דו״ח סייבר שבועי
עדכון שבועי 14.09.2023
עיקרי הדברים
1. ישראל: מתקפת כופרה על חברת רפיד אימג' המספקת תוכנה לניהול מרפאות ומרכזים רפואיים; האיראנים שוב על הגדרות? קבוצת Ballistic Bobcat תוקפת ארגונים בישראל באמצעות נוזקה חדשה; הרשות להגנת הפרטיות: בחברות שעיבוד מידע אישי בליבת הפעילות, הדירקטוריון הוא הגורם המתאים לפקח על חובות אבטחת המידע.
2. סייבר בבריאות: ארה״ב: מתקפת כופרה על רשת של 3 בתי החולים במדינת קונטיקט. חשש לדלף מידע.
3. שוד צפון קוראני: ע״פ ה-FBI בשנת 2023 צפ״ק גנבה 200 מיליון דולר במתקפות סייבר על חברות קריפטו. לזה מצטרף עוד 41 מיליון דולר במטבעות וירטואלים מחברת Stake.com.
4. סוף גנב לתלייה? כתב אישום בארה"ב נגד חברי הקבוצות Conti ו-Trickbot, מלווה בהטלת סנקציות נגד המואשמים.
5. *אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Apple (zero day); מוצרי Microsoft (zero day); מוצרי Adobe (קריטי); דפדפן Firefox של Mozilla (קריטי); מוצרי Cisco (קריטי); דפדפן Google Chrome;
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
Apple שחררה עדכון אבטחה ל-2 חולשות Zero Day ו-Zero Click
עדכוני אבטחה ל-Cisco BroadWorks ו-Xtended הנותן מענה לחולשה ברמת חומרת קריטית
Google פרסמה עדכון אבטחה עבור הדפדפן Chrome
עדכון אבטחה ל-דפדפן Firefox של Mozilla נותן מענה לחולשה קריטית
עדכוני אבטחה למוצרי Adobe נותנים מענה לחולשות קריטיות
Microsoft פרסמה את עדכוני Patch Tuesday של חודש ספטמבר
CISA מוסיפה שלוש חולשות חדשות לקטלוג החולשות המנוצלות שלה
התקפות ואיומים
תוכנה זדונית בשם DarkGate מופצת באמצעות פישינג
השבוע בכופרה
קבוצת המחקר TAG של גוגל חשפה קמפיין תקיפה מגורמים צפון קוריאנים
סייבר בעולם
גופי הסייבר של ממשלת ארה״ב פרסמו מסמך אזהרה מפני קמפיין תקיפה
Lazarus Group גנבה 41 מיליון דולר במטבעות וירטואלי
סייבר בגופי בריאות
דלף מידע של IBM פוגע ביחידה של חב' ג'ונסון אנד ג'ונסון
ארה״ב: מתקפת כופרה על רשת של 3 בתי החולים במדינת קונטיקט. חשש לדלף מידע
סייבר בישראל
קבוצת Ballistic Bobcat תוקפת ארגונים בישראל באמצעות נוזקה חדשה
ישראל: מתקפת סייבר על חברת Rapid Image
בתי החולים של חברת שירותי הבריאות פרוספקט מדיקל חוזרים למרחב הדיגיטלי, 40 יום לאחר מתקפת הסייבר
סייבר ופרטיות - רגולציה ותקינה
הרשות להגנת הפרטיות מציעה להטיל אחריות על הדירקטוריון ליישום תהליכי בקרה במסגרת תקנות הגנת הפרטיות
הצהרת ה-G20 בניו דלהי: שיתוף פעולה חוצה גבולות מדינתיים לטובת פיתוח תשתיות דיגיטליות
הגשת כתבי אישום של משרד המשפטים בארה"ב נגד חברי הקבוצות Conti ו-Trickbot, מלווה בהטלת סנקציות נגד המואשמים
התקפות סייבר: נקודת השיא של פשע כשירות
כנסים
הציטוט השבועי
_"הייתה בקשת חירום מרשויות הממשלה (האוקראינית) להפעיל את Starlink באזור Sevastopol. הכוונה הברורה הייתה להטביע את רוב הצי הרוסי שעגן שם. אם הייתי מסכים לבקשתם, אז SpaceX היה שותפה פעילה לפעולה מלחמתית."_
אילון מאסק על כך שהוא הורה לסכל מבצע צבאי של אוקראינה. 8/9/2023
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
Apple שחררה עדכון אבטחה ל-2 חולשות Zero Day ו-Zero Click
חברת אפל פרסמה עדכוני אבטחה לחולשות Zero-Day ב-iOS ו-macOS. חולשות אלו תוקנו בעדכונים קודמים, אך מאז הופצו בעולם ונוצלו שוב. כתוצאה מכך, סוכנות הסייבר והתשתיות הלאומיות (CISA) הוסיפה את החולשות לקטלוג החולשות המנוצלות שלה. החולשה ב-iOS מזוהה כ-CVE-2023-41064, הידועה גם בשם BLASTPASS, ונמצאה על ידי קבוצת Citizen Lab. החולשה מאפשרת לתוקף לשלוח קובץ PassKit המכיל קוד זדוני, אותו ניתן להריץ מרחוק באמצעות iMessage. מטרת התוקפים הייתה לפרוס במכשירי iPhone את תוכנת הריגול Pegasus, המסוגלת לפקח מרחוק על מתקפות Zero-Click עתידיות על טלפונים. החולשה ב-macOS מזוהה כ-CVE-2023-41061. ניצול מוצלח של חולשה זו עלול לאפשר לתוקף להריץ קוד מרחוק.
חברת אפל פרסמה את עדכוני האבטחה הבאים כדי לפתור את החולשות:
קונפידס ממליצה למשתמשים לעדכן לגרסאות התוכנה האחרונות של אפל בהקדם האפשרי.
עדכוני אבטחה ל-Cisco BroadWorks ו-Xtended הנותן מענה לחולשה ברמת חומרת קריטית
חברת Cisco פרסמה לאחרונה עדכוני אבטחה למוצרי Cisco BroadWorks Application Delivery Platform ו- .BroadWorks Xtended Services Platform. עדכונים אלו מתייחסים לפגיעות קריטית (CVE-2023-20238, CVSS 10.0), שנמצאה במהלך בדיקות אבטחה פנימיות של החברה. חולשה זו נובעת מהשיטה המשמשת לאימות SSO (ניהול זהויות). תוקף יכול לנצל את החולשה הזו על ידי אימות לאפליקציה באמצעות אישורי כניסה מזויפים. ניצול מוצלח יכול לאפשר לתוקף לבצע קוד מרוחק במערכת של הקורבן. בנוסף אם לחשבון יש הרשאות אדמין, התוקף עלול להשיג מידע רגיש, לשנות הגדרות לאותו חשבון ולקבל הרשאות גבוהה בעמדת הקורבן. על מנת לנצל את פגיעות זו, התוקף יצטרך להשיג פרטי חשבון השייכים למערכת Cisco BroadWorks מושפעת. Cisco פרסמה עדכוני אבטחה המתקנים פגיעות זו. צוות קונפידס ממליץ לבעלי המוצרים Cisco BroadWorks ו-Xtended Services Platform להתקין את עדכוני האבטחה בהקדם האפשרי.
Google פרסמה עדכון אבטחה עבור הדפדפן Chrome
חברת Google פרסמה עדכון אבטחה קריטי לדפדפן Chrome בגרסה 116.0.5845.187 עבור Mac ו-Linux, ו-116.0.5845.187/.188 עבור Windows. העדכון מטפל בפגיעה בזיכרון (CVE-2023-4863) ב-WebP, פורמט תמונה פופולרי. החולשה מאפשרת לתוקף להריץ קוד זדוני במחשב של קורבן אם יוכל להטעות את הקורבן לפתוח תמונה זדונית בפורמט WebP. העדכון מופץ כעת למשתמשי Chrome Stable ו-Extended stable.צוות קונפידס ממליץ למשתמשים לעדכן את דפדפן Chrome לגרסאות העדכניות ביותר בהקדם האפשרי.
עדכון אבטחה ל-דפדפן Firefox של Mozilla נותן מענה לחולשה קריטית
חברת Mozilla פרסמה עדכוני אבטחה קריטיים עבור דפדפן Firefox בגרסה 117.0.1 וב-Thunderbird בגרסה 115.2.1 (העדכניות ביותר). העדכונים מטפלים בפגיעה בזיכרון (CVE-2023-4863) שעדיין לא קיבלה ציון CVSS, אך נרשמה כקריטית בדיווח של Mozilla. החולשה מאפשרת לתוקף לגרום לקריסת המערכת והרצת קוד לא מבוקר מרחוק במידה והפגיעות מנוצלת. ניצול החולשה נעשה על ידי גישה של הקורבן לדף אינטרנטי זדוני.החולשה דוווחה ל-Mozilla על ידי חוקר אבטחה של Apple. צוות קונפידס ממליץ למשתמשים לעדכן את גרסת דפדפן Firefox ו-Thunderbird לעדכנית ביותר בהקדם האפשרי.
עדכוני אבטחה למוצרי Adobe נותנים מענה לחולשות קריטיות
חברת Adobe פרסמה עדכוני אבטחה קריטיים עבור מוצריה Acrobat DC ו-Reader. העדכונים מטפלים בפגיעות בזיכרון (Buffer overflow) שעלולות לאפשר לתוקף להריץ קוד זדוני מרחוק. העדכונים רלוונטיים למוצרים הבאים במערכות ההפעלה Windows ו-macOS:
-
Acrobat DC גרסה 23.003.20284 ומוקדמות יותר.
-
Acrobat Reader DC גרסה 23.003.20284 ומוקדמות יותר.
-
Acrobat 2020 גרסאות 20.005.30516, 20.005.30514 ומוקדמות יותר.
-
Acrobat Reader 2020 גרסאות 20.005.30516, 20.005.30514 ומוקדמות יותר.
צוות קונפידס ממליץ למשתמשי המוצרים לעיין ברשימת החולשות המלאה ולעדכן אותם בהקדם לגרסאותיהם האחרונות.
Microsoft פרסמה את עדכוני Patch Tuesday של חודש ספטמבר
חברת Microsoft פרסמה את עדכוני האבטחה של Patch Tuesday לחודש ספטמבר 2023. העדכונים מטפלים ב-59 חולשות ברמות חומרה שונות, כולל שתי פגיעויות Zero Day פעילות מנוצלות. שתי פגיעויות ה-Zero Day הן:
-
CVE-2023-36802: ניצול מוצלח של חולשה זו עלול להוביל להעלאת הרשאות ב-Microsoft Streaming Service Proxy, המאפשרת לתוקפים להשיג הרשאות SYSTEM.
-
CVE-2023-36761: ניצול מוצלח של חולשה זו עלול להוביל לחשיפת מידע ב-Microsoft Word.
CVE-2023-36761 היא פגיעות בפרסום מידע שניתן להשתמש בה כדי לגנוב hashes NTLM בעת פתיחת מסמך, כולל בחלונית התצוגה מקדימה. hashes NTLM אלו ניתן לפרוץ או להשתמש בהם בהתקפות Relay NTLM כדי לקבל גישה לחשבון. הפגם התגלה פנימית על ידי קבוצת המודיעין והאיומים של מיקרוסופט. בנוסף לשתי פגיעויות ה-zero-day, Microsoft תיקנה 57 פגיעויות אחרות בעדכוני Patch Tuesday של החודש. פגיעויות אלו משפיעות על מגוון מוצרים של Microsoft, כולל Windows, Office, Exchange Server ו-Azure.
כיצד להחיל את עדכוני Patch Tuesday:
-
עדכוני Windows מותקנים באופן אוטומטי במרבית המכשירים.
-
ניתן גם לבדוק עדכונים באופן ידני על ידי מעבר לתפריט "הגדרות" > "עדכוני Windows" > "בדוק עדכונים".
צוות קונפידס ממליץ להחיל את עדכוני אבטחה אלו בהקדם האפשרי כפי שפורסם ע"י Microsoft.
CISA מוסיפה שלוש חולשות חדשות לקטלוג החולשות המנוצלות שלה
CISA הוסיפה לקטלוג החולשות הידועות שלה שלוש חולשות חדשות המופעלות על סמך ראיות לניצול פעיל ברשת:
CVE-2023-35674, CVSS 7.8: חולשה ש עלולה לאפשר העלאת הרשאות ב-Android. החולשה זו מאפשרת לתוקף לא מורשה להעלות את הרשאותיו ל-root (הרשאות Root הן הרשאות גבוהות המאפשרות גישה לכל הפקודות והתיקיות במערכות ההפעלה הפגיעות), מה שמאפשר לו לבצע פעולות רחבות על גבי המערכת, כגון התקנת תוכנות זדוניות, גניבה של נתונים או השבתת המערכת.
CVE-2023-20269, CVSS 5.0: חולשה גישה לא מורשית ב-Cisco Adaptive Security Appliance ו-Firepower Threat Defense. החולשה מאפשרת לתוקף לא מורשה להתחבר ל-VPN של Cisco Adaptive Security Appliance (ASA) או Firepower Threat Defense (FTD) ללא הרשאות. פגיעות זו נמצאה ב-ASA ו-FTD, שהם מוצרים של Cisco להגנה על רשתות.
CVE-2023-4863: חולשת Heap-Based Buffer Overflow ב-Google Chrome. החולשה מאפשרת לתוקף להפעיל קוד זדוני על מחשב של משתמש שמשתמש בדפדפן Google Chrome. החולשה נובעת מבעיה בתהליך עיבוד הנתונים של Chrome.
התקפות ואיומים
תוכנה זדונית בשם DarkGate מופצת באמצעות פישינג
חברת Telekom Security CTI חשפה לאחרונה תוכנה זדונית חדשה בשם DarkGate, המופצת באמצעות פישינג. התוכנה הזדונית מסוגלת לבצע מגוון פעולות זדוניות, כולל גניבת נתונים כגון סיסמאות, כרטיסי אשראי, ומידע אישי אחר; כריית קריפטוגרפית, באמצעות חיבור המחשב הנגוע למאגר כוח עיבוד מרחוק; הקמת reverse shell, המאפשרת לתוקף לשלוט במחשב הנגוע מרחוק; keylogging, המאפשרת לתוקף לאסוף את כל ההקלדות שנעשו במחשב הנגוע. בנוסף, התוכנה הזדונית משתמשת במגוון טכניקות כדי להימנע מגילוי, כולל הצפנה של הנתונים הגנובים; קידוד של הקוד המבצעי; התחמקות ממנגנוני הגנה, כגון sandbox ומנועי אנטי-וירוס. מתווה התקיפה מתחיל בשליחת מייל פישינג עם צרופה של קובץ MSI או סקריפט Visual Basic. לאחר שהקורבן פותח את הקובץ, הוא מתחיל להוריד קובץ Autoit המקודד באמצעות Base64. לאחר שהקובץ Autoit רץ, הוא מפעיל shell code המפעיל את התוכנה הזדונית DarkGate. צוות קונפידס ממליץ לארגונים להטמיע במערכות ההגנה שלהם את מזהי התקיפה (IOCs) המופיעים בפרסום של Telekom Security CTI. בנוסף, מומלץ לארגונים להדריך את העובדים שלהם לזהות הודעות פישינג זדוניות.
השבוע בכופרה
קבוצת המחקר TAG של גוגל חשפה קמפיין תקיפה מגורמים צפון קוריאנים
קבוצת המחקר של גוגל הצליחה לעכב את הקמפיין על ידי גילוי וטיפול בחולשות zero-day המנוצלות על ידי התוקפים. במתקפה האחרונה, התוקפים התחזו לאנשים אחרים ברשתות חברתיות כדי ליצור קשר עם קורבנות פוטנציאליים. לאחר יצירת קשר ובניית אמון עם הקורבן, התוקפים משכנעים אותו לעבור לשיחות באפליקציית הודעות מוצפנת, כגון WhatsApp או Telegram. משם, הם שולחים קובץ המכיל נוזקה המנצלת חולשת zero-day.
ברגע שהחולשה מנוצלת, התוקפים מבצעים סריקות על עמדת הקורבן כדי לבדוק אם מדובר בסביבה וירטואלית. לאחר מכן, הם שולחים מידע על העמדה, כולל צילום מסך שלה, לשרת התוקף. הקוד הזדוני שמשומש בקמפיין זה דומה מאוד לסקריפטים זדוניים ששומשו בעבר על ידי קבוצות תקיפה צפון קוריאניות בקמפיינים דומים. בנוסף לתופעה זו, התוקפים משתמשים גם בכלי debugger ב-Windows הנראה לגיטימי, אך בפועל שולח מידע לשרת התוקף ומאפשר הרצה של קוד מרחוק (RCE). קבוצת TAG של גוגל פועלת באופן תדיר למיגור תופעות דומות על ידי מציאה ותיקון מהיר של חולשות zero-day ומעקב אחר פעילויות של קבוצות תקיפה.
סייבר בעולם
גופי הסייבר של ממשלת ארה״ב פרסמו מסמך אזהרה מפני קמפיין תקיפה
גוף הממשלתי לפיקוד משימות סייבר של ארה"ב, בשיתוף עם הסוכנות לאבטחת מידע ותשתיות של המשרד לביטחון לאומי (CISA) וה-FBI, פרסמו מסמך משותף המזהיר מפני קבוצות תקיפה עם תמיכה מדינתית אשר מנצלות שתי חולשות zero-day קריטיות. החולשות הראשונה, CVE-2022-47966 עם דירוג CVSS 9.8, היא פגיעות בזיכרון (buffer overflow) בחבילת כלי IT בשם ManageEngine של חברת Zoho. החולשה השנייה, CVE-2022-42475 גם כן עם דירוג CVSS 9.8, היא גם פגיעות בזיכרון ב-FortiOS SSL-VPN. ניצול מוצלח של אחת או שתי החולשות עלול להוביל להרצת קוד לא מבוקר מרחוק, מה שעשוי לאפשר לתוקפים להשיג גישה לא מורשית למחשבים או לרשתות. המסמך מציין כי קבוצות תקיפה מדינתיות כבר נצפו מנצלות את החולשות הללו כדי לתקוף ארגונים. באירוע אחד, קבוצת תקיפה הצליחה להשיג גישה לא מורשית לרשת של ארגון באמצעות יצירת backdoor, ומשם לבצע תמרון בתוך הרשת לנקודות שונות. קבוצות תקיפה מדינתיות בדרך כלל יחפשו קורבנות שנמצאו אצלם חולשות במכשירים ושירותים החשופים לאינטרנט. בנוסף לניצול החולשות הללו, קבוצות תקיפה נוספות נראו שמנצלות חולשות נוספות כדי לקבל גישה ל-FW של הקורבן. המסמך מפציר בארגונים לבצע בקרה על מערכות ההגנה ותוכניות התגובה לאירוע סייבר. בנוסף לכך, גם ממליצים ליישם את ההמלצות של CISA וה-NSA בנוגע לכל הקשור לאבטחת הארגון במרחב הדיגיטלי.
המלצות להגנה:
על ארגונים ליישם את ההמלצות הבאות כדי להגן על עצמם מפני ניצול חולשות zero-day:
-
לעדכן את התוכנה שלהם בהקדם האפשרי, כולל את ManageEngine ו-FortiOS SSL-VPN.
-
להשתמש בתוכנות אנטי-וירוס וגניבת סיסמאות מתקדמות.
-
לאכוף מדיניות אבטחת מידע חזקה.
-
לבצע הדרכות אבטחת מידע לעובדים.
-
על ארגונים להיות מודעים לסיכון של חולשות zero-day ולהיות מוכנים להגיב לאירועים מסוג זה.
Lazarus Group גנבה 41 מיליון דולר במטבעות וירטואלים
ה-FBI פרסם שקבוצת Lazarus גנבה כ-41 מיליון דולר במטבע וירטואלי מ-Stake.com, פלטפורמת הימורים מקוונת. הגניבה, שהתרחשה לפי הערכות ב-4 בספטמבר 2023, יוחסה לקבוצת התקיפה הדרום קוריאנית Lazarus. הקבוצה עמדה מאחורי גניבה של מטבעות וירטואליים בהיקף כולל של למעלה מ-200 מיליון דולר בשנת 2023 בלבד. זה כולל כ-60 מיליון דולר שנגנבו מ-Alphapo ומ-CoinsPaid ב-22 ביולי 2023, וכ-100 מיליון דולר מארנק Atomic ב-2 ביוני 2023. בנוסף, משרד האוצר האמריקאי לבקרת נכסים זרים (OFAC) הטיל סנקציות על קבוצת Lazarus ב-2019.
המלצות להגנה :
ה-FBI ממליץ לגופים במגזר הפרטי לנקוט בצעדים הבאים כדי להגן על עצמם מפני גניבות מטבעות וירטואליים:
-
לעדכן את התוכנה שלהם בהקדם האפשרי, כולל את תוכנת אבטחת המידע שלהם.
-
להשתמש בתוכנות אנטי-וירוס וגניבת סיסמאות מתקדמות.
-
לאכוף מדיניות אבטחת מידע חזקה.
-
לבצע הדרכות אבטחת מידע לעובדים.
בנוסף, ה-FBI ממליץ לגופים במגזר הפרטי לעיין בייעוץ בנושא הגנת סייבר על TraderTraitor ולבחון את נתוני הבלוקצ'יין הקשורים לכתובות המטבע הווירטואלי שהוזכרו בכתבה. כמו כן, יש להיזהר מפני מעורבות בעסקאות ישירות עם כתובות אלו, או נגזרות מהן.
החשיבות של אבטחת מטבעות וירטואליים-
גניבות מטבעות וירטואליים הן תופעה הולכת וגוברת. קבוצות פשע מקוון משתמשות בטכניקות מתוחכמות כדי לגנוב מטבעות וירטואליים מגופים פרטיים וציבוריים.
ארגונים צריכים להיות מודעים לסיכון של גניבות מטבעות וירטואליים ולהיות מוכנים להגיב לאירועים כאלה. עליהם ליישם אמצעי אבטחה חזקים כדי להגן על מטבעות הווירטואליים שלהם.
סייבר בגופי בריאות
דלף מידע של IBM פוגע ביחידה של חב' ג'ונסון אנד ג'ונסון
ב-7 בספטמבר הודיעה חברת ג׳אנסן, המספקת שירותי בריאות (Johnson & Johnson Health Care Systems), כי נודע לה על חולשה העלולה לאפשר גישה בלתי מורשית למסד הנתונים של החברה הכולל מידע על משתמשים. ג׳אנסן הודיעו על כך לחברת IBM, שמנהלת את האפליקציה ומסד הנתונים של צד שלישי התומך בג׳אנסן. זו תיקנה את הבעיה מיידית יחד עם ספק מסד הנתונים, וערכה חקירה על מנת להעריך את היקף דלף המידע. בנוסף, IBM וספק המסד פעלו להעלות את רמת האבטחה כדי להפחית את הסיכוי להישנות של האירוע בעתיד. IBM זיהתה כי ב-2 באוגוסט 2023, בוצעה גישה לא מורשית למידע אישי במסד הנתונים, אך לא הצליחה להעריך את היקף דלף המידע. כתוצאה, IBM הודיעה ללקוחותיה ולמשתמשי ג׳אנסן על הפריצה ועל האפשרות שהמידע שלהם דלף. החברה מתמקדת בפיתוח ואספקת תרופות משפרות חיים, כולל עבודה עם לקוחות פרטיים, ממשלות וחברות ביטוח. לפי ההערכות, המידע שנחשף כולל שמות משתמשים, תאריך לידה, מידע על ביטוח בריאות, היסטוריה רפואית ותרופות ומידע נוסף שלוקחות הכניסו לאפליקציית ג׳אנסן. ידוע כי מספרי ביטוח לאומי ופרטים פיננסיים לא נכללו במסד הנתונים. IBM לא מצאה עדויות לשימוש לרעה במידע האישי, אבל כפיצוי על האירוע, מציעה ללקוחות שנפגעו שירותי ניטור אשראי בחינם למשך שנה..
ארה״ב: מתקפת כופרה על רשת של 3 בתי החולים במדינת קונטיקט-חשש לדלף מידע.
שלושה בתי החולים במדינת קונטיקט נפגעו בחודש שעבר ממתקפת כופר על ידי קבוצת התקיפה Rhysida, לפי פרסום של BleepingComputer. המתקפה אילצה את בתי החולים להפנות מטופלים למיון בבתי חולים אחרים למשך יותר מ-24 שעות. המתקפה ניתקה את הגישה לרשומות רפואיות מקוונות וגרמה לביטול ניתוחים אלקטיביים. קבוצת התקיפה Rhysida טוענת שגנבה עד חצי מיליון רשומות אישיות של מטופלים ועובדים בשלושת בתי החולים, אך טרם אושר שמידע אישי של מטופלים נחשף או שנעשה בו שימוש לרעה. במכתב שנשלח מעורך הדין של רשת בתי החולים לתובע הכללי של המדינה נטען שמערכות בית החולים טרם התאוששו במלואן, יותר מחודש לאחר התקיפה. מטעם חברת האם של בתי החולים נמסר כי אין מועד צפוי לשחזור המלא של המערכות.
סייבר בישראל
קבוצת Ballistic Bobcat תוקפת ארגונים בישראל באמצעות נוזקה חדשה
חוקרי ESET גילו לאחרונה שקבוצת התקיפה Ballistic Bobcat מנהלת קמפיין נגד ארגונים והצליחה עד כה ליצור backdoor ב-34 ארגונים שרובם המוחלט הוא בישראל. ה-backdoor נוצר באמצעות נוזקה בשם Sponsor, שלא נראתה לפניכן. העברת הנוזקה לקורבן נעשית בצורה אוטומטית, לאחר מציאת החולשות המתאימות על נכסי הקורבן לאחר סריקה. נוזקה זו מנצלת חולשות בשרתי Microsoft Exchange ומשתמשת בקבצי קונפיגורציה מוסתרים כדי להימנע מזיהוי מנועי Anti Virus. ב-16 ארגונים מתוך ה-34 שנוצלו, נמצאו כלי תקיפה של קבוצות תקיפה שונות, מה שמראה על חוסר הבנה ברור של עקרוות ההגנה של מערכות הארגון. קבוצת התקיפה Ballistic Bobcat מזוהה עם איראן ,ומתמקדת בעיקר בריגול סייבר וידועה גם בתור APT35 ,APT42 או Charming Kitten. קורבנותיה העיקריים של הקבוצה הם מוסדות חינוך, גופי בריאות, ומשרדי ממשלה. האזורים העיקריים בהם פועלת קבוצת התקיפה הם ארה״ב, מזרח התיכון וישראל.
ישראל: מתקפת סייבר על חברת Rapid Image
חברת Rapid Image הישראלית דיווחה בתאריך ה11.09.2023 על מתקפת סייבר, שבעקבותיה היא נאלצה לבצע ניתוק יזום של כל מערכות החברה. אתר החברה תיפקד בצורה חלקית, והודעה על מתקפת הסייבר נשלחה ללקוחות. בשלב זה, ועל פי נתונים ראשוניים לגבי תקיפת הסייבר, ישנה דרישת כופר להחלטת החברה, למרות שכעת לא ידוע כמות הכופר הדרש - וזהות התוקפים. חלק מן הלקוחות של רפיד אימג' סובלים מהמתקפה ואינם יכולים לעשות שימוש במערכות של החברה'. מבדיקה ראשונית עולה כי התוקפים לא הגיעו למידע של לקוחות ומטופלים. וקטור הכניסה היה ככל הנראה דרך חשבון ניהול בספק הענן עימו עובדת חברת Rapid , אך לא ידוע בנקודת זמן זו אם הגיעו דרך אותו ספק לחברות אחרות. להלן ההודעות אשר הופיעו באתר לאחר מתקפת הסייבר:
בתי החולים של חברת שירותי הבריאות פרוספקט מדיקל חוזרים למרחב הדיגיטלי, 40 יום לאחר מתקפת הסייבר
קבוצת תוכנת הכופר Rhysida תקפה את חברת שירותי הבריאות פרוספקט מדיקל הולדינגס מקליפורניה ב-3 באוגוסט. החברה נאלצה לעבור לעבודה ידנית ולסגור או לצמצם באופן משמעותי פעילות במחלקות חירום ובשירותים נוספים. החברה מסרה כי לקח כמעט שישה שבועות לשחזר את מערכות ה-IT שלה לאחר המתקפה. היא הודיעה כי "צוותי טכנולוגיית המידע של פרוספקט מדיקל עבדו מסביב לשעון כדי לשחזר בצורה מאובטחת את הגישה למערכות שלה כמה שיותר מהר ובטוח, ובאופן שהעמיד בראש סדר העדיפויות את היכולת שלנו לספק טיפול בחולים". קבוצת התקיפה Rhysida לקחה אחריות על המתקפה, ואף טענה כי מכרה מחצית מהנתונים שגנבה וכי היא מתכננת לפרסם חלקים נוספים. על פי מסמך ששוחרר לאחרונה על ידי משרד הבריאות האמריקאי, תוכנת הכופר של קבוצה זו אחראית לרוב רובן של התקיפות המתבצעות לאחרונה כנגד בתי חולים, מרפאות, קליניקות וארגונים שונים העוסקים בבריאות. בכדי להתמודד עם המצב פרוספקט מדיקל תספק הודעות לאנשים שהמידע האישי או הבריאותי המוגן שלהם מעורב, בהתאם לרגולציית.
סייבר ופרטיות - רגולציה ותקינה
הרשות להגנת הפרטיות מציעה להטיל אחריות על הדירקטוריון ליישום תהליכי בקרה במסגרת תקנות הגנת הפרטיות
הרשות להגנת הפרטיות פרסמה השבוע טיוטה של הנחיה חדשה, בעניין תפקיד הדירקטוריון בקיום חובות החברה תחת תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017. עמדת הרשות, כפי שהיא מתבטאת בטיוטה שפורסמה ב-10.9.2023, היא שבמקרים שבהם עיבוד מידע אישי מצוי בליבת הפעילות של החברה, או שפעילותה יוצרת סיכון מוגבר לפרטיות של נושאי מידע - דירקטוריון החברה הוא הגורם שנושא באחריות ליישום הדרישות הקבועות בתקנות. בנוסף, ההנחייה קובעת כי על דירקטוריון החברה מוטלת האחריות להחליט מי בחברה מוסמך לבצע את הדרישות הרגולטוריות, לרבות חובת הדיווח המיידי לרשות להגנת הפרטיות על קרות אירוע אבטחת מידע, יישום תהליכי פיקוח ובקרה פנים-חברתיים, וקביעת קווי מנחה למדיניות בדבר אופן השימוש במידע אישי בחברה. הציבור מוזמן להעביר התייחסויות לטיוטת ההנחיה עד ליום 22.10.2023.
הצהרת ה-G20 בניו דלהי: שיתוף פעולה חוצה גבולות מדינתיים לטובת פיתוח תשתיות דיגיטליות
ביום 9.9.2023 סיימו מנהיגי מדינות ה-G20 את כנס הפסגה השנתי בהצהרה משותפת שמציינת מספר נושאים בנוגע לאיתנות הסייבר (cyber resilience) של המדינות שב-G20. בין השאר, אימצו המדינות המשתתפות את ה-G20 Framework for Systems of Digital Public Infrastructure - תוכנית התנדבותית שמאפשרת בניית מערכת לאומית של תשתיות דיגיטליות; עקרונות לבניית כלכלה דיגיטלית לאומית; וערכת כלים לחינוך דיגיטלי של ילדים ונוער. בנוסף, הודו הציגה את יוזמתה בשם One Future Alliance, שמיועדת לאחד מאמצים גלובליים לבניית תשתית ציבורית דיגיטלית (DPI) מאובטחת. מדינות ה-G20 הן: אוסטרליה, איטליה, אינדונזיה, ארגנטינה, ארה"ב, ברזיל, גרמניה, דרום אפריקה, קוריאה הדרומית, הודו, בריטניה, תורכיה, יפן, מקסיקו, יפן, סין, ערב הסעודית, האיחוד האירופאי, קנדה וספרד. מדינות האיחוד האפריקאי הצטרפו בכנס שהסתיים עכשיו.
הגשת כתבי אישום של משרד המשפטים בארה"ב נגד חברי הקבוצות Conti ו-Trickbot, מלווה בהטלת סנקציות נגד המואשמים
משרד המשפטים האמריקאי (DOJ) פרסם שלושה כתבי אישום נגד חברי קבוצות התקיפה Trickbot ו-Conti, שאחראיות על מתקפות סייבר על בתי חולים וארגוני בריאות ברחבי ארצות הברית. לגבי הגשת כתבי האישום, אמר היועץ המשפטי מריל גרלנד: "משרד המשפטים נקט בפעולה נגד אנשים שלטענתנו פיתחו ופרסו תוכנית תוכנה זדונית מסוכנת, המשמשת בהתקפות סייבר על מחוזות בתי ספר אמריקאים, ממשלות מקומיות ומוסדות פיננסיים." גיבוש כתבי האישום היה מאמץ משותף בין ארה"ב ובריטניה. שתי המדינות התמקדו במאמץ משולב כדי לפרק את קבוצת התקיפה Conti אשר נקשרת לשירותי הביון הרוסים. בנוסף לכתבי האישום, גם סוכנות OFAC בארה"ב וגם ה- Office of Financial Sanctions Implementation בבריטניה הטילו סנקציות על חברי בקבוצות התקיפה. מדובר בהקפאמ נכסים פיננסיים שלהם, כנו גם הטלת איסורי נסיעה כדי להגביל את היכולות הפיננסיות והניידות שלהם. סוכנות הפשע הלאומית בבריטניה (National Crime Agency) ערכה חקירה מקיפה על קבוצת התקיפה, והיא מעריכה שהקבוצה סחטה לפחות 180 מיליון דולר מקורבנות ברחבי העולם, בתוכם 27 מיליון פאונד שנסחטו מ-149 קורבנות בבריטניה. בכדי לתמרץ עוד יותר את לכידתם של פושעים שעדיין נמצאים חופשיים, הציע משרד המשפטים פרס משמעותי של מיליוני דולרים עבור מידע שיוביל לתפיסתם. במקביל, משרד האוצר האמריקאי לבקרת נכסים זרים (OFAC) הטיל סנקציות על פושעי סייבר אלה, הקפיא את נכסיהם הממוקמים בתוך ארצות הברית ואסר על עסקאות הקשורות לאנשים אלו (שמות בקישור). פעולה זו מייצגת המשך של מאמצי שיתוף הפעולה בין ארה"ב לאנגליה במלחמה נגד פשעי סייבר ומתקפות כופרה.
המלצות להגנה:
הרשויות בבריטניה וה-FBI ממליצים לארגונים לנקוט בצעדים הבאים כדי להגן על עצמם מפני מתקפות כופר:
-
לבצע עדכוני תוכנה בהקדם האפשרי, כולל עדכוני מערכות הפעלה.
-
להשתמש בתוכנות אנטי-וירוס והגנה על עמדות קצה כמו EDR.
-
לאכוף מדיניות אבטחת מידע ואימות דו שלבי.
-
לבצע הדרכות אבטחת מידע לעובדים.
בנוסף, ארגונים צריכים להיות מודעים לסיכון של מתקפות כופר ולהיות מוכנים להגיב לאירועים כאלה. עליהם לפתח תוכנית חירום למתקפות כופר, הכוללת תוכנית גיבוי ותיקון.
(מתוך האתר הרשמי של ממשלת בריטניה)
התקפות סייבר: נקודת השיא של פשע כשירות
יורופול, ארגון אכיפת החוק האירופאי, פרסם דו"ח בנושא התקפות סייבר: נקודת השיא של פשע כשירות. המושג ״פשע כשירות״ (Crime-as-a-Service, או CaaS) מתאר את התופעה של "מיקור חוץ" (outsourcing) שמתבצע על ידי קבוצות האקרים לשיווק ומכירת הפוטנציאל לבצע פשעי הסייבר - בקרב פושעי סייבר אחרים. הדו״ח בוחן את התפתחויות העיקריות בהיבטי הפשיעה במרחב הסייבר במהלך שנת 2022, תוך התמקדות בסוגי מתקפות, מתודולוגיות ואיומים. הדו״ח מציג ארבעה ממצאי מפתח: (1) מתקפות סייבר מבוססות תוכנות זדוניות, לרבות כופרה, נותרו האיום הבולט ביותר, עם מרחב המתקפה וההשפעה הכלכלית הרחבה ביותר; (2) קבוצות כופר פועלות בשיטות סחיטה רב-שכבתית, כאשר גניבת מידע אישי רגיש וחשיפתו הפכו לאיום העיקרי; (3) הודעות פישינג, פרוטוקול שולחן העבודה המרוחק (RDP) וניצול פגיעות VPN הן שיטות החדירה הנפוצות ביותר על ידי פושעי סייבר; וגם (4) סוחרי גישה ראשונית (Initial Access Brokers – IABs), ״דרופרים כשירות״ (droppers-as-a-service), ומפתחי הצפנות הם הגורמים העיקריים בביצוע מתקפות סייבר. הדוח עוסק גם בהשפעות מלחמת רוסיה-אוקראינה על פשעים במרחב הסייבר, כאשר המלחמה הובילה לחיזוק משמעותי במתקפות DDoS נגד מטרות האיחוד האירופי.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, עמרי סרויה, דלית אלנטר, תמר מרדיקס, אורי וייס, מיתר בן-אבו, שי רז, יובל גורי, יוחאי מיארה, נויה פאר, דיאנה הס, דן גנור וארד דרורי.