האירוע כולל דלף מידע של מטופלים או מידע אחר מרשת מעייני הישועה. ניכר כי קיימים דיווחים סותרים אודות המתקפה והשפעתה על פעילות בית החולים: הדיווח המשותף של משרד הבריאות ובית החולים שהושבתו ״מערכות המחשוב המינהלתיות״ אל מול הדברים שמשרד הבריאות ציין בהודעת מכרז שבה נכתב ש״כל המידע כולל השרתים ותחנות הקצה הוצפנו.
לפני כשלושה חודשים פורסם דו״ח מבקר המדינה שחשף פערים משמעותיים והצביע על ליקויים קשים בהגנת סייבר בבית החולים, אף שחלפו שנתיים ממתקפת הסייבר על בית החולים הלל יפה והנזק הכספי של המתקפה נאמד בעשרות מיליוני שקלים. על פי נתונים של חברת אבטחת המידע צ'ק פוינט, מגזר הבריאות הוא אחד המגזרים החשופים ביותר לתקיפות סייבר במשק הישראלי, וברבעון האחרון כמות המתקפות השבועיות הממוקדות בארגוני בריאות עלתה ב-30%.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ויובל גורי.