דו״ח סייבר שבועי
עדכון שבועי 13.07.2023
עיקרי הדברים
1. ישראל: בעקבות המלחמה באוקראינה מערך הסייבר הגביר את שיתוף הפעולה עם התאגידים הבינלאומיים.
2. סייבר ובריאות: דו״ח מיוחד של ENISA: למעלה ממחצית ממתקפות הסייבר על ארגוני בריאות בעולם הן מתקפות כופרה על בתי חולים; צרפת: דלף נתונים ממערכות בית חולים בריינס; אנגליה: קבוצת התקיפה BlackCat טוענת שפרצה לארגון הבריאות הבריטי (NHS); ספרד: בעקבות מתקפת הסייבר על בית החולים Clínic de Barcelona דלף מידע בהיקף של 4.4 טרה בייט.
3. קמפיין תקיפה של קבוצת RomCom נגד משתתפי פסגת נאט״ו בליטא.
4. ארה"ב והאיחוד האירופי סיכמו כללים להעברת מידע אישי ביניהן: "החלטת ההלימה" נכנסת לתוקף מיידי.
5. *אנו ממליצים לעדכן את המוצרים הבאים: מוצרי אפל (zero day); מוצרי מיקרוסופט (קריטי); מוצרי Fortinent (קריטי); מוצר Ghostscript (קריטי); מוצרי SonicWall (קריטי); מוצר JumpCloud (קריטי); מוצר MOVEit Transfer (קריטי); מוצרי Cisco (גבוה); מערכת הפעלה Linux Kernel (גבוה);*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה של MOVEit Transfer נותן מענה לשלוש חולשות ברמת חומרה קריטית
CISCO מזהירה על חולשה ברמת חומרה גבוהה במספר מתגים העלולה לשבור הצפנת תעבורה
פורסמה חולשה חדשה בLinux Kernel בשם StackRot ברמת חומרה גבוהה
אפל פרסמה עדכון אבטחה דחוף עבור macOS, iOS ו-Safari
Microsoft פרסמה 132 עדכוני אבטחה לפגיעויות בתוכנות נתמכות ברמות חומרה גבוהות וקריטיות
Fortinet פרסמה חולשה קריטית נוספת ב-FortiOS ו-FortiProxy
Ghostscript מזהירה מפני חולשה קריטית הדורשת עדכון בהקדם האפשרי
SonicWall פרסמה עדכון ל 15 פגיעויות במוצר GMS/Analytics
JumpCloud מאפסים את מפתחות ה-API של הלקוחות כאמצעי זהירות בתגובה לתקרית אבטח
התקפות ואיומים
Trend Micro ערכה מחקר על נוזקת הכופר ״Big Head״
נחשפו יכולות התקפה מהירות במיוחד וטכניקות מתקדמות של קבוצת הכופרה BlackByte 2.
קבוצת התקיפה Charming Kitten נצפתה מפעילה קמפיין תקיפה המתמקד במחשבי macO
סייבר בעולם
פרסום משותף של ה-CISA מזהיר מפני גרסאות זדוניות של תוכנת TrueBot שזוהו לאחרונה
קבוצת RomCom מכוונת לאוקראינה ובעלות בריתה עם קמפיין תקיפה לפני מפגש הפסגה של נאט"ו
סייבר בגופי בריאות
סוכנות האיחוד האירופי לאבטחת סייבר (ENISA) מפרסמת את דו"ח איומי הסייבר הראשון שלה עבור מגזר הבריאות
בעקבות מתקפת הסייבר על בית החולים Clínic de Barcelona דלף מידע בהיקף של 4.4 טרה
אנגליה: קבוצת התקיפה BlackCat טוענת שפרצה לארגון הבריאות הבריטי (NHS)
צרפת: דלף נתונים ממערכות בית חולים בריינס
סייבר בישראל
בעקבות המלחמה באוקראינה מערך הסייבר הגביר את שיתוף הפעולה עם התאגידים הבינלאומיים
סייבר ופרטיות - רגולציה ותקינה
ארה"ב והאיחוד האירופי סיכמו כללים להעברת מידע אישי ביניהן: "החלטת ההלימה" נכנסת לתוקף מייד
כנסים
הציטוט השבועי
_"היום, החלטנו לתמוך בקונספט חדש להגברת התרומה של הגנת הסייבר להרתעה הכללית ולעמדה ההגנה שלנו. היא תשלב עוד יותר את שלוש הרמות של הגנת הסייבר של נאט"ו - מדינית, צבאית וטכנית [...] חיזוק חוסן הסייבר של [נאט"ו] הוא המפתח להפיכת הברית שלנו לבטוחה יותר ומסוגלת יותר, ולצמצם את הפוטנציאל לפגיעה משמעותית בנו מאיומי סייבר."_
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה של MOVEit Transfer נותן מענה לשלוש חולשות ברמת חומרה קריטית
בתחילת חודש יולי Progress Software פרסמה עדכון אבטחה עבור שלוש חולשות ברמת חומרה קריטית (CVE-2023-36934, CVE-2023-36932, CVE-2023-36933) למוצר MOVEit Transfer.
החולשה CVE-2023-36932 מסוג SQL עלולה לאפשר לתוקף לא מאומת לקבל גישה לא מורשית למסד הנתונים של MOVEit Transfer, דבר שעלול לגרום לשינוי וחשיפה של תוכן מסד הנתונים של MOVEit.
החולשה CVE-2023-36933 מאפשרת לתוקפים לכבות באופן לא צפוי (reebot) את תוכנה MOVEit Transfer.
החולשה CVE-2023-36934, מוגדרת הקריטית ביותר בעידכון זה מנוצלת ללא צורך באימות, המשמעות היא שתוקפים לא מאומתים יכולים לנצל את הפגיעה הזאת ללא אישורי כניסה. עם זאת, נכון לעכשיו, לא היו דיווחים על ניצול חולשה זו באופן פעיל.
פגיעויות אלו משפיעות על מספר גרסאות של MOVEit Transfer, כולל 12.1.10 וגרסאות קודמות, 13.0.8 ומעלה, 13.1.6 ומעלה, 14.0.6 ומעלה, 14.1.7 ומעלה, ו-15.0.3 ומעלה.
צוות קונפידס מומלץ למשתמשים לעדכן לגרסה העדכנית ביותר של MOVEit Transfer.
CISCO מזהירה על חולשה ברמת חומרה גבוהה במספר מתגים העלולה לשבור הצפנת תעבורה
חברת סיסקו הזהירה את לקוחותיה על פגיעות ברמה גבוהה בפיצ׳ר CloudSec encryption במספר דגמים של מתגים של החברה. ניצול מוצלח של חולשה זו עלולה להוביל לחשיפה ושינוי של תעבורה מוצפנת העוברת במתג. החולשה קיבלה את המזהה CVE-2023-20185 CVSS 7.4 ודגמי המתגים המושפעים מחולשה זו הם: 9332C, 9364C ו-9500 המשתמשים במצב ACI, ב-CloudSec encryption ובגרסה 14.0 ומעלה. סיסקו הצהירה כי לא תשחרר עדכון המתקן את חולשה זו, במקום, החברה ממליצה למי שחשוף לחולשה זו להשבית את CloudSec encryption וליצור קשר עם התמיכה שלהם. לפי הדיווח של סיסקו, עד כה לא נמצאו ראיות לניצול של החולשה במתקפות אחרונות שפורסמו.
צוות קונפידס ממליץ ליצור קשר עם התמיכה של סיסקו במידה וקיים בארגון אחד מהדגמים המושפעים מהחולשה.
פורסמה חולשה חדשה בLinux Kernel בשם StackRot ברמת חומרה גבוהה
פגיעות חדשה בשם StackRot התגלתה בLinux Kernel , שיכולה לאפשר למשתמש לקבל הרשאות גבוהות יותר במערכת המטורגטת. הפגיעות שמזוהה כ- CVE-2023-3269 CVSS 7.8, משפיעה על גרסאות לינוקס 6.1 עד 6.4. למרות שאין עדות לניצול הפגיעות בפועל, היא נחשבת לדאגה משמעותית מכיוון שהיא משפיעה על תצורות שונות וניתן להפעיל אותה במינימום יכולות. הפגיעות קשורה לתת-מערכת של ניהול זיכרון וכרוכה בבאג לאחר השימוש במבנה הנתונים של ״ The Maple Tree ״ שהוצג ב Linux Kernel 6.1. ניצול הפגיעות נחשב למאתגר עקב דחיית הקצאת זיכרון. הבעיה טופלה בגרסאות (Stable Versions) 6.1.37, 6.3.11 ו-6.4.1 לאחר חקירה בהובלת לינוס טורוואלדס. ניצול הפגיעות והוכחות יפורסמו בקרוב.
אפל פרסמה עדכון אבטחה דחוף עבור macOS, iOS ו-Safari
במסגרת תוכנית עדכוני אבטחה חריגים, אפל שחררה עדכון אבטחה חריג המטפל בחולשת zero-day שזוהתה ברכיב ה-WebKit שפותח על ידי אפל. חולשה זו קיבלה את המזהה CVE-2023-37450 ואין כרגע ציון חומרה אך ניתן להסיק שהיא גבוהה או קריטית לאור הוצאת העדכון אבטחה הדחוף. ניצול חולשה זו עלול להוביל לאפשרות הרצת קוד לא מבוקר מרחוק על ידי פתיחת אתרים זדוניים המכילים קוד ספציפי שגורם לניצול החולשה. העדכון הוא עבור Safari 16.5.2, iOS/iPadOS 16.5.1 ו-macOS Ventura 13.4.1. אפל דיווחה שסביר להניח שחולשה זו נוצלה כבר מספר פעמים. נכון לעכשיו כל הגרסאות הלא מעודכנות הרלוונטיות חשופות לפגיעות זו.
צוות קונפידס ממליץ לעדכן את הגרסה עבור המוצרים הרלוונטים בהקדם האפשרי כדי להימנע מניצול חולשה זו.
Microsoft פרסמה 132 עדכוני אבטחה לפגיעויות בתוכנות נתמכות ברמות חומרה גבוהות וקריטיות
בדוח האחרון של Patch Tuesday ממיקרוסופט ביולי 2023, פורסמו 132 עדכוני אבטחה , הממוקדים במיוחד בתיקון פגיעויות מנוצלות באופן אקטיבי ובעיות אבטחה קריטיות. העדכון כולל תיקונים עבור קטגוריות שונות כמו: העלאת הרשאות, עקיפת תכונות אבטחה, חשיפת מידע, מניעת שירות והתחזות. יש לציין ש-6 פגיעויות Zero day טופלו, כולל אחת שנותרה ללא תיקון אך מנוצלת באופן פעיל . מיקרוסופט סיפקה בדוח גם עדכונים שאינם עדכוני אבטחה עבור Windows 11 ו-Windows 10. ששת פגיעויות הZero Day שניצלו באופן אקטיבי ותוקנו בעדכון זה כוונו לתחומים שונים של מיקרוסופט כמו:
Windows MSHTML- CVE-2023-32046 , Windows SmartScreen- CVE-2023-32049 ,Windows Error Reporting Service -CVE-2023-36874, Microsoft Office-CVE-2023-36884,Microsoft Outlook-CVE-2023-35311.
פגיעויות אלו אפשרו לתוקפים להשיג הרשאות גבוהות, לעקוף תכונות אבטחה ולהריץ קוד לא מבוקר מרחוק באמצעות קבצים ומסמכים זדוניים. בנוסף אחת מפגיעויות ה Zero day הייתה קשורה לקבוצת הכופרה RomCom.
צוות קונפידס ממליץ להחיל בהקדם האפשרי את העדכונים שפורסמו ע״י מיקרוסופט.
Fortinet פרסמה חולשה קריטית נוספת ב-FortiOS ו-FortiProxy
Fortinet דיווחה על חולשה קריטית נוספת התגלתה ב-FortiOS ו-FortiProxy בגרסאות 7.2.0 - 7.2.3 ו-7.0.0 -7.0.10 בנוסף לחולשות הקריטיות שהתגלו בשבועות האחרונים. חולשה זו קיבלה את המזהה CVE-2023-33308 עם רמת חומרת CVSS 9.8 המגדיר אותה כקריטית. ניצול מוצלח של חולשה זו עלול להוביל להרצת קוד לא מבוקר מרחוק עד ידי שליחת בקשות זדוניות ל-FortiOS ו-FortiProxy. חברת Fortinet שחררה עדכוני אבטחה המטפלים בפגיעות זו.
צוות קונפידס ממליץ לעדכן את FortiOS ו-FortiProxy לגרסאות העדכניות ביותר כדי להימנע מניצול פוטנציאלי של חולשה זו.
Ghostscript מזהירה מפני חולשה קריטית הדורשת עדכון בהקדם האפשרי
פגיעות קריטית, CVE-2023-36664, התגלתה ב-Ghostscript, כלי open-source שמתרגם קבצי PostScript ו-PDF. פגיעות זו, עם ציון CVSS של 9.8 - קריטי. ניצול מוצלח של החולשה עלול להוביל לביצוע קוד שרירותי ועקיפת הרשאות. Ghostscript נמצא בשימוש נרחב ביישומי קוד פתוח שונים, כולל LibreOffice ו-Inkscape, מה שהופך את הפגיעות לדאגה משמעותית במערכות הפעלה מרובות. Debian פרסמה ייעוץ אבטחה, המדגיש את הביצוע של פקודות שרירותיות באמצעות קבצים זדוניים. קונפידס ממליצה למשתמשים לעדכן את Ghostscript שלהם באופן מיידי כדי להתמגן מפני ניצול פוטנציאלי. בנוסף, יש לבדוק את השימוש באפליקציות המסתמכות על Ghostscript ולעדכן בהתאם.
SonicWall פרסמה עדכון ל 15 פגיעויות במוצר GMS/Analytics
SonicWall פרסמה 15 חולשות ברמות שונות על המוצר GMS/Analytics, ארבע מהחולשות ברמה קריטית וארבע מהחולשות ברמה גבוהה.
CVE-2023-34124 רמת חומרה 9.4 CVSS קריטית- החולשה יכולה לשמש תוקף לעקוף את מנגנון ההזדהות בשירותי האינטרנט של המוצרים GMS 9.3.2-SP1 , Analytics 2.5.0.4-R7 לגרסאות לפניהם.
CVE-2023-34133 רמת חומרה CVSS 9.8 קריטית - החולשה משמשת להזרקת קוד (SQL Injection) ועקיפת מנגנון ההגנה.
CVE-2023-34134 רמת חומרה CVSS 9.8 קריטית - החולשה מאפשרת קריאה לא מאושרת של ה password hash דרך שירותי האינטרנט.
CVE-2023-34137 רמת חומרה CVSS 9.4 קריטית - החולשה מאפשר עקיפת מנגנון ההתחברות CAS (Central Authentication Service) המשמש להתחברויות באמצעות Single sign-on (SSO) .
החולשות יכולות לשמש תוקף לבצע עקיפה למנגון ההזדהות ועלולות לגרום לחשיפה למידע רגיש לגורם לא מאושר.
הגרסאות הפגיעות הינם: GMS 9.3.2-SP1 ולפניה , Analytics 2.5.0.4-R7 ולפניה.
צוות קונפידס ממליץ לעדכן את המוצר לגרסה העדכנית ביותר, הגרסאות העדכניות הינם GMS 9.3.3 , Analytics 2.5.2
JumpCloud מאפסים את מפתחות ה-API של הלקוחות כאמצעי זהירות בתגובה לתקרית אבטחה
JumpCloud, ספקית ניהול ספריות, זהות וגישה המציעה פתרונות אבטחה של ספריות קבצים ומכשירים בענן, כולל כניסה יחידה(SSO) ואימות רב-גורמי(MFA), ליותר מ-180,000 ארגונים, עם אלפי לקוחות פרטיים מנויים, מאפסת מפתחות API של לקוחות בעקבות "תקרית מתמשכת" כדי להגן על ארגונים מפני סיכונים פוטנציאליים. בעוד שהחברה לא סיפקה פרטים ספציפיים על האירוע, היא נקטה בפעולה זאת מתוך נקיטת אמצעי זהירות ולקיחת אחריות . מפתחות API דומים לסיסמאות ומשמשים לשילוב טכנולוגיה במערכות הלקוחות, המאפשרות תקשורת חלקה בין שירותים שונים. אם תוקף מצליח לבטל את מפתחות ה- API זה צעד משמעותי בשבילו, וזאת הפרעה פוטנציאלית שהוא עלול לגרום לאינטגרציות של הלקוחות. אנו ממליצים להזין את המזהים שפורסמו על ידי jumpcloud במערכות ההגנה.
התקפות ואיומים
Trend Micro ערכה מחקר על נוזקת הכופר ״Big Head״
חוקרים מחברת Trend Micro ביצעו מחקר מעמיק על נוזקת כופר חדשה הנקראת ״Big Head״ שככל הנראה מופצת בעיקר על ידי פרסומות זדוניות המפרסמות עדכונים כוזבים של Windows ו-קבצי התקנה של Word. הנוזקה מתקינה קבצים מוצפנים על תחנת הקורבן המשנים ערכי registry, משנים ומצפינים קבצים, מוחקים גיבויים, מבכים את ה-task manager ומעבירים קבצים לשרת התוקפים. בנוסף לכך, הנוזקה בודקת אם היא נמצאת על סביבת sandbox או על תחנה שנמצאת באחת מהמדינות שהיו חברות בברית המועצות, במידה ונמצא שהנוזקה רצה על אחד מתנאים אלו, היא לא מופעלת. לנוזקה זו יש שתי גרסאות, אחת מהן היא למטרת גניבת מידע בלבד. המידע שנגנב בגרסה זו הוא היסטוריית גלישה, רשימת תיקיות וקבצים, דרייברים מותקנים, שירותים ותהליכים שרצים על התחנה, רישיונות מוצרים, רשתות פעילות ואף יכולת לבצע צילומי מסך. הגרסה השנייה מכילה את כל היכולות בגרסה הראשונה אך בנוסף גם מצפינה קבצים ומשאירה קובץ עם מכתב כופר. Trend micro ציינה שנוזקה זו אינה מתוחכמת במיוחד וכנראה ממוקדת על מטרות שקל לעבוד עליהן (עקב שיטת ייבוא הנוזקה). אך מתגלים באופן תדיר שינויים בנוזקה, כך שייתכן ותתפתח למקומות אחרים. קונפידס ממליצה להזין את המזהים במערכות ההגנה בארגון.
נחשפו יכולות התקפה מהירות במיוחד וטכניקות מתקדמות של קבוצת הכופרה BlackByte 2.
צוות ה Incident Response של מיקרוסופט חקר לאחרונה את תוכנת הכופר של BlackByte 2.0 וחשף את המהירות המדאיגה ויכולות ההרס שלה. תוקפים יכולים להשלים את כל תהליך ההתקפה, כולל גישה ראשונית, הצפנת נתונים ודרישות כופר, תוך חמישה ימים בלבד. תוך ניצול שרתי Microsoft Exchange לא מעודכנים ופגיעים, התוקפים מונעים תהליכים מסוימים , מצליחים להתחמק מאנטי וירוס ומשתמשים ב web shells להצפנה מוצלחת וגישה מרחוק. הם משתמשים בתצורת ההתקפה Cobalt Strike ובכלים של "living-off-the-land" כמו PsExec ו- Mimikatz כדי לסבך את מאמצי ההגנה. תוכנת הכופר פורסת Backdooors לגישה מתמשכת. מומלץ לארגונים לתעדף את ניהול העדכונים ולאפשר הגנה מפני הרס במערכותיהם וכדי להפחית את איומי תוכנת הכופר המתפתחים הללו כמו למשל : וידוא שהאנטי וירוס מתעדכן באופן קבוע ומוגדר לחסימת איומים , חסימת כתובות IP והזנת אינדיקטורים שפורסמו , הגבלת הרשאות ניהול כדי למנוע שינויים לא מורשים במערכות ועוד.
קבוצת התקיפה Charming Kitten נצפתה מפעילה קמפיין תקיפה המתמקד במחשבי macOS
קבוצת התקיפה המזוהה עם הממשל האיראני Charming Kitten נצפתה מפעילה קמפיין תקיפה חדש שמתמקד במערכות הפעלה מסוג macOS. קבוצת התקיפה החלה את הקמפיין בחודש מאי השנה ופועל בדרך שונה מתקיפות שבוצעו על ידי הקבוצה, בניגוד לקמפיינים אחרים של קבוצת התקיפה קמפיין זה מתמקד במחשבים עם מערכות הפעלה macOS על ידי העברה של קבצי LNK שמבצעים התקנה של הנוזקה NokNok, זאת בניגוד לקמפיינים קודמים של הקבוצה בהם הועבר לקורבנות מסמך וורד זדוני. בקמפיין זה קבוצת התקיפה מעבירה לקורבנות אימייל פישינג בו הם מתחזים להיות מומחה אטום אמריקאי המבקש מהקורבנות לבחון טיוטה של מסמך, בחלק מהמקרים על מנת שהמייל הפישינג לא יראה חשוד קבוצת התקיפה מוסיפים אנשים נוספים להתכתבות ויוצרים שרשרת התכתבות שנותנת לאימייל מראה של אימייל לגיטימי. לאחר שהתוקפים מקבלים את אמון הקורבן בלגיטימיות של האימייל והפנייה שלהם מועבר לקורבן לינק המכיל סקריפט גוגל שמפנה את הקורבן לכתובת אתר של Dropbox המכיל קובץ RAR מוגן בסיסמא, קובץ זה עושה שימוש בקוד PowerShell על מנת לבצע התקנה של הנוזקה על מחשב הקורבן פעולה שנעשית על ידי התקנה של דלת אחורית בשם GorjolEcho שמקבלת ומפעילה פקודות מהתוקפים בנוסף נוזקה זו פותחת קובץ PDF עם נושא רלוונטי לדיון במייל על מנת לא לעורר חשד. בשלב הבא של המתקפה במידה והתוקפים מבינים שנמצאים במערכת הפעלה של macOS (דבר שנעשה על ידי כישלון של התקנה של נוזקת ווינדוס) התוקפים יצרו קשר נוסף עם הלקוח בטענה שעל מנת לצפות בקבצים הנמצאים בכונן משותף יש צורך להתקין שירות של RUSI VPN בנוסף מספקים לינק להורדה של הקובץ וסיסמה להתקנה, בעת הפעלת הקובץ מופעלת פקודת Curl שמורידה את הנוזקה למחשב הקורבן ויוצרת ״דלת אחורית״ במחשב הקורבן. הנוזקה NokNok אוספת מידע על המערכת הכולל את סוג מערכת ההפעלה, תהליכים שרצים במערכת ותוכנות מותקנות לאחר מכן הנוזקה מבצעת הצפנה של המידע שנאסף בפורמט של base64 לפני שליחה של המידע לתוקפים.
צוות קונפידס ממליץ לבצע חסימה של ה IOC's המצורפים בלינק המקור של הדיווח על מנת להימנע מפגיעות לקמפיין תקיפה זה.
סייבר בעולם
פרסום משותף של ה-CISA מזהיר מפני גרסאות זדוניות של תוכנת TrueBot שזוהו לאחרונההפרסום של הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), הבולשת הפדרלית בארה"ב (FBI), המרכז העולמי לשיתוף מידע וניתוח מידע (MS-ISAC), והמרכז הקנדי לאבטחת מידע (CCCS) מציע מדריך הגנה מפני גרסאות זדוניות של תוכנת TrueBot שזוהו לאחרונה. המדריך המשותף מספק סקירה רחבה על הגרסאות החדשות, תוך התייחסות לחולשות נפוצות, טקטיקות וטכניקות (TTPs), ומסביר כיצד ניתן לזהות ולהגן מפני תוקפים. המטרה היא לעזור לארגונים לזהות ולהגן מפני גרסאות תוכנות זדוניות Truebot שזוהו.
הנוזקה Truebot שזוהתה לראשונה ב-2017 בשימוש קבוצות התקיפה TA505 ו-Silence Group, המתמקדות בעיקר בחברות פיננסיות, אוספת מידע ממכשיר הקורבן ומורידה כלי תקיפה נוספים, כגון Cobalt Strike ,FlawedGrace ,Telepo והכופרה Clop, המאפשרים גישה מרוחקת אל המכשיר, יצירת דלת אחורית, חיפוש אחר חולשות במערכת, העברת מידע ממנה לשרת מרוחק והצפנה של קובצי מערכת.
גרסאות עדכניות של התוכנה (Truebot (CVE-2022-31199 מאפשרות לתוקפים פוטנציאלים להריץ קוד מרוחק ועלול לאפשר לתוקף לא מאומת להפעיל קוד שרירותי כמשתמש AUTHORITY\SYSTEM. ידוע כי תוקפים ניצלו את הפגיעה זו על מנת לאסוף ולשחרר מידע נגד ארגונים בארה"ב ובקנדה.
CISA, FBI, MS-ISAC וה-CCCS מעודדים את כל הארגונים לפעול על פי המסמך המשותף וליישם את ההקלות המומלצות כולל תיקונים ל-CVE-2022-31199 על להפחית את הסיכונים והשפעה הפעילות של Truebot.
צוות קונפידס ממליץ לאנשי IT לפעול להוספת מזהי התקיפה (IOCs) המופיעים בדוח למערכות ההגנה של ארגוניהם, להעלות בקרב העובדים את המודעות למייל פישינג, להשתמש במערכות הגנה החוסמות גישה לאתרי אינטרנט זדוניים, לחסום הרשאות לתיקיות ומסמכים לפי צרכי העובדים ולחלק הרשאות גבוהות בין מספר משתמשים.
קבוצת RomCom מכוונת לאוקראינה ובעלות בריתה עם קמפיין תקיפה לפני מפגש הפסגה של נאט"ו
קבוצת RomCom השיקה קמפיין תקיפה המכוון לאוקראינה ובעלות בריתה לקראת פסגת נאט"ו. קבוצת RomCom יצרו מסמכים זדוניים המתחזים לקונגרס העולמי האוקראיני. פתיחת קבצים אלו מפעילה תוכנה זדונית, ולאחר מכן עולה תמונה שזה מטעם קבוצת הכופרה RomCom. ההאקרים מנצלים פגיעות מתוקנת בשם Follina, ומכוונות לכלי האבחון של מיקרוסופט (MSDT) כדי לאפשר הרצת קוד מרחוק. שיטה זו מאפשרת לקבוצת RomCom להשיג שליטה על מערכות שנפגעו ולאסוף מידע רגיש. RomCom, הידועה גם בשם Tropical Scorpius, UNC2596 ו- Void Rabisu, פנתה בעבר לארגונים צבאיים אוקראינים, חברות IT ופוליטיקאים המשתפים פעולה עם מדינות מערביות. הקורבנות שלהם כללו חברת בריאות שבסיסה בארה"ב המסייעת לפליטים אוקראינים. קמפיין הפישינג של קבוצת RomCom לקראת פסגת נאט"ו מהווה סיכון ביטחוני רציני לאוקראינה ובעלות בריתה. אמצעי אבטחת סייבר משופרים וערנות הם חיוניים כדי לצמצם את האיומים הללו.
סייבר בגופי בריאות
סוכנות האיחוד האירופי לאבטחת סייבר (ENISA) מפרסמת את דו"ח איומי הסייבר הראשון שלה עבור מגזר הבריאות
סוכנות האיחוד האירופי לאבטחת סייבר (ENISA) פרסמה היום את דו"ח איומי הסייבר הראשון שלה עבור מגזר הבריאות. הדו"ח נכתב על פני תקופה של למעלה משנתיים ומצביע על איומים מרכזיים, קבוצות תקיפה ומגמות בתחום הגנת סייבר במגזר הבריאות. המסמך מנתח גם את ההשפעה של מתקפות הסייבר על המגזר ומבוסס על 215 תקריות שדווחו בפומבי באיחוד האירופי ובמדינות השכנות.
הנתונים הראשונים שעלו מהדוח הם שמתקפות הכופרה מהוות 54% מאירועי הסייבר במגזר הבריאות. לרוב הארגונים שנסקרו (73%) במגזר הבריאות אין תוכנית להגנה ממתקפות כופר.
על פי הדו"ח, ארגונים במגזר הבריאות האירופי חוו מספר לא מבוטל של אירועים, כאשר ספקי שירותי בריאות היוו 53% מסך תקריות הסייבר. 42% מהאירועים היו התקפות על בתי חולים, בעוד שספקי שירותי בריאות, גופי בריאות הציבור ומרפאות היוו 14%, ותעשיית התרופות הותקפה ב-9% מהמקרים.
הדו"ח ניתח אירועים שונים שהשפיעו משמעותית על ארגוני הבריאות. אירועים אלו כללו בעיקר דלף מידע או גניבה של נתונים, שהיוו 43% מהמקרים. הדו"ח מדגיש עוד את ההשלכות הכספיות, וחושף כי העלות החציונית של אירוע ביטחוני משמעותי במגזר הבריאות מוערכת ב-300,000 אירו, כפי שהצביע על מחקר ENISA NIS Investment 2022.
בעקבות מתקפת הסייבר על בית החולים Clínic de Barcelona דלף מידע בהיקף של 4.4 טרה
בהמשך לדיווח על מתקפת הסייבר שהתרחשה בחודש מרץ על בית החולים המוביל בברצלונה, (ראו ״הסייבר״ 09.03.23), מתפרסמים כעת נתונים חדשים אודות התקיפה של קבוצת הכופרה RansomHouse. מרכז הבריאות בוחן כעת איזה סוג של מידע פורסם בעקבות דלף הנתונים האישיים במרץ האחרון. המתקפה כאמור השפיעה מיידית על המעבדה, בית המרקחת ומחלקות המיון. כמו גם, בעקבותיה נאלצו להשבית את אתר בית החולים ואחיות ורופאים רבים נאלצו לעבור לעבודה ידנית. קבוצת RansomHouse, שלקחה אחריות על תקיפת בית החולים, גנבה סך הכל 4.4 טרה-בייט של נתונים ופרסמה אותם החל מסוף חודש מרץ. בעקבות כך, בתחילת חודש מרץ, המשטרה הקטלונית הורידה את אתר האינטרנט של בית החולים כדי למנוע פרסום נתונים נוספים. בחודש שעבר, ב-22 ביוני, הרשות הקטלונית להגנת המידע (APDCAT) הודיעה על חקירת כלי הגנת המידע של Hospital Clinic, שכן זה יכול להיות משמעותי בחקירת האירוע, לאחר שהנתונים נפרצו ופורסמו.
אנגליה: קבוצת התקיפה BlackCat טוענת שפרצה לארגון הבריאות הבריטי (NHS)
ב-30 ביוני טענה קבוצת הסחטנים הרוסית BlackCat, המוכרת גם כ-ALPHV, כי פרצה ל-Barts Health NHS Trust, המנהלת חמישה בתי חולים בלונדון ומשרתת יותר מ-2.5 מיליון חולים. הקבוצה טוענת שגנבה שבעה טרה-בייט של נתונים רגישים וחשפה חלק מהמידע שהיא הצליחה לגשת אליו הכולל מסמכי זיהוי של עובדים, דרכונים ורישיונות נהיגה, ומיילים פנימיים שכותרתם "סודיים". מטעם בתי החולים נמסר שהם ״מודעים לטענות על מתקפת כופר וחוקרים את הנושא בשיתוף פעולה עם מערך הסייבר הבריטי".
צרפת: דלף נתונים ממערכות בית חולים בריינס
בבית החולים האוניברסיטאי של ריינס (Centre hospitalier universitaire de Rennes), מרכז רפואי עם יותר מ-9,900 עובדים ולמעלה מ-1,900 מיטות, הופתעו לגלות שנתונים של בית החולים הועמדו למכירה ברשת האפלה. על פי חקירה ראשונית, בית החולים היה יעד למתקפת סייבר ב-21 ביוני וכעת נערכת חקירה כדי לזהות את היקף דלף המידע. מטעם בית החולים נמסר שמימדי האירוע נמצאים בבירור ושהוגשה תלונה מטעם בית החולים לרשויות אכיפת החוק.
סייבר בישראל
בעקבות המלחמה באוקראינה מערך הסייבר הגביר את שיתוף הפעולה עם התאגידים הבינלאומיים
לאחר הפלישה הרוסית לאוקראינה בחודש פברואר 2022, חברות ענק בינלאומיות, וביניהן פייסבוק, גוגל, לווייני סטארלינק, ואמזון חסמו את הגישה מרוסיה לכלל האתרים, הרשתות החברתיות ומשאבי החברה שבשליטתם. תופעה זו מקשה על תושבי רוסיה, ופוגעת בחוסן המרחב הדיגיטלי וביכולות המודיעיניות של מדינה זו. מדובר במהלכים מצד המגזר הפרטי שתומכים במאמץ המלחמתי של אוקראינה. על כך אמר ראש מערך הסייבר הלאומי, גבי פורטנוי, כי ״אנו [בישראל] נדרשים להגביר את שיתוף הפעולה של המערך עם התאגידים הבינלאומיים״. אך הוא גם מציין שישראל איננה זקוקה לסיוע דומה מחברות הענק, כיוון שגופי הביטחון מטפלים בסוגיות הרלוונטיות במרחב, בשיתוף פעולה מלא עם החברות (כדוגמת מיזם ״נימבוס״ שבו נבחרו גוגל ואמזון כדי לספק שירותי אחסון ענן וייעול של ניהול המידע הדיגיטלי של ממשלת ישראל). בנוסף, הזכיר פורטנוי שוב את החשיבות לחוקק חוק סייבר בישראל, שיאזן בין השמירה על הפרטיות של חברות ואנשים פרטיים לבין אילוצי הפיקוח והרגולציה.
סייבר ופרטיות - רגולציה ותקינה
ארה"ב והאיחוד האירופי סיכמו כללים להעברת מידע אישי ביניהן: "החלטת ההלימה" נכנסת לתוקף מיידי
בהמשך למשא ומתן ממושך בין ארצות הברית והאיחוד האירופי בעניין הכללים שיחולו על העברת מידע אישי בין שתי הישויות, האיחוד פרסם "החלטת הלימה" (adequacy decision) שתאפשר לחברות אירופאיות להעביר מידע אישי כאמור לארה"ב. מדובר בהחלטה של מועצת אירופה שמכירה ברמת ההגנות של המדינה השניה על מידע אישי והזכויות של נושאי מידע. כעת , פחות מ-15 מדינות זכו במעמד זה, שמקל על קשרים עסקיים ואחרים בין המדינות שזכו בהחלטה - ומדינות האיחוד. ישראל היא אחת המדינות שזכתה בעבר, והיא כעת מנהלת מו"מ בנושא מול מועצת אירופה כדי לחדש את ההחלטה. לגבי הסיכום שהושג עם ארה"ב, מתפרסמות כבר ידיעות על תביעות נגד ההסדר שמתוכננות בהמשך.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ויובל גורי.