דו״ח סייבר שבועי
עדכון שבועי 12.08.2021
עיקרי הדברים
-
חברת הייעוץ Accencture נתקפה על ידי 2.0 LockBit, שדורשת דמי כופר בסך 50 מיליון דולרים.
-
גניבת המאה: מטבעות מבוזרים בשווי של כ-600 מיליון דולר נגנבו מ-Poly Network.
-
קמפיין ריגול סיני כנגד מטרות ישראליות.
-
112GB של מידע נגנבו מחברת Gigabyte במתקפת כופרה שביצעה RansomEXX.
-
אנו ממליצים לעדכן את המוצרים הבאים: אנו ממליצים לעדכן את המוצרים הבאים: למוצרי Microsoft נותנים מענה ל-3 חולשות Zero-day (קריטי); מוצר Pulse Connect Secure (קריטי); מוצרי Adobe Connect ו-Magento (קריטי); מוצרי VMware (גבוה); מוצרי SAP; מוצרי Intel גבוה); דפדפן Firefox (גבוה).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה לתוכנת Pulse Connect Secure
עדכוני אבטחה למוצרי VMware נותנים מענה לחולשות ברמת חומרה גבוהה
עדכוני אבטחה למוצרי SAP
עדכוני אבטחה למוצרי Intel נותנים מענה לחולשות ברמת חומרה גבוהה ובינונית
עדכוני אבטחה למוצרי Firefox
עדכון אבטחה לחולשות במוצרי Adobe Connect ו-Magento
עדכוני האבטחה החודשיים למוצרי Microsoft נותנים מענה ל-3 חולשות Zero-day
התקפות ואיומים
איך שאשראי מסתובב לו: על אירועי גניבת נתוני אשראי מ-2018 עד היום
גניבת המאה: מטבעות מבוזרים בשווי של כ-600 מיליון דולר נגנבו מ-Poly Network
נוזקת אנדרואיד חדשה גרמה לגניבה של יותר מ-10,000 חשבונות פייסבוק מ-140 מדינות
השבוע בכופרה
Accencture נתקפה על ידי 2.0 LockBit, שדורשת דמי כופר בסך 50 מיליון דולרים
112GB של מידע נגנבו מחברת Gigabyte במתקפת כופרה שביצעה RansomEXX
כופרת eCh0raix תוקפת מוצרי QNAP ו-Synology NAS
יצרנית משחקי הווידאו Crytek מאשרת כי חוותה מתקפה אשר במסגרתה דלף מידע אודות לקוחותיה
סייבר בישראל
קמפיין תקיפה וריגול סיני כנגד מטרות ישראליות
הציטוט השבועי
״יש לנו עשן, ריח של אבק שריפה וקליעים", אמר. "אבל אין לנו את האקדח לקשור את הפעילות לקרמלין. רצינו לקבל את זה, אבל אנו מאמינים שלאחר עריכת מחקר מקיף התקרבנו כמה שיותר להוכחה על סמך המידע/הראיות הקיימות כיום״
ג'ון דימאג'יו, מחבר הדו"ח וחוקר בחברת Analyst1 שטוענת הממשל הרוסי קשור למתקפות כופרה
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה לתוכנת Pulse Connect Secure
העדכון לתוכנה המפעילה את מוצרי Pulse Secure נותן מענה ל-6 חולשות, בהן שתיים (CVE-2021-22937, CVE-2021-22935) אשר קיבלו את ציון החומרה CVSS 9.1. העדכונים רלוונטיים לגרסאות התוכנה הנמוכות מ-9.1R12.
אנו ממליצים לארגונים העושים שימוש במוצרי Pulse Secure לבצע את העדכון בהקדם.
עדכוני אבטחה למוצרי VMware נותנים מענה לחולשות ברמת חומרה גבוהה
החולשות, שרמת חומרתן נעה בין 3.7 CVSS ל-8.6 CVSS, מצויות במוצרים הבאים:
VMware Workspace ONE Access
VMware Identity Manager
VMware vRealize Automation
VMware Cloud Foundation
vRealize Suite Lifecycle Manager
אנו ממליצים לבעלי המוצרים לעדכנם לגרסתם האחרונה.
העדכונים נותנים מענה למספר חולשות, החמורות שבהן (CVE-2021-33698, CVE-2021-33690, CVSS 9.9) מצויות ב-SAP Business One וב-SAP NetWeaver Development Infrastructure. עדכוני האבטחה רלוונטיים למוצרים הבאים:
SAP Business One
SAP NetWeaver
DMIS Mobile Plug-in
SAP S/4HANA
SAP Fiori Client Native Mobile for Android
SAP Cloud Connector
SAP BusinessObjects Business Intelligence Platform
אנו ממליצים לארגונים העושים שימושי במוצרי SAP לבחון את העדכונים ולהטמיעם בהקדם.
עדכוני אבטחה למוצרי Intel נותנים מענה לחולשות ברמת חומרה גבוהה ובינונית
החולשות, שרמת חומרתן נעה בין CVSS 3.8 ל-CVSS 8.8, עלולות לאפשר לתוקף להשתלט על המערכת מרחוק. העדכונים רלוונטיים למוצרים הבאים:
NUC 9 Extreme Laptop Kits
NUC Pro Chassis Element Driver
Ethernet Linux Driver
Optane PMem
Graphics Drivers
Ethernet Adapters 800 Series
אנו ממליצים לבעלי המוצרים לעדכנם לגרסתם האחרונה.
העדכונים ששחררה Mozilla ל-Firefox ESR ,Firefox ו-Thunderbird נותנים מענה למספר חולשות, בהן אחת קריטית, המאפשרת הרצת קוד זדוני והשתלטות על המערכת. העדכונים רלוונטיים למערכות ההפעלה Windows ו-Linux.
אנו ממליצים לבעלי התוכנות לעדכנן בהקדם לגרסאותיהן האחרונות: Firefox 91, Firefox ESR 78.13, ו-Thunderbird 78.13.
עדכון אבטחה לחולשות במוצרי Adobe Connect ו-Magento
עדכוני התוכנה בפורסו השבוע נותנים מענה לעשרות חולשות, החמורות שבהן (CVE-2021-36036, CVE-2021-36036, CVSS 9.1) מאפשרות מעקף של יכולות הגנה והרצת קוד מרחוק. החולשות רלוונטית לגרסאות הבאות:
Magento Commerce - 2.4.2, 2.4.2-p1 ומוקדמות יותר
Magento Open Source - 2.3.7 ומוקדמות יותר
ומוקדמות יותר Adobe Connect - 11.2.2
צוות קונפידס ממליץ למשתמשי המערכות לעדכנן לגרסאות הבאות:
Adobe Connect - 11.2.3
Magento Commerce - 2.4.3, 2.4.2-p2, 2.3.7-p1
Magento Open Source - 2.4.3 , 2.4.2.-p2, 2.3.7-p1
עדכוני האבטחה החודשיים למוצרי Microsoft נותנים מענה ל-3 חולשות Zero-day
העדכונים לחודש אוגוסט סוגרים 44 חולשות במוצרי החברה, בהם גם 7 חולשות ברמת חומרה קריטית. בין החולשות שמקבלות מענה בעדכון מצויות גם PrintNightmare ו-PetitPotam, אשר אפשרה מתקפת NTLM relay.
אנו ממליצים למשתמשי המוצרים לעדכן את מערכת ההפעלה של מערכותיהם לגרסתה האחרונה בהקדם.
התקפות ואיומים
איך שאשראי מסתובב לו: על אירועי גניבת נתוני אשראי מ-2018 עד היום
במהלך 2018 נגנבו פרטיהם של כמיליון כרטיסי אשראי באמצעים שונים, בהם שימוש ב-Point-of-sale להחדרה למערכות התשלום של ארגונים ועסקים נוזקה המעתיקה וחושפת נתוני אשראי, ושימוש ב-Magecart להחדרת קוד זדוני לאתרים ופלטפורמות מסחר מקוונות על מנת לחשוף נתוני אשראי של משתמשים. הנתונים הגנובים נמכרים על ידי קבוצות תקיפה שונות בשוק האשראי הפלילי המקוון, והקונים משתמשים בהם לביצוע רכישות ברשת. בשבוע שעבר הנושא חזר לכותרות עם חשיפת AllWorld Cards, שוק פלילי נוסף למכירת כרטיסי אשראי, שאנשיו פירסמו בחינם בפורומים ייעודיים רבים נתוני אשראי משנת 2018, חלקם עדיין פעילים. בתגובה לכך פירסמה חברת הסייבר האמריקאית Cyble אמצעים על מנת שאנשים יוכלו לבצע בדיקה עצמאית במידה וקיים חשד שנתוני כרטיס האשראי שלהם נגנבו, ונתוני בנקים שנמצאו מקושרים לנתוני כרטיסי האשראי הגנובים, על מנת לסייע לאוכלוסיה למנוע רכישות באמצעותם.
גניבת המאה: מטבעות מבוזרים בשווי של כ-600 מיליון דולר נגנבו מ-Poly Network
Poly Network, אשר משמשת כרשת מגשרת בין בורסות קריפטו, נפרצה ב-10 באוגוסט על ידי האקרים שזהותם טרם ידועה. הסכום האסטרונומי שעלה בידי התוקפים להוציא מארנקי החברה במטבעות קריפטו, הופך את הגניבה לגדולה ביותר שהתרחשה אי פעם בתחום המטבעות המבוזרים. בשעה זו פועלת Poly Network ביחד שותפיה להקפאת הכסף שנגנב. מחברת הבלוקצ׳יין SlowMist דווח כי עלה בידה לזהות כתובת IP, מייל ודפוסי זיהוי של המכשיר שדרכו התבצעה הגניבה, קצה חוט שעשוי לסייע בחשיפת התוקפים. התקיפה האחרונה בסדר גודל דומה אירעה ב-2014, אז היה הקורבן חברת Mt. Gox. באותה תקיפה נגנבו מטבעות ביטקוין בשווי 460 מיליון דולר, מה שהוביל את החברה לפשיטת רגל.
נוזקת אנדרואיד חדשה גרמה לגניבה של יותר מ-10,000 חשבונות פייסבוק מ-140 מדינות
נוזקת FlyTrap התגלתה על ידי חברת Zimperium, שחשפה גם כי מקורה בתוקפים מווייטנאם וכי היא קיימת מחודש מרץ 2021, לכל היאוחר. FlyTrap התפשטה באמצעות תוכנות צד שלישי שהורדו בחנות האפליקציות של גוגל והציגו עמודים בדמותם של קופונים לנטפליקס ומענה לסקרים. בעמודים אלה פותו משתמשים לבצע התחברות באמצעות פרטי הגישה לחשבונות הפייסבוק שלהם, וכאשר נפתח מסך ההתחברות הלגיטימי של פייסבוק - הנוזקה החדירה אליו פקודת JavaScript, אשר חילצה פרטים כמו עוגיות, פרטי משתמש, מיקום וכתובת IP, ושלחה אותם לשרת C&C מרוחק. חברת Zimperium עדכנה את גוגל אודות האפליקציות הזדוניות, והאחרונה הסירה אותן מהחנות. למרות זאת, עדיין ניתן להשיגן בפלטפורמות אחרות, מה שהוביל את גוגל להזהיר את משתמשיה שלא להתקין אפליקציות שמקורן מחוץ לחנות.
השבוע בכופרה
Accencture נתקפה על ידי 2.0 LockBit, שדורשת דמי כופר בסך 50 מיליון דולרים
קבוצת התקיפה מאיימת להדליף קבצים בגודל 6TB השייכים לענקית ייעוץ ה-IT, המונה כ-570 אלף עובדים ב-50 מדינות. טרם ידועים היקף הדליפה האמיתי או האופן בו הצליחו התוקפים לחדור לרשת החברה, אך מ-Accenture נמסר למגזין אבטחת המידע BleepingComputer כי בוצע שחזור מלא למערכות שנפגעו וכי פעילות החברה והמערכות של לקוחותיה לא הושפעו מהמתקפה באופן ישיר.
112GB של מידע נגנבו מחברת Gigabyte במתקפת כופרה שביצעה RansomEXX
המתקפה על Gigabyte, יצרנית חומרה המתמחה בייצור לוחות אם למחשבים, בוצעה על ידי קבוצת התקיפה RansomEXX, אשר בשבוע שעברה תקפה במחוז לאציו באיטליה. המתקפה הנוכחית אירעה בשלישי בלילה ואילצה את החברה לכבות את מערכותיה בטייוואן, תוך דיווח על התקרית לרשויות האכיפה. כעת מאיימים התוקפים לפרסם את המידע הגנוב אם לא ישולמו דמי הכופר.
כופרת eCh0raix תוקפת מוצרי QNAP ו-Synology NAS
הכופרה, המכונה גם QNAPCrypt, החלה לפעול ביוני 2016, ומאז תועדו גלים גדולים של תקיפות באמצעותה ביוני 2019 ו-2020. במהלך השנה האחרונה זיהה צוות המחקר של Palo Alto פעילות מרובה של הקבוצה ותשלומים של דמי כופר שבוצעו על ידי כמה מקורבנותיה. התוקפים מנצלים חולשות שונות ברכיבי המוצרים, בהן החולשה CVE-2021-28799 המצויה במוצרי QNAP, שרמת החומרה שלה סווגה כקריטית.
אנו ממליצים למשתמשים במוצרי QNAP ו-Synology NAS לעדכנם כעת, ובאופן שוטף, לגרסתם האחרונה.
יצרנית משחקי הווידאו Crytek מאשרת כי חוותה מתקפה אשר במסגרתה דלף מידע אודות לקוחותיה
לדברי החברה הגרמנית, במהלך מתקפת הסייבר שאירעה באוקטובר 2020 הצליחה קבוצת התקיפה Egregor לחדור לרשת החברה, להצפין מערכות ולגנוב קבצים שהכילו מידע אישי אודות לקוחותיה, אותו הדליפו התוקפים לדארקנט. המידע כלל שמות, תפקידים, שמות חברות, מיילים, כתובות עסקיות, מספרי טלפון ומדינות מגורים. פרטים אלה אודות התקיפה נמסרו ללקוחות שנפגעו באמצעות הודעות ששלחה אליהם החברה.
סייבר בישראל
קמפיין תקיפה וריגול סיני כנגד מטרות ישראליות
דוח מקיף שפורסם לאחרונה על ידי חברת FireEye חושף את פרטי הקמפיין שהתרחש במהלך 2020 על ידי הקבוצה הסינית UNC215 והתבסס על חולשה ב-SharePoint, אשר תוקנה זה מכבר. בדוח מצוינים כתובות ומזהים אשר שימשו את התוקפים בפעילותם, ומוסבר כי לאחר שהשיגו גישה התחלתית לרשת באמצעות ניצול החולשה, החלו התוקפים לאסוף מידע על הרשת ועל משתמשיה, כשהם נעזרים בטכניקת Privilege Escalation להשגת הרשאות גבוהות יותר ברשת. על גישתם לרשת שמרו התוקפים באמצעות התקנת Web shells, והמשיכו באיסוף מידע פנימי מתוך הקבצים שעליהם הצליחו לשים את ידיהם. למרות שהתוקפים עשו מאמצים רבים לטשטוש העקבות הפורנזיות שהשאירו מאחוריהם ומחקו הן את הכלים שהתקינו עבור איסוף המידע והן לוגים מהמערכות שתקפו, עלה בידיהם של החוקרים לזהות את התקיפה. את הרשימה המלאה של מזהי התקיפה ניתן למצוא כאן.
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רחל ביניאשוילי, רז ראש, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, רוני עזורי, עמית מוזס וגיא פינקלשטיין.