דו״ח סייבר שבועי
עדכון שבועי 16.06.2022
עיקרי הדברים
-
האיראנים שוב על גדרות הסייבר? בהמשך לחשיפת ״קונפידס״ וחדשות 13 ב-2021: קמפיין ריגול איראני נגד בכירי ממשל בישראל באמצעות התחזות למייל של האלוף (מיל.) עמוס ידלין; נפרצה קבוצת ״גול טורס״ על ידי קבוצת התקיפה Sharp Boys, המזוהה עם איראן; קבוצת התקיפה Moses Staff טוענת שהשיגה גישה לרשתותיהן של ״חברת החשמל״ וחברות ישראליות נוספות - מבדיקת ״קונפידס״ עולה שמדובר בסרטון טוב אך בטענות שווא.
-
מיקרוסופט: עלייה בפופולריות של תוכנת הכופרה BlackCat - מתוחכמת, פועלת על מספר מערכות הפעלה וקשה לזיהוי ועצירה.
-
משרד המשפטים מפרסם טיוטת תוספת לצו איסור הלבנת הון, המיועדת לסווג עבירות מחשב כעבירות שנכנסות תחת חוק איסור הלבנת הון.
-
מחקר חדש של Sophos: כ-66% מהארגונים שחוו מתקפת סייבר ב-2021 נפגעו מכופרות; לארגונים שספגו התקפות לקח חודש להתאושש מהן, בממוצע; קבוצת הברוקרים Howden: מחירי פוליסות הסייבר עלו, חברות משקיעות יותר בהגנות; המלחמה באוקראינה הביאה לירידה במתקפות הכופרה.
-
אנו ממליצים לעדכן את המוצרים הבאים: ראוטרים של Cisco (קריטי); מוצרי SAP (קריטי); מוצרי Adobe (קריטי); מוצרי מיקרוסופט (קריטי); מוצרי Google (גבוה); מוצרי Drupal (גבוה); מווצרי Citrix.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכוני אבטחה למוצרי Google נותנים מענה ל-7 חולשות ברמת חומרה גבוהה
עדכון אבטחה של Drupal בעקבות חולשות ברמת חומרה גבוהה בספרייה של Guzzle
עדכוני האבטחה של מיקרוסופט לחודש יוני נותנים מענה לחולשות קריטיות במגוון מוצרים, בהם החולשה Follina
עדכוני אבטחה למוצרי Adobe נותנים מענה לחולשות קריטיות
עדכוני אבטחת למוצרי SAP נותנים מענה לחולשות קריטיות
עדכוני אבטחה ל-Citrix נותנים מענה ל-2 חולשות שטרם נקבעה רמת חומרתן
חולשה קריטית בראוטרים של Cisco עלולה לאפשר הרצת קוד מרחוק וביצוע מתקפת מניעת שירות; טרם פורסם עדכון אבטחה
עדכוני אבטחה של Cisco סוגרים חולשה במנגנון ההזדהות החיצוני של המייל המאובטח שלה
חולשה חדשה חושפת את כלל מעבדי Intel וחלק ממעבדי AMD למתקפת Side-channel
התקפות ואיומים
חוקרים מ-MIT גילו חולשה שאינה ניתנת לתיקון במעבדי M1 של Apple
Symbiote: הנוזקה ש(כמעט) אינה ניתנת לזיהוי
האקרים מנצלים חולשת Zero-day ב-Confluence וב-Data Center של Atlassian לכריית מטבעות קריפטוגרפיים
מחקר של Proofpoint חושף כיצד פושעי סייבר פועלים בתחום המטבעות הקריפטוגרפיים; ״ערכות פישינג״ נמכרות לכל דורש
קבוצת התקיפה GALLIUM הפועלת מטעם ממשלת סין מרחיבה את תקיפותיה למגזרים נוספים באמצעות כלי חדש
מיקרוסופט: עלייה בפופולריות של תוכנת הכופרה BlackCat
אפליקציות זדוניות גורפות מיליוני הורדות ב-Google Play
חולשה המאפשרת חטיפת נתונים רגישים נמצאה בדפדפנים Google Chrome ו-Microsoft Edge
השבוע בכופרה
מחקר חדש: 66% מהארגונים שחוו מתקפת סייבר ב-2021 נפגעו מכופרות; לארגונים שספגו התקפות לקח בממוצע חודש להתאושש מהן
מנוף לחצים מסוג חדש: קבוצת כופרה יוצרת אתר בו עובדי הקורבן יכולים לחפש אחר נתוניהם הגנובים
קבוצת הברוקרים ״האודן״: מחירי פוליסות הסייבר עלו, חברות משקיעות יותר בהגנות; המלחמה באוקראינה הביאה לירידה במתקפות הכופרה
סייבר בעולם
קבוצת התקיפה האיראנית Lyceum משתמשת ב-DNS Backdoor לתקיפת יעדים במזרח התיכון
חוקרים מצאו דרך לעקוב אחר מכשירים סלולריים באמצעות Bluetooth ו-Wifi
ארה״ב: תוקפים מתחזים למוסדות פיננסיים לשם גניבת פרטי התחברות לחשבונות
ה-CISA מוסיפה שלוש חולשות נוספות ל״קטלוג החולשות המנוצלות הידועות״
סייבר בישראל
מסתמן: קבוצת התיירות ״גול טורס״ נפרצה על ידי קבוצת התקיפה Sharp Boys המזוהה עם איראן
קמפיין פישינג פעיל מתחזה להודעה מדואר ישראל
בהמשך לחשיפת ״קונפידס״ אשתקד: קמפיין ריגול איראני נגד בכירי ממשל בישראל באמצעות מייל פרוץ של האלוף (מיל.) עמוס ידלין
קבוצת התקיפה Moses Staff טוענת כי השיגה גישה לרשתותיהן של ״חברת החשמל״ וחברות ישראליות נוספות; מבדיקת ״קונפידס״ עולה שמדובר בסרטון טוב אך בטענות שווא
תוצאות מבצע האכיפה הבינלאומי First Light 2022: אלפי עצורים ו-50 מיליון דולר מוחרמים
סייבר ופרטיות - רגולציה ותקינה
הקונגרס האמריקאי: התקדמות ביוזמתן של שתי המפלגות לחקיקת חוק הגנת פרטיות במישור הפדרלי; תוקם גם סוכנות פדרלית מפקחת
משרד המשפטים מפרסם טיוטת תוספת לצו איסור הלבנת הון המיועדת לסווג עבירות מחשב כעבירות שנכנסות תחת חוק איסור הלבנת הון
כנסים
הציטוט השבועי
״כתוצאה מאירוע הסייבר ב׳הלל יפה׳ לא היה מנוס מלצמצם פעילות של בית חולים. זה לימד אותנו שכמה שאנחנו חושבים שאנחנו מוכנים, אנחנו לא. בגלל הפרופיל של מערכת הבריאות, אנחנו מטרה לכל מי שרוצה לתקוף את ישראל או לגשת למידע רגיש חסוי מכל מניע זדוני שהוא.״
שר הבריאות ניצן הורוביץ, בכנס ״בית חולים תחת מתקפת סייבר״.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכוני אבטחה למוצרי Google נותנים מענה ל-7 חולשות ברמת חומרה גבוהה
העדכונים, הסוגרים חולשות מסוג Use-After-Free ו-Out-of-bounds Read שמקורן בניהול שגוי של הקצאת הזיכרון במערכת, רלוונטיים למוצרים הבאים:
Stable Channel Update for Desktop - גרסה 102.0.5005.115 למערכת ההפעלה Windows (עדכונים למערכות ההפעלה Linux ו-Mac יפורסמו בקרוב).
Dev Channel Update For Desktop - גרסה 104.0.5110.0 למערכות ההפעלה Linux, Windows ו-Mac.
Beta Channel Update for Desktop - גרסה 103.0.5060.42 למערכות ההפעלה Linux, Windows ו-Mac.
Chrome Dev for Android - גרסה 104.0.51808.0.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.
עדכון אבטחה של Drupal בעקבות חולשות ברמת חומרה גבוהה בספרייה של Guzzle
Drupal משתמשת בספרייה של Guzzle לטיפול בבקשות ותגובות HTTP עבור שירותים חיצוניים. החולשות (CVE-2022-31042, CVE-2022-31043) שנמצאו בספרייה, אשר ציון ה-CVSS שלהן צפוי לעמוד על 7.5, אינן משפיעות על Drupal באופן ישיר, אך הן עלולות לפגוע בפרויקטים או בקודים ספציפיים באתרי Drupal. ניצול החולשות על ידי תוקף עשוי להקנות לו שליטה מרחוק באתר הקורבן.
העדכון תקף לגרסאות המוצר הבאות:
Drupal 9.4 - יש לעדכן לגרסה Drupal 9.4.0-rc2
Drupal 9.3 - יש לעדכן לגרסה 9.3.16
Drupal 9.2 - יש לעדכן לגרסה 9.2.21
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם לגרסתו האחרונות.
עדכוני האבטחה של מיקרוסופט לחודש יוני נותנים מענה לחולשות קריטיות במגוון מוצרים, בהם החולשה Follinaהעדכון, שפורסם ב-14 ביוני, מגיעים על רקע סיום התמיכה בדפדפן Internet Explorer, וסוגר 60 חולשות במערכת ההפעלה Windows ובמוצרים נוספים של החברה, 28 מהן הן חולשות הרצת קוד מרחוק (RCE). בין החולשות מצויה גם חולשת Zero-day ב-Microsoft Office, שמזה חודשיים מנוצלת על ידי האקרים. שלוש מהחולשות שתוקנו הן קריטיות, ועלולות לאפשר לתוקף להריץ קוד מרחוק (RCE) ולקבל שליטה מלאה על מערכת נגועה. החולשה הקריטית ביותר (CVE-2022-30190), לה העניק החוקר קווין בומונט את השם Follina (ראו ״הסייבר״, 2.6.22 ו״הסייבר״, 9.6.22), מצויה בכלי האבחון והתמיכה של מיקרוסופט (MSDT), המובנה במערכת ההפעלה Windows. החולשה Follina אינה ניתנת לזיהוי על ידי אנטי-וירוס, מכיוון שאינה מנוצלת באמצעות פקודות מאקרו, אלא על ידי פתיחת קובץ Office המפעיל קובץ HTML משרת מרוחק שמשתמש ב-MSDT, על מנת להריץ קוד מרחוק. לדברי בומונט, חולשה מקומית דומה בתוכנת Microsoft Teams דווחה למיקרוסופט כבר ב-2021 ותוקנה על ידי החברה בחשאי, ללא תיקון כולל של ה-MSDT. דיווח נוסף בנוגע ל-MSDT התקבל ב-2022, אך מיקרוסופט סגרה את הפנייה בטענה שלא מדובר בבעיית אבטחה. מנכ״ל Tenable, עמית יורן, כתב בחשבון הלינקדאין שלו כי ״עד לרגע זה, לקוחות מיקרוסופט לא קיבלו הודעה [בנושא]. [...] ללא חשיפה מפורטת בזמן, ללקוחות אין מושג אם הם היו או עודם פגיעים להתקפה… או אם נפלו קורבן למתקפה לפני תיקון החולשה. אי-יידוע לקוחות שולל מהם את ההזדמנות לחפש ראיות לכך שנפגעו או לא נפגעו, זוהי מדיניות חסרת אחריות בעליל״. בבלוג Krebs on Security ממליץ בריאן קרבס לעיין בסיכום התיקונים של SANS, ולעכב את הטמעת העדכונים בכמה ימים, עד שמיקרוסופט תפתור את התקלות שהתגלו בהם. עוד ממליץ קרבס לשקול לגבות מערכות, או לכל הפחות את המסמכים והנתונים החשובים, לפני החלת עדכוני המערכת.
צוות קונפידס ממליץ למשתמשים במוצרי מיקרוסופט לעדכן את המוצרים בהקדם דרך ממשק העדכון האוטומטי. לארגונים מומלץ לבחון בסביבת ניסוי את התאמת העדכונים למערכותיכם, ולהתקינם בהקדם האפשרי.
עדכוני אבטחה למוצרי Adobe נותנים מענה לחולשות קריטיות
העדכונים רלוונטיים למוצרים הבאים:
Adobe Animate - נסגרה חולשה (CVE-2022-30664, CVSS 7.8) העלולה לאפשר לתוקף להריץ כל קוד או לבצע כל פקודה על העמדה ללא ידיעת המשתמש. החולשה משפיעה על גרסה 22.0.5 ומטה. יש לעדכן לגרסה 21.0.11 ב-Adobe Animate 2021, ולגרסה 22.0.6 ב-Adobe Animate 2022.
-
Adobe Bridge - נסגרו 12 חולשות, 11 מהן קריטיות ועלולות לאפשר לתוקף להריץ כל קוד או לבצע כל פקודה על העמדה ללא ידיעת המשתמש, לערוך קבצי מערכת ולהדליף זיכרון. החולשות משפיעות על גרסה 12.0.1 ומטה. יש לעדכן לגרסה 12.0.2.
-
Adobe Illustrator - נסגרו 17 חולשות, 13 מהן קריטיות ועלולות לאפשר לתוקף להכניס קלט לא תקין, להשפיע על זרימת הבקרה וזרימת הנתונים של התוכנה, לערוך קבצי מערכת ולפרוץ לתוכנה על ידי שימוש בחולשה הקשורה לשימוש לא נכון בזיכרון דינמי במהלך פעילותה. החולשות משפיעות על גרסה 26.0.2 ומטה של Illustrator 2022 ועל גירסה 25.4.5 ומטה של Illustrator 2021. יש לעדכן לגרסה 26.3.1 ב-Illustrator 2022 ולגרסה 25.4.6 ב-Illustrator 2021.
-
Adobe InCopy - נסגרו 8 חולשות, כולן קריטיות ועלולות לאפשר לתוקף להשחית מידע, לערוך קבצי מערכת ולהריץ קוד. החולשות משפיעות על גרסאות 17.2, 16.4.1 ומטה. יש לעדכן לגרסאות 17.3, 16.4.2.
-
Adobe InDesign - נסגרו 7 חולשות, כולן קריטיות ועלולות לאפשר לתוקף להשחית מידע ולהריץ קוד. החולשות משפיעות על גרסאות 17.2.1, 16.4.1 ומטה. יש לעדכן לגרסאות 17.3, 16.4.2.
-
RoboHelp Server - נסגרה חולשה (CVE-2022-30670, CVSS 6.5) העלולה לאפשר לתוקף לבצע העלאת הרשאות יתר. החולשה משפיעה על גירסה RHS 11 Update 3. יש לעדכן ל-RHS 11 (ה-Update 3).
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכוני אבטחת למוצרי SAP נותנים מענה לחולשות קריטיות
העדכונים שפורסמו סוגרים במוצרים 10 חולשות ברמות חומרה שונות, בהן חולשה קריטית (CVSS 10) הרלוונטית למוצר SAP Business Client בגרסה 6.5. מקור החולשה בפגיעות במוצר צד ג׳ (Google Chromium), העלולה לאפשר לתוקף להזריק קוד זדוני לגורם מחוץ לגבולות הזיכרון, ובכך להביא ל-Overflow ולהשבתת המערכת. חולשה זו ב-Chromnium דווחה עוד באפריל 2018, וכעת פורסם לה תיקון נוסף. עדכון אחר נותן מענה לחולשה (CVE-2022-27668, CVSS 8.6) ברמת חומרה גבוהה במוצרים SAP NetWeaver ו-ABAP Platform (גרסאות קרנל 7.49, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC ,7.49 ,7.88) ובראוטרים של SAP (גרסאות 7.53, 7.22).
צוות קונפידס ממליץ למשתמשים במוצרי SAP להתעדכן ברשימת החולשות המלאה ולעדכן את המכשירים לגרסאותיהם האחרונות.
עדכוני אבטחה ל-Citrix נותנים מענה ל-2 חולשות שטרם נקבעה רמת חומרתן
החולשה הראשונה (CVE-2022-27511) הנסגרת בעדכון עלולה לאפשר לתוקף גישה מרחוק לאיפוס סיסמה של משתמש אדמין״ במערכת, זאת במידה ומצויה בידי התוקף כתובת ה-IP של ה-Citrix Application Delivery Management. החולשה השנייה (CVE-2022-27512) שנסגרת בעדכון עלולה לאפשר לתוקף לשבש את שירות ה-ADM License ולהוביל לשיבושים במערכת, אך גם זאת רק במידה ויש לתוקף גישה לכתובת ה-IP של ה-Citrix Application Delivery Management. לדברי החברה, כל הגרסאות של שרת ה-Citrix ADM והאייג׳נטים של Citrix ADM פגיעים לחולשות, ויש לעדכנן לגרסאות הבאות:
Citrix ADM 13.1-21.53 וגרסאות מאוחרות מ-13.1
Citrix ADM 13.0-85.19 וגרסאות מאוחרות מ-13.0
צוות קונפידס ממליץ לבעלי המוצרים לעדכן את כל השרתים ואת כל האייג׳נטים שבשימוש לגרסאותיהם האחרונות.
החולשה (CVE-2022-20825, CVSS 9.8) שהתגלתה בממשק הניהול האינטרנטי של הראוטרים ועשויה לאפשר השגת שליטה מלאה על מערכת פגיעה בקלות יחסית, רלוונטית למוצרים הבאים:
RV110W Wireless-N VPN Firewall
RV130 VPN Router
RV130W Wireless-N Multifunction VPN Router
RV215W Wireless-N VPN Router
מקורה של החולשה בניהול לא נכון של קלט המתקבל מהמשתמש בבקשת HTTP נכנסת, דבר אשר יכול להיות מנוצל על ידי תוקף לשליחת בקשות HTTP זדוניות לממשק הניהול האינטרנטי של הראוטרים ולהרצת קוד ברמת Root. נכון לשעה זו אין מעקף לחולשה, וכל שניתן לעשות הוא לתת לה מענה באמצעות עדכון הקושחה.
צוות קונפידס ממליץ למשתמשי המוצרים לבצע עדכון קושחה בהקדם, על פי הוראות היצרן.
עדכוני אבטחה של Cisco סוגרים חולשה במנגנון ההזדהות החיצוני של המייל המאובטח שלה
החולשה במנגנון ההזדהות של ה-Cisco Security Management Appliance עלולה לאפשר לתוקף מרוחק לעקוף את מנגנון האימות ולהכנס לממשק הניהול האינטרנטי של מכשירים עליהם היא משפיעה. מקור החולשה הוא בביצוע בדיקות אימות שגויות כשמכשיר פגיע משתמש ב-LDAP, פרוטוקול המשמש לאחזור ואחסון נתונים, בין היתר במנגנוני אימות חיצוניים. ניצול החולשה אפשרי על ידי הזנת קלט מסוים בדף הכניסה לממשק מכשיר פגיע.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.
חולשה חדשה חושפת את כלל מעבדי Intel וחלק ממעבדי AMD למתקפת Side-channel
החולשה (Intel: CVE-2022-24436, CVSS 6.3; AMD: CVE-2022-23823), העלולה לאפשר גניבת מידע משבבים או ממערכות באמצעות ניתוח פרמטרים פיזיים, התגלתה על ידי קבוצת חוקרים מאוניברסיטת טקסס שבאוסטין. חולשת ה-Side-channel החדשה, שזכתה לכינוי Hertzbleed, מאפשרת לתוקפים מתוחכמים לגנוב מפתחות קריפטוגרפיים מלאים באמצעות צפייה וניתוח שינויי תדר המעבד, ולדברי החוקרים מקורה בשינוי הדינמי של התדר במעבדי x86 כתלות בסוג המידע שעובר עיבוד. ״במעבדים מודרניים מסוג זה, אותה התוכנה יכולה ׳לרוץ׳ על שני תדרים שונים כאשר היא מחשבת, לדוגמה, את התרגיל 2022 + 23823 לעומת 2022 + 24436״, הסבירו החוקרים. נכון לשעה זו, אין בכוונתן של Intel ו-AMD לפרסם עדכונים לטיפול בחולשות, והן מסתפקות בהמלצה למפתחי תוכנה לעקוב אחר פרסומיהן על מנת להגן על תוכנות עתידיות מפני Hertzbleed. מהלך זה נובע מכך שטיפול בחולשה יצריך נקיטתת צעד קיצוני, בדמותו של כיבוי אפשרות הגברת התדר, תכונה ש-Intel ו-AMD מכנות "Turbo Boost" ו-״Turbo Core", בהתאמה. אפשרות זו ניתנת לכיבוי ידני דרך ה-BIOS בעת העלאת המחשב, אך הדבר יפגע משמעותית בביצועי המעבד.
התקפות ואיומים
חוקרים מ-MIT גילו חולשה שאינה ניתנת לתיקון במעבדי M1 של Apple
חולשת החומרה שהתגלתה במעבדים, אשר קיבלה את הכינוי PACMAN, עלולה לאפשר לתוקפים להריץ קוד זדוני על מחשבי Mac בעלי המעבד האמור, תוך עקיפת מנגנון האימות PAC - Pointer Authentication Codes. מנגנון זה מהווה שכבת הגנה שהוכנה עבור ארכיטקטורת מערכת מסוג arm64e, במטרה להגן על שינויים ל״מצביעים״ שנעשים בקוד על ידי ניסיונות Brute-force ל-Hash של החתימה. בכך נעקף מנגנון האבטחה וגורם למערכת לאבד את יכולתה להבדיל בין חתימה תקינה ללא-תקינה.
כברירת מחדל במנגנון, כאשר ישנה שגיאה באימות ה-PAC, האפליקציה קורסת מחשד להשחתת זיכרון, עובדה המנוצלת על ידי תוקפים לנסות Hash-ים שונים ומרובים, על מנת לגלות מהו ה-PAC הנכון. בכך הם עוקפים את מנגנון הגנת הזיכרון ARM Pointer Authentication, שבאמצעותו נחתמים ״מצביעים״ עם הצפנת ערכיהם, כך שהחתימה נבדקת לפני שנעשה במצביע שימוש. לדברי החוקרים, מנגנון החומרה בו עושה PACMAN שימוש אינו יכול להיות מתוקן על ידי עדכון תוכנה, אך ניתן לבצע עדכון שיתקן באגים הגורמים להשחתת זיכרון. ניצול החולשה מצריך את קיומם של שני תנאים: מעבד M1 ובאג במערכת הגורם להשחתת זיכרון. על כן, ניתן להתמגן מפני החולשה על ידי הטמעה מהירה של עדכוני האבטחה המפורסמים על ידי Apple. בתוך כך, למרות שהדבר דווח ל-Apple עוד ב-2021, טרם נצפה ניצול של PACMAN.
צוות קונפידס ממליץ לשמור על מערכות הפעלה מעודכנות לגרסאותיהן האחרונות.
Symbiote: הנוזקה ש(כמעט) אינה ניתנת לזיהוי
הנוזקה, שהתגלתה לאחרונה, תוקפת שרתי Linux, מדביקה את כל התהליכים הפועלים במערכות שנפגעו ובנוסף להסתרת פעילות זדונית במכונה, היא אוספת שמות משתמש וסיסמאות ומספקת גישה מרחוק לתוקף. האיום החדש אותר ונותח על ידי חוקרי BlackBerry ו-Intezer Labs, שעבדו במשותף כדי לחשוף את כל היבטי התוכנה הזדונית בדוח טכני מפורט שפרסמו.
לאחר ש-Symbiote מזריקה עצמה לכל התהליכים הפועלים בעמדה, היא פועלת כטפיל ואינה מותירה סימני זיהוי שניתן לאתרם, גם לא בבדיקות מעמיקות. הנוזקה משתמשת בפונקציונליות החיבור של (BPF (Berkeley Packet Filter על מנת ״לרחרח״ תעבורת רשת ולהסתיר את ערוצי התקשורת שלה מכלי אבטחה שונים שעלולים לזהותה. עוד חשפו חוקרי האבטחה שכאשר הנוזקה מחדירה עצמה לתהליכים, היא יכולה לבחור אילו תוצאות להציג, כלומר אם מנהל מערכת יחל לבדוק תעבורת רשת במחשב הנגוע כדי לחקור תעבורה חשודה, Symbiote תחדיר עצמה לתהליך של תוכנת הבדיקה ותשתמש ב-BPF hooking כדי לסנן תוצאות שיחשפו את פעילותה.
נוסף על הסתרת פעילותה באופן שכמעט אינו מאפשר את זיהויה, הנוזקה מעניקה למפעיליה גישת SHH מרחוק למכונה באמצעות שירות ה-PAM, ובכך אף מאפשרת לתוקף להשיג הרשאות Root במערכת. הנוזקה החמקנית משמשת בעיקר לקצירת אישורים אוטומטית ממכשירי Linux פרוצים על ידי חיבור הפונקציה libc read.
במהלך המחקר, עלה קשר בין הנוזקה ל-NSA VM, שמשתמשת בטכניקת ה-BPF, בה משתמשת Symbiote להסתרת עקבותיה שלה ברשת.
לדברי החוקרים, מספרם של האיומים המתקדמים והחמקניים מסוג זה המשמשים בהתקפות נגד מערכות מבוססות Linux צפוי לעלות באופן משמעותי בתקופה הקרובה, מכיוון שרשתות ארגוניות גדולות וארגונים חשובים משתמשים בארכיטקטורה זו באופן נרחב.
שמות הדומיינים שבהם משתמשת התוכנה הזדונית של Symbiote מתחזים לכמה בנקים גדולים בברזיל, דבר המצביע על כך שבנקים אלה או לקוחותיהם הם יעדיה הפוטנציאליים של הנוזקה.
בין הדומיינים המקושרים לנוזקה ניתן למצוא את אלה:
-
assets[.]fans
-
caixa[.]cx
-
dpf[.]fm
-
bancodobrasil[.]dev
-
cctdcapllx0520
-
cctdcapllx0520[.]df[.]caixa
-
webfirewall[.]caixa[.]wf
-
caixa[.]wf
בכדי להתגונן מפני הנוזקה ניתן להשתמש בטלמטריית רשת לזיהוי בקשות DNS חריגות, ובכלי אבטחה כגון אנטי-וירוס (AVs) ו-EDRs. עוד מומלץ להזין את ה-IOCs של הנוזקה במערכות הגנה, לגילוי יעיל יותר.
(מקור: מחקר Intezer, 9.6.2022 )
האקרים מנצלים חולשת Zero-day ב-Confluence וב-Data Center של Atlassian לכריית מטבעות קריפטוגרפיים
קבוצות תקיפה נצפו מנצלות את החולשה (CVE-2022-26134) שהתגלתה בסוף מאי ותוקנה ב-3 ביוני (ראו ״הסייבר״, 9.6.22), ואשר מאפשרת להריץ קוד מרחוק על ידי שימוש ב-OGNL Injection, בין היתר לשם התקנת תוכנות כרייה על שרתים ומחשבים פגיעים. עד כה פורסמו מספר דרכים מוכחות לניצול החולשה, דבר המאפשר את ניצולה הפשוט על ידי תוקפים, בהם גם קבוצת ההאקרים הסינית gangג 8220, העוסקת בכריית מטבעות קריפטו וידועה ככזו שמטרתה להתקין תוכנות כרייה על עמדות פגיעות, ואשר לשם כך ביצעה סריקות המוניות לאיתור שרתים ועמדות קצה פגיעים.
החולשה עלולה להיות מנוצלת במערכת מבוססות Windows ו-Linux כאשר אופן ההדבקה והרצת הקוד הזדוני משנה בהתאם למערכת המותקפת. במערכות מבוססות Window, התוקף שולח בקשת HTTP מנוסחת על מנת להריץ סקריפט PowerShell שמוודא את ארכיטקטורת המעבד, על מנת לראות שהמערכת עומדת בדרישות. לאחר מכן הוא מוריד קובץ בשם checkit2 לספרייה זמנית ומריץ אותו במצב נסתר. הפעלת הקובץ מפעילה תהליך נוסף בשם InstallUtil.exe, שמתחבר לשרת ה-C&C של התוקף ואז יוצר עוד תהליך, AddInProcess.exe, שהינו בפועל תוכנת הכרייה. התוכנה מורידה עותק נוסף של עצמה בעל שם אחר (cloud.exe) לתיקייה ההפעלה של המחשב, דבר שמביא לכך שהתוכנה תעלה מחדש עם הפעלת המחשב.
במערכות מבוססות Linux, המתקפה מתחילה באותו האופן - עם בקשת HTTP - אך הפעם הבקשה מכילה מחרוזת בפורמט base64, שהפעלתה מייצרת מחרוזת base64 מוצפנת נוספת שמורידה סקריפט Bash בשם xms משרת ה-C&C של התוקף לתיקייה זמנית במערכת המותקפת. לאחר הרצת הסקריפט הוא נמחק והקובץ xms משמש כ-Dropper המסיר מהמערכת המותקפת אייג׳נטים שמשמשים לניטור.
מלבד זאת, הקובץ מוסיף את עצמו ל-CronJobs כדי לעלות בחזרה בהתבצע אתחול. דבר נוסף שמבצע הסקריפט הוא בדיקה תמידית של חיבורי רשת, בניסיון להדביק מערכות נוספות באמצעות חיפוש מפתחות SSH וניסיון התחברות אליהם. חשוב להגיש שמתקפה מסוג זה מביאה למיצוי כוח העיבוד של המערכת, לבלאי מוגבר של החומרה ולפגיעה בהמשכיות העסקית. זאת ועוד, בנוסף להתקנת התוכנה, התוקפים עלולים לשדרג את מתקפתם בכל רגע נתון, היות וכבר השיגו אחיזה במערכת. עוד נצפה ניצול של החולשה להתקנת Web shells, ליצירת משתמשי אדמין, לביצוע פקודות ואף להשתלטות מלאה על שרתים. רשימת IOCs מלאה ניתן למצוא כאן.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
דוח של חברת Proofpoint מציג את הדרכים והשיטות בהם משתמשים גורמים זדוניים לגניבת מטבעות קריפטוגרפיים. קבוצות תקיפה והאקרים ידועים בשימוש הנרחב שהם עושים במטבעות קריפטוגרפיים שונים, זאת בעיקר בשל מידת האנונימיות הרבה שהדבר מאפשר, והאפשרות להסתיר את הפעולות מעיני ממשלות וגופי האכיפה. עם זאת, בשנים האחרונות תפסו מטבעות הקריפטו תאוצה, והשימוש בהם רווח גם בקרב קהל שאינו זדוני. בהתאם לכך, כיום לאזרחים מן השורה יש ארנקים דיגיטליים, בהם מאוחסנים מטבעות דיגיטליים שונים. בדוח החדש מדגימים החוקרים כיצד דרכי גניבת מידע הפופולריות אצל קבוצות התקיפה נשארות זהות גם כשמדובר בעולם הקריפטו, וניתן לראות שקמפייני הפישיניג נותרים שיטת התקיפה הרווחת ביותר כאן. במקרים רבים, מיילים המגיעים למייל של הקורבן מתחזים להודעות רשמיות מצד בורסות של מטבעות קריפטוגרפיים או חברות המציעות ארנקי קריפטו דיגיטליים. במאי 2022, למשל, גורם זדוני שלח לדוברי פורטוגזית בברזיל מיילים שהתחזו לדיוור רשמי של בורסת Binance הפופולרית. המייל נראה בדיוק כמו מייל רשמי של הארגון, ואף מפנה לעמוד נחיתה המבקש מהקורבן ״לחבר״ את הארנק הדיגיטלי שלו (MetaMask או SafePal, למשל) באמצעות הכנסת ה-Seed Phrase של הארנק. באמצעות ה-Seed Phrase, התוקף יכול, כמובן, לקבל גישה מלאה לארנק הקורבן ולכל המטבעות שנמצאים בתוכו. יצירת מיילים כאלה כבר אינה בגדר עבודה קשה, עקב הזמינות והפופולריות של Phish Kits - כלים ליצירת מיילי פישינג שנראים בדיוק כמו ״המקור״ ואף מאפשרים אינטראקטיביות, כגון הכנסת פרטים כמו Seed Phrase או פרטי התחברות לבורסה/ארנק, כך מדווחת Proofpoint.
עוד שיטה פופולרית בה משתמשים התוקפים היא, כמובן, BEC, או Business Email Compromise. אמנם לא תמיד יש קשר בין BEC לבין רצון התוקף לגנוב מטבעות קריפטוגרפיים, אך ברוב המקרים, כמו למשל בפריצה לחשבונותיהם ארגונים, הוא יעדיף לקבל את התשלום באמצעותם, בעיקר בשל התכונות שנזכרו לעיל. מלבד ניסיונות סחיטת כספי כופרה, ניתן לראות גם ניסיונות התחזות לגורמים בחברה, כמו מנכ״ל או מנהל, בהם התוקף מבקש מהקורבן להעביר כספים על מנת לשלם לספק או לשותף במטבעות דיגיטליים. טרנד מעניין נוסף המופיע בדוח הוא שימוש באירועים אקטואליים לזיוף בקשות תרומה לארגוני צדקה, לדוגמה, מייל בו נטען שמתבצע קמפיין התרמה עבור אזרחי אוקראינה, וכולל מספר דרכים להעברת ״תרומה״ במטבעות קריפטוגרפיים. דרך נוספת שעדיין נמצאת בשימוש אך נראה שמאבדת מהפופולריות שלה, היא גניבת מידע מארנקים קרים באמצעות כלי גניבת מידע (infostealers). לרוב, הכלי שמפעיל התוקף יחפש על מחשב הקורבן קבצים כמו wallet.dat, המכילים מפתחות פרטיים וציבוריים, היסטוריית העברות וכתובות ארנקים של קורבנות.
מלבד הגברת הערנות והחינוך לפישינג ברשת, ניתן להתגונן מפני ניסיונות גניבה ותקיפות באמצעות הטמעת כלים כמו EDR, המסוגל לזהות ולנטרל נוזקות, כופרות ורוגלות ואף למנוע פעולה מוצלחת של Infostealers למיניהם. שכבות הגנה מעולות נוספות הן MDM למיניהן, המסוגלות לזהות דפי פישיניג על המכשירים הניידים, בהם במקרים רבים מתבצעות העברות קריפטו.
למידע נוסף חייגו לחמ״ל הסייבר של קונפידס - 8272*.
קבוצת התקיפה GALLIUM הפועלת מטעם ממשלת סין מרחיבה את תקיפותיה למגזרים נוספים באמצעות כלי חדש
מחקר שפורסם על ידי Unit 42, יחידת המחקר של Palo Alto Networks, חושף כי הקבוצה, המוכרת גם כ-Softcell, וידועה בתקיפה של חברות תקשורת בדרום מזרח אסיה, באירופה ובאפריקה, הרחיבה את פעילותה לתקיפת מוסדות פיננסיים וארגונים ממשלתיים הממוקמים באפגניסטן אוסטרליה, בלגיה, קמבודיה, מלזיה, מוזמביק, הפיליפינים, וייטנאם ורוסיה.
הקבוצה משתמשת בטרויאני חדש בשם PingPull, שטרם נצפה בעבר. PingPull הינו סוס טרויאני מבוסס ++Visual C, המספקת לתוקפים יכולת גישה מרחוק באמצעות Reverse Shell, ובכך מאפשרת להם להריץ פקודות זדוניות על עמדת הקורבן. לדברי החוקרים, PingPull בולטת בכך שהיא משתמשת ב-(Internet Control Message Protocol (ICMP לתקשורת עם שרתי הבקרה והשליטה (C2), מה שמקשה על זיהויה. עוד נצפו גרסאות PingPull המסתמכות על HTTPS ו-TCP לתקשורת עם שרת ה-C2 ביחס ליותר מ-170 כתובות IP המשויכות לקבוצה מאז סוף 2020.
למרות שהשימוש ב-ICMP Tunneling אינו בגדר טכניקה חדשה, PingPull משתמשת ב-ICMP על מנת להקשות על זיהוי תקשורת ה-C2 שלה, שכן מעטים הארגונים המיישמים ברשתותיהם בדיקה של תעבורת ICMP. בשעה זו לא ברור כיצד נפרצו הרשתות שנתקפו, אך ידוע שהקבוצה מנצלת יישומים חשופים לאינטרנט להשגת דריסת רגל ראשונית ברשתות ארגונים ולפריסת Web shell של China Chopper על מנת לבסס בהן גישה קבועה.
בין הדומיינים המקושרים לתקיפות:
micfkbeljacob[.]com
df.micfkbeljacob[.]com
jack.micfkbeljacob[.]com
hinitial[.]com
t1.hinitial[.]com
v2.hinitial[.]com
v3.hinitial[.]com
v4.hinitial[.]com
v5.hinitial[.]com
goodjob36.publicvm[.]com
goodluck23.jp[.]us
helpinfo.publicvm[.]com
Mailedc.publicvm[.]com
צוות קונפידס ממליץ להזין במערכות ההגנה של ארגונים את ה-IOCs המופיעים במחקר המלא.
מיקרוסופט: עלייה בפופולריות של תוכנת הכופרה BlackCat
רשומת בלוג שפרסמו חוקרי החברה מתייחסת לגידול בשימוש שעושות בכופרה קבוצות תקיפה, ככל הנראה בשל היותה בנויה בשפת התכנות Rust: מכיוון ששפה זו כמעט ואינה משמשת בעולם הכופרה, כלי ההגנה המודרנים עדיין מצויים בתהליך של אדפטציה אליה, וייתכן שחלקם לא יזהו אותה. כמו כן, הדבר מקשה על גופי אבטחת מידע לבצע פירוק של קבצי ההפעלה (Reversing) לחקירת הנוזקה עצמה.
בתוך כך, החוקרים מעריכים ששיח פומבי נרחב על כופרות כגון Hive גרם לתוקפים לעבור לנוזקות כופר מוכרות פחות. BlackCat (המכונה גם ALPHV) הינה נוזקה גמישה וביכולתה לתקוף את מערכות ההפעלה Linux ו-Windows כאחד, כמו גם סוגים שונים של מכונות וירטואליות של VMware. עוד מתהדרת הנוזקה ביכולת הפצה עצמית ברשת, מה שהופך אותה לכלי אפקטיבי עבור תוקפים, והיא מסוגלת לבצע UAC Bypass, מה שמקנה לה יכולת לרוץ גם דרך משתמש ללא הרשאות אדמין, ובכך להצפין בהצלחה את העמדה הנתקפת. יכולת נוספת של הנוזקה מתבטאת בביצוע אנומרציה על המכשיר ועל דומיין סביבת ה-Active Directory, כך שהפצתה מתבצעת בצורה יעילה יותר. הנוזקה אף מקשה על תהליכי החזרת הארגון לפעילות, על ידי עריכת ה-Boot loader לביטול תהליך שחזור, למחיקת Shadow copies בהם נעשה שימוש לביצוע שחזור ולמחיקת ה- Event logs מהמכונה, דבר המקשה על תהליך הפורנזיקה. הנוזקה משמשת לסחיטה כפולה של בעלי עסקים, כלומר הן להדלפת מידע מהארגון וגם להצפנת הרשת המקומית.
BlackCat פועלת במודל של RaaS, או כופרה כשירות, כאשר יוצריה מפעילים סוכנים או שותפים המשלמים עבור שימוש בתשתית הנוזקה. לאור הגידול בפופולריות הנוזקה, קבוצות תקיפה רבות החלו להשתמש בה, בהן DEV-0504, DEV-0237 ו-FIN-12. מכיוון שלכל קבוצת תקיפה יש טקטיקות, טכניקות ותהליכים משלה, צורת החדירה לאירגון וההתפשטות בו משתנה מאירוע לאירוע. צורות הפריסה השונות באות לידי ביטוי גם באופן הגישה הראשונית לארגון, כאשר בחלק מהמקרים הגישה מתבצעת על ידי אפליקציות גישה מרחוק, ובאחרים על ידי שימוש בסיסמאות שהודלפו או בחולשות בשרתי מייל מסוג Exchange שאינם מעודכנים.
עצם צורת ההתפשטות השונה מקשה על גופי אבטחת מידע ועל הצוותים המגנים על החברות. לאחר שהתוקפים מתפשטים ברשת ומגיעים למסקנה שאחיזתם בה מספקת, הם מפיצים את הנוזקה בארגון על ידי שימוש בכלי ה-PsExec של מיקרוסופט, שנועד להרצה מרחוק של קוד PowerShell על מחשבים מבוססי Windows.
לדברי לשכת החקירות הפדרלית (FBI), לפחות 60 ארגונים ברחבי אפריקה, אמריקה, אסיה ואירופה נפגעו מ-BlackCat בין נובמבר 2021 למרץ 2022, אך ההערכות הן שמדובר במספרים גדולים בהרבה, שכן ל-ID ransomware (אתר המזהה סוגי כופרות שהדביקו רשתות) הועלו 484 דגימות שלה בין דצמבר 2021 לינואר 2022. לשם התמגנות מפני הכופרה, חוקרי מיקרוסופט ממליצים להטמיע אמצעי זיהוי עבור ה-TTPs של הקבוצות השונות, ולהקפיד על הגיינת סיסמאות, הגדרות של מוצרי Legacy ועדכון מערכות הארגון.
(מקור: מיקרוסופט, 13.6.22)
אפליקציות זדוניות גורפות מיליוני הורדות ב-Google Play
מסקירת מגמות בתחום הנוזקות במכשירים ניידים, שפורסמה על ידי חוקרי אבטחת המידע של המוצר Dr.Web Anti-virus, עולה שאפליקציות Adware וטרויאנים גונבי מידע היוו בחודש מאי איום בולט על טלפונים ניידים מבוססי Android, לצד אפליקציות רוגלה שביכולתן לגנוב הן מידע מהתראות של אפליקציות אחרות והן סיסמאות OTP, ובכך להשתלט על חשבונות.
בין האפליקציות הזדוניות מצויות PIP Pic Camera Photo Editor ,Wild & Exotic Animal Wallpaper ,ZodiHoroscope ,PIP Camera 2022 ו-Magnifier Flashlight. אפליקציות אלה גרפו ביחד יותר משני מיליון הורדות לפני שמגזין אבטחת המידע BleepingComputer דיווח עליהן ל-Google על מנת שתסיר אותן מהחנות.
זאת ועוד, חוקרים מחברת Cyble זיהו אפליקציה בשם Document Manager, המתחזה לכזו המאפשרת קריאה ועריכת קבצי PDF, אך בפועל מורידה וריאנט של הטרויאני Hydra, הפועל מ-2019. להלן תהליך ההדבקה: המשתמש מוריד את האפליקציה ונותן לה הרשאות, בהן הרשאה להורדת ״חבילות עדכון״. עם סיום ההתקנה ופתיחת האפליקציה קופצת הודעה לפיה יש צורך בביצוע עדכונים. כשהמשתמש מאשר את ביצוע העדכון, האפליקציה מורידה אל המכשיר קוד זדוני המאפשר תוקף לאסוף פרטי אנשי קשר ו-SMS ולגנוב Cookies ,OTPs ואת Pin נעילת המכשיר. עוד מנצלת האפליקציה את הרשאותיה כדי למנוע את מחיקתה מהנייד.
צוות קונפידס ממליץ לבדוק היטב מפיצי אפליקציות לפני הורדתן ולהימנע מלהוריד אפליקציות ממפיצים שאינם מוכרים. לחילופין, מומלץ להתקין מערכת הגנה בטלפון הנייד. מבין המוצרים המרובים אשר ניתנים כחלק מהשירות המנוהל של "קונפידס", ניתן גם אנטי-וירוס לטלפון של חברת Check Point.
חולשה המאפשרת חטיפת נתונים רגישים נמצאה בדפדפנים Google Chrome ו-Microsoft Edge
הדפדפנים שברשותנו עשויים לאחסן מידע רגיש, הכולל בתוכו נתונים כמו שמות משתמשים, סיסמאות, ועוגיות בצורה של Clear text. לדברי חוקר אבטחת המידע זאב בן פורת מחברת CyberArk, מידע זה ניתן לחילוץ באמצעות תהליך הפועל במחשב מקומי ומבצע גישה ישירה לזיכרון של Chrome ו-Edge, וככל הנראה גם לזה של דפדפנים נוספים המבוססים על המנוע Chromium. בכך מתאפשרת חטיפה של חשבונות משתמשים, גם אם מוגדר מנגנון אימות רב-שלבי (MFA), כל זאת על ידי שימוש בנתוני קבצי העוגיות. לדברי בן פורת, למרות שיש צורך בהזנת נתוני אישורים, כגון שמות משתמש וסיסמאות, לפני חילוצם, בכל זאת ניתן לטעון לזיכרון את כל הסיסמאות המאוחסנות במנהל הסיסמאות. להלן סוגי הנתונים הניתנים לחילוץ מהדפדפן ב-Clear text:
-
שם משתמש + סיסמה שבשימוש בעת כניסה ליישום אינטרנט.
-
כתובת URL + שם משתמש + סיסמה הנטענת אוטומטית לזיכרון במהלך הפעלת הדפדפן.
-
כל רשומות כתובת האתר + שם משתמש + סיסמה המאוחסנים בנתוני ההתחברות של כל העוגיות השייכות לאפליקציית אינטרנט ספציפית.
קונפידס ממליצה לעדכן דפדפנים על בסיס קבוע.
השבוע בכופרה
מחקר שערכה חברת אבטחת המידע Sophos סוקר את תחום מתקפות הכופרה בשנת 2021 מבחינת השפעותיהן הפיננסיות והתפעוליות על ארגונים, כמו גם את תפקידם של ביטוחי הסייבר בנושא. המידע המופיע במחקר מתבסס על תשובותיהם של 5,600 מומחי IT מארגונים שונים ב-31 מדינות, ומציג תמונה של התגברות מתקפות הכופרה והפיכתן למתוחכמות ומורכבות יותר, בין היתר משום שלפושעי סייבר ללא יכולות משמעותיות מוצעים כיום שירותי פריצה ונוזקות לרכישה. עוד עלה מהמחקר שב-2021 66% מהארגונים שחוו מתקפת סייבר נפגעו מכופרה, כאשר שכיחותן של מתקפות אלה עלתה ב-29% בין השנים 2020 ל-2021.
עוד נרשמה עלייה בדמי הכופר שנדרשו מהקורבנות ובאחוזי המתקפות שבהן בוצעה הצפנה. בתוך כך, יותר ויותר ארגונים בוחרים לשלם את דמי הכופר על מנת לקבל את קבציהם בחזרה, כאשר ב-2021 העלות הממוצעת לארגון לשם תיקון נזקיה של מתקפת הכופר עמדה על 1.4 מיליון דולר, ירידה לעומת 2020, אז עמד הסכום על 1.85 מיליון דולר. הדבר משקף, ככל הנראה, את העובדה שכופרות הפכו נפוצות יותר והפגיעה במוניטין כתוצאה ממתקפה פחתה.
לארגונים שספגו התקפות בשנה האחרונה לקח בממוצע חודש אחד להתאושש מהן, ההתאוששות האיטית ביותר דווחה על ידי מוסדות להשכלה גבוהה וממשלות פדרליות. לעומת זאת, הסקטורים המהירים ביותר להתאושש היו תעשיות וחברות ייצור (בכ-10% מהארגונים ארכה ההתאוששות יותר מחודש) והשירותים הפיננסיים (בכ-12% מהארגונים ארכה ההתאוששות יותר מחודש). נתונים אלה נעוצים, כנראה, ברמה טובה יותר של תכנון התאוששות והיערכות.
בשנה האחרונה כמעט שולש שיעור הקורבנות המשלמים כופר בסך מיליון דולר או יותר, עלייה מ-4% ב-2020 ל-11% ב-2021. בסך הכל, תשלום הכופר הממוצע בשנה שעברה הגיע ל-812,360 דולר, כאשר ישנם הבדלים ניכרים בין התעשיות השונות: הממוצעים הגבוהים ביותר נרשמו בתעשיית הייצור (2.04 מיליון דולר) ובחברות האנרגיה, הנפט והגז (2.03 מיליון דולר), והנמוכים ביותר במגזרי הבריאות (197 אלף דולר) והממשל המקומי/מדינתי (214 אלף דולר).בפן החיובי, כותבי הדוח מציינים שכיום ארגונים ערוכים טוב יותר לשחזור נתונים במקרה של מתקפת כופרה, כאשר כמעט כל הארגונים שנפגעו מכופרות ב-2021 (99%) הצליחו לשחזר חלק מהנתונים שהוצפנו, לעומת 96% ב-2020.
כמעט מחצית מהחברות שנסקרו (44%) דיווחו שהשתמשו במספר דרכים לשחזור נתוניהן, יותר מ-73% השתמשו בגיבויים, 46% דיווחו ששילמו דמי כופר כדי לשחזר נתונים ו-30% השתמשו באמצעי שחזור אחרים, לרבות בכלי פענוח. המספרים הללו משקפים את העובדה שארגונים רבים משתמשים בכמה גישות שחזור במקביל למקסום המהירות והיעילות בה יוכלו לשוב לפעילות. בממוצע, ארגונים ששילמו קיבלו בחזרה רק 61% מנתוניהם, ירידה מ-65% ב-2020. באופן דומה, רק 4% מאלה ששילמו כופר קיבלו את כל נתוניהם בחזרה, ירידה מ-8% ב-2020, דבר המדגיש שוב שגם תשלום דמי כופר וקבלת מפתחות ההצפנה אינו מבטיח שכל הקבצים שהוצפנו יוכלו להיות משוחזרים.
נתון מעניין נוסף הוא זה לפיו ארגונים רבים מסתמכים על ביטוח הסייבר להתמודדות טובה עם מתקפה, אך בד בבד קשה יותר להבטיח כיסוי ביטוחי בתחום, שכן תהליך החיתום של הפוליסה הפך ארוך יותר, מעטים הארגונים המציעים הגנה ביטוחית ופוליסות כאלה הן מורכבות או יקרות. עם זאת, נרשמה עלייה בביקוש לפוליסות ביטוח סייבר. כותבי הדוח מוסיפים שעל ארגונים לא רק להשקיע בטכנולוגיה הנכונה, אלא גם באנשים בעלי הכישורים והידע ליישמה ביעילות, ולשאוף לשיתופי פעולה עם מומחים שיוכלו לעזור להפיק את המירב מהשקעות החברה בהגנת סייבר ולהגביר את הגנותיהן ומוכנותן לאירועי סייבר.
חברת קונפידס מציעה תהליך מוכנות לאירוע סייבר. לפרטים נוספים לחצו כאן.
מנוף לחצים מסוג חדש: קבוצת כופרה יוצרת אתר בו עובדי הקורבן יכולים לחפש אחר נתוניהם הגנובים
כופרת ALPHV, המשויכת לקבוצת התקיפה BlackCat, מכניסה לעולם הכופרה אלמנט חדש: אתר אינטרנט ייעודי המאפשר ללקוחות ולעובדי חברות שנפלו קורבן למתקפה לבדוק אם נתוניהם נגנבו. בתוך כך, ב-14 ביוני החלה קבוצת התקיפה לשחרר נתונים שנגנבו, לכאורה, ממלון וספא במדינת אורגון, במהלך מתקפה אשר במהלכה נגנבו לטענת BlackCat נתונים בנפח 112GB, לרבות מידע רגיש על יותר מ-1,500 עובדים, הכולל מספרי תעודות זהות, תאריכי לידה, מספרי טלפון וכתובות מייל, וכן מידע על לקוחות המלון, הכולל שמות, תאריכי הגעה ועלויות השהייה. ואולם, במקום להסתפק בהדלפת הנתונים באתר ההדלפות של הקבוצה, היא בנתה את אותו אתר ייעודי לעובדים, ואף הרחיקה לכת ויצרה "חבילות נתונים" לכל עובד, המכילות קבצים הקשורים לעבודתו במלון. מטרת האתר ברורה: להניע את עובדי ואורחי המלון לדרוש מהנהלתו להסיר נתוניהם מהרשת, דבר שניתן לעשותו רק על ידי תשלום כופר. לפי אחת הסברות, הכופרה ALPHV, או הקבוצה BlackCat, אינן אלא מיתוג מחדש של כנופיית (DarkSide (BlackMatter, האחראית למתקפה על Colonial Pipeline, שמשכה אליה את מלוא תשומת הלב של רשויות אכיפת החוק הבינלאומיות וממשלת ארצות הברית. קבוצה זו נחשבת, מחד, לאחת ממפעילות הכופרה המיומנות והמתוחכמות ביותר, ומאידך לכזו שרעיונותיה מרחיקי הלכת מסבכים אותה בצרות.
הדוח השנתי של חברת הביטוח הישראלית, הבוחן את ההתפתחויות שעיצבו את שוק הביטוח בשנה החולפת, חושף כי שוק הכופרות הינו אחד מהשווקים הרווחיים ביותר בתחום פשיעת הסייבר, אך בד בבד המלחמה בין רוסיה לאוקראינה מדגימה את אי-יציבותו, וכיצד תרחישי איום שונים יכולים לשנות את תמונת המצב. במהלך השנים 2020-2021, אירועי כופרה התרחשו בתדירות ובחומרה גבוהות יותר מבשנים עברו, מה שגרם, מחד, לעלייה בביקוש לביטוחי סייבר, אך מאידך לפחות היצע, היות וחברות ביטוח לא מוכנות לבטח את כולם, ובצדק. זאת ועוד, כיום חברות רבות נמצאות במצב בו הן מוגנות יותר מפני מתקפות כופרה ביחס לאשתקד, בשל השקעות שביצעו בניהול הסיכונים שלהן. לדברי שי סימקין, ראש תחום הסייבר ב״האודן״, "תנאי השוק ממשיכים להיות קשים, אך שתי מגמות פוטנציאליות עשויות לעזור לחברות ולמבטחים ככל שהשנה תתקדם. המגמה הראשונה נובעת מתוך מגמות כופרה חיוביות יותר, לאחר שננקטו צעדי חיתום וניהול סיכונים בתגובה לתדירות ולחומרה הגוברת של כופרה. חברות היום חסינות יותר מפני מתקפות כופרה משהיו בתקופה זו אשתקד. המגמה השנייה, המלחמה באוקראינה, היא הרבה פחות צפויה, אך נראה שעד כה, הקונפליקט מיתן עוד יותר את תדירות מתקפות הסייבר, תוך שהצדדים ממקדים את מאמציהם בלוחמה קונבנציונאלית. מצב זה עשוי, כמובן, להשתנות כהרף עין – למשל במקרים של הפסקת אש, מתקפת סייבר רחבת היקף ולחץ על ממשלת רוסיה למצוא מקורות הכנסה חדשים ככל שהסנקציות הכלכליות מחמירות, אך נכון לעכשיו, נצפית ירידה בתביעות הביטוח לעומת השנה שעברה. כל אלה מעלים שאלות חשובות בעניין העדיפות והיעילות של פעילות סייבר בעתות מלחמה".
עוד עולה מהדוח כי לאחר שברבעון השני של 2021 הגיע מספר תקריות הכופרה לשיא, לקראת סוף השנה נרשמה התמתנות במספרן, כאשר מגמה זו נמשכה גם בתחילת 2022. בגרף המובא להלן ניתן לראות את הירידה בתדירות אירועי הכופרה ברבעון האחרון של 2021.
(מקור: Houden, 6.6.22)
סייבר בעולם
קבוצת התקיפה האיראנית Lyceum משתמשת ב-DNS Backdoor לתקיפת יעדים במזרח התיכון
קבוצת ה-APT האיראנית פעילה מ-2017 במימון איראן, וידועה בפעילותה נגד מטרות במזרח התיכון בתחום האנרגיה והתקשורת, ובשיטות תקיפה המסתמכות על תוכנות זדוניות מבוססות NET. (פלטפורמת מפתחים בקוד פתוח לבניית סוגים מגוונים של אפליקציות). בקמפיין חדש של הקבוצה, שזוהה על ידי חברת אבטחת הענן Zscaler, נצפתה נוזקה העושה שימוש בטכניקת DNS Hijacking, בה שרת ה-DNS נשלט על ידי התוקף, מה שמאפשר לו לבחור את התגובה לשאילתות ה-DNS. מלבד זאת, הנוזקה יכולה לקבל פקודות משרת C2.
הקמפיין הנוכחי מבוסס על הפצת דיווח חדשותי מזויף הנוגע, כביכול, לצבא איראן, ואשר מכיל קובץ Word בשם ir_drones.docm המריץ קוד מאקרו זדוני. משתמש אשר מוריד את הקובץ ומפעיל אותו, מאפשר לפונקציית ()AutoOpen לפעול ולחשוף למשתמש את תוכן הקובץ שחשב שהוריד, כלומר דיווח חדשותי. ואולם, עם סגירת הקובץ על ידי המשתמש מופעלת פונקציית ()AutoClose הקוראת את קובץ ה-PE (פורמט קובץ עבור קבצי הפעלה, קוד אובייטק ועוד במערכת ההפעלה Windows) מתוך תיבת הטקסט הקיימת בעמוד השביעי של קובץ ה-Word, ומנתחת אותו לפורמט הנדרש. בהמשך, קובץ ה-PE נכתב באמצעות קוד מאקרו בתיקיית ה-Startup כקובץ בשם DnsSystem.exe, על מנת לקבע את אחיזת התוקף בעמדה הפגועה. בצורה זו, בכל פעם שמבוצעת הפעלה מחדש, מופעל ה-DNS Backdoor.
הקובץ הזדוני, שהינו מסוג NET., מבוסס על DNS Backdoor - גרסה מותאמת אישית לכלי DIG.net, המהווה DNS Resolver בקוד פתוח. באמצעות קוד, כלי זה מאפשר ל-Lyceum לבצע ולנתח שאילתות DNS על שרת DNS מותאם אישית, להריץ פקודות מערכת מרחוק ולבצע פעולות כמו העלאה והורדה של נתונים על עמדה פגועה. ניתוח המתקפה המלא ו-IOCs מצויים כאן.
צוות קונפידס ממליץ להזין את המזהים במערכות ההגנה של ארגונים.
חוקרים מצאו דרך לעקוב אחר מכשירים סלולריים באמצעות Bluetooth ו-Wifi
חוקרים מאוניברסיטת סן דייגו בקליפורניה הציגו בפעם הראשונה יכולת להתחקות אחר כל מכשיר סלולרי באמצעות טכנולוגיית ה-Bluetooth. במחקר שפרסמו מסבירים החוקרים שזיהויו של כל מכשיר מתאפשר עקב פגמים קטנים הנוצרים בתהליך ייצורו של כל שבב Bluetooth. על מנת שהמעקב יתאפשר, התוקף זקוק לתוכנה הסורקת תדרי רדיו, ולמכשיר המסוגל לקלוט ולהקליט את אותות ה-I/Q שבגלי הרדיו. מה שמאפשר מתקפה מסוג זה הוא טבעם של שדרי ה-(Bluetooth Low Energy (BLE, המצויים במכשירים מודרניים על מנת לאפשר מנגנונים כמו מעקב אחר שרשרת הדבקה באירועי בריאות ציבוריים.
למרות זאת, איתור מכשיר ומעקב אחריו בסביבה אמיתית הינם משימה קשה למדי, כיוון שהדבר תלוי באיכות הציוד בו ישתמש התוקף ובסוגי המכשירים המצויים בסביבתו. בעוד שחלק מהמכשירים מפיצים תדרים ייחודיים הניתנים להפרדה בקלות מאחרים, ישנם מכשירים שמפיצים תדרים כלליים יותר, מה שמקשה על איתור ומעקב איכותי.
במחקר נוסף, שנערך באוניברסיטת המבורג שבגרמניה, התגלה שהמכשירים הניידים המצויים ברשותנו משתפים מידע רב העלול לסייע במעקב ובאיסוף מידע אודות המשתמשים. באמצעות 6 אנטנות שהוצבו באזור עמוס הולכי רגל במרכז עיר בגרמניה, החוקרים החלו לקלוט מידע ששודר ממכשיריהם הניידים של עוברי אורח, כחלק מה-Wifi Probing, הליך סטנדרטי שרוב המכשירים הניידים מבצעים שכשהם מחפשים ומתחברים לרשתות WiFi. פעולה זאת נעשית על ידי מכשירים רבים ללא הרף, כחלק מהגדרות ברירת המחדל שלהם. החוקרים החליטו לנתח את המידע שנאסף מתהליך ה-Probing, כאשר לאחר 3 שעות בלבד של איסוף נתונים התקבלו כרבע מיליון בקשות Probe, מהן כ-60 אלף SSIDs (שם של רשת WiFi) שהמכשירים שידרו . ברבים מהמקרים, ה-SSID הכיל כ-16 תווים או יותר המהווים, ככל הנראה, סיסמאות ראשוניות של ראוטרים ביתיים המוגדרות באופן דיפולטיבי בשם הרשת שהראוטר מפיץ, זאת על מנת להקל על המשתמשים בהתחברות הראשונית. לדברי החוקרים, השערה זו ניתנת לאימות בקלות על ידי הקמת Hotspots בשמות דומים עם הסיסמאות, כביכול, שנאספו. זאת ועוד, מלבד המידע החשוף שנאסף, עולה הסוגייה של מעקב אפשרי אחר מכשירים סלולריים. למרות שבגרסאות החדשות של רוב מערכות ההפעלה, המכשירים משתמשים בטכניקות שונות לשמירה על פרטיות המשתמש, כמו רנדומיזציה של כתובת ה-MAC של המכשיר (למרות שזמינות הטכניקה עבור מכשירים אינה מעידה על שימוש בה), מרבית המכשירים עדיין אינם כוללים את המנגנונים הללו, או שאלה אינם מוגדרים בהם כנדרש. תגלית נוספת של החוקרים היא שבשילוב עם מידע כמו עוצמת אות, Sequence Number כחלק מפרוטוקול ה-TCP ויכולות רשת, ניתן לזהות מכשירים ספציפיים ולעקוב אחריהם. עוד נמצא שאחוז שיתוף המידע, כמו SSID, כחלק מבקשות ה-Probe יורד עם הזמן, כאשר ב-2016 הוא עמד על 30-36%, לעומת 47% ב-2014.
צוות קונפידס ממליץ לעדכן באופן קבוע את מערכות ההפעלה במכשירים סלולריים, ולהסיר מרשתות ה-WiFi השמורות במכשירים רשתות שכבר אינן בשימוש. עוד מומלץ לבטל את האופציה להתחבר לרשתות באופן אוטומטי.
ארה״ב: תוקפים מתחזים למוסדות פיננסיים לשם גניבת פרטי התחברות לחשבונות
חוקרי X-Force, אגף המחקר של IBM, זיהו ארבעה דומיינים המנסים להתחזות ל-Bank of America, ואשר להערכתם הוקמו לשם גניבת פרטי גישה לבנק ממשתמשים לגיטימיים. מחקירת האירוע עולה שהרשם בו השתמשו התוקפים לקבלת בעלות על הדומיינים הוא Cloud Yuqu LLC, וכי מקימם לא מסר פרטים מזהים.
צוות קונפידס ממליץ להימנע מללחוץ על קישורים המפנים לשירותים. במקום זאת, יש להתחבר לשירותים רק באופן ישיר, דרך אתרו הרשמי של נותן השירות. אחת הדרכים לבצע זאת היא לחפש את שם החברה במנוע חיפוש ולוודא שאכן מדובר בעמוד הרשמי שלה. עוד מומלץ לוודא שתוכנות האנטי-וירוס בהן נעשה שימוש מעודכנות, ולבעלי עסקים מומלץ גם לחסום כתובות URL חשודות בחומות האש.
ה-CISA מוסיפה שלוש חולשות נוספות ל״קטלוג החולשות המנוצלות הידועות״
החולשות, כולן מצויות במוצר NetWeaver של חברת SAP, נוספו לקטלוג החולשות הידועות שמתחזקת הסוכנות האמריקאית לאבטחת סייבר ותשתיות, על בסיס עדויות לניצולן על ידי קבוצות תקיפה. השלוש הן חולשה (CVE-2016-2388, CVSS 5.3) מסוג דלף מידע שמקורה בבקשת HTTP ששונתה, חולשה (CVE-2021-38163, CVSS 8.8) מסוג Malicious File Upload, העלולה לאפשר לתוקף להעלות קובץ זדוני לרשת, וחולשה (CVE-2016-2386, CVSS 9.8) שהיא החמורה מבין השלוש, ועלולה לאפשר לתוקף לבצע מתקפת SQL Injection. על אף שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות בקטלוג, ה-CISA ממליצה לכל ארגון לפעול לסגירתן, על מנת לצמצם את חשיפתו לתקיפות סייבר.
צוות קונפידס ממליץ למשתמשי NetWeaver לוודא שהמוצר שברשותם מעודכן לגרסתו האחרונה.
סייבר בישראל
על פי פרסום ב״כלכליסט״, תחילה פרצו ההאקרים לחשבונו של האלוף (במיל.), ששימש בעבר בתפקיד רגיש, ואז התחזו אליו. משם המשיכו וניהלו התכתבויות במייל בשמו של האלוף עם בכירים ישראלים, בתקופה שמדצמבר אשתקד ועד לשבוע שעבר. מחקירה שביצעה Check Point עולה שהתכתובות כללו שליחת מסמכים עם הזמנה לכנס בחו״ל ומאמרים בנושא תוכנית הגרעין האיראנית. כמו כן, ההאקרים ביקשו מהקורבנות את סיסמאות המייל שלהם, ככל הנראה על מנת להחדיר נוזקת ריגול למערכות אליהם מחוברים הבכירים, בהם גם שרת החוץ לשעבר ציפי לבני, אשר קיבלה מייל מהתיבה הפרוצה.
במיילים ששלחו ניסו ההאקרים להפציר בלבני לקרוא מאמר בנושא אירועים ביטחוניים מ-2021, המצוי בקובץ שלשם פתיחתו נדרשה, כביכול, סיסמת המייל של הבכירה. הדבר עורר את חשדה של לבני, אשר פנתה אל ידלין לבירור הדבר. משזה הבהיר לה שהתכתובת אינה מוכרת לו, הנושא הועבר לבדיקתה של חברת Check Point, אשר נטרלה את הקמפיין ודיווחה כי מדובר במבצע סייבר מתוחכם של האקרים, שככל הנראה בוצע בשליחות הממשל האיראני.
זאת אינה הפעם הראשונה בה האיראנים מנסים להשתמש במייל של האלוף לשעבר עמוס ידלין כדי לתקוף גורמים ישראליים, כאשר ב-2020 היתה ״קונפידס״ הראשונה לחשוף התחזות של האיראנים לחשבון המייל שלו בניסיון לתקוף, בין היתר, את מרכז ״אלמא״ לאתגרי ביטחון בצפון, כפי שדווח כאן.
צוות קונפידס ממליץ להשתמש בשכבת הגנה נוספת על חשבון המייל, כגון DMARC, להתקין מערכות הגנה על מכשירי קצה וטלפונים ניידים ולחזק את חשבונות המייל באימות דו-שלבי (2FA, רצוי פיזי). כמו כן, יש לגלות ערנות למיילים ממקור לא ידוע המבקשים שימוש בסיסמה לשם ״הזדהות נוספת״ או לפתיחת מסמך.
מסתמן: קבוצת התיירות ״גול טורס״ נפרצה על ידי קבוצת התקיפה Sharp Boys המזוהה עם איראן
ב-12 ביוני בבוקר התברר שמספר אתרים ישראלים בתחום הנופש והמלונאות נפרצו ואינם זמינים. על האירוע לקחה אחריות קבוצת התקיפה Sharp Boys, שפרצה בעבר ל-bus.co.il ולאתר ״למטייל״. כעת, הקבוצה טוענת כי השביתה את אתרי התיירות וגנבה מהם מידע רגיש, לרבות מספרי כרטיסי אשראי. זאת ועוד, הקבוצה פרסמה מספר רשיונות לאנטי-וירוס ESET, שלדבריה נרכשו באמצעות כרטיסים שפרטיהם נגנבו מהאתרים. ככל הנראה, הקבוצה שנפגעה הינה ״גול טורס״, שנמצאת בקרית שמונה. בין האתרים אליהם טוענת Sharp Boys שפרצה:
http://hotel4u.co.il
http://noapass.co.il
http://gol.co.il
http://booking-hotels.co.il
http://booking-kibbutz.co.il
http://come2israel.co.il
http://come2israel.com
http://funtoursisrael.com
http://mlonot.co.il
http://ortal.net
מכיוון שאתרים אלה לא היו זמינים, נראה כי יש אמת בפרסום.
קמפיין פישינג פעיל מתחזה להודעה מדואר ישראל
מפרסום של מערך הסייבר הלאומי עולה שהקמפיין מבוסס על מייל שנראה ככזה שנשלח מדואר ישראל, כאשר בפועל כתובת השולח הינה support@w3itexperts[.]com. למייל מצורף קובץ HTML בגודל 1.28MB, שעם הפעלתו מורד לעמדה קובץ ISO. פתיחתו של קובץ זה יוצרת כונן DVD ויש VBS זדוניים. נכון לשעה זו, קובץ ה-HTML אינו מזוהה כלל על ידי מנועי האנטי-וירוס ב-VirusTotal, וקיימת סבירות גבוהה שיעבור מערכות לסינון מיילים.
צוות קונפידס ממליץ לחסום ולנטר את כתובת המייל ולהזין את מזהי הקבצים בכל מערכות הארגון (מערכות סינון מיילים, EDR ,AV, פרוקסי וחומת אש). יש לנהוג משנה זהירות ולא לפתוח קבצים המתקבלים במיילים שמקורם חשוד.
באמצעות סרטון וקבצים נלווים שפורסמו בטלגרם ובאתר ההדלפות של קבוצת ההאקרים האיראנית, ״מטה משה״ טוענת לאחיזה ברשתותיהן של ״חברת החשמל״, ״דוראד״ ו-RealiteQ. ואולם, מבדיקה שביצע החוקר יובל אוחנה מחברת ״קונפידס״ עולה כי ככל הנראה מדובר בסרטון שנערך היטב ובמידע הנגיש לציבור, ולא נמצאו כל הוכחות היתכנות להימצאות התוקפים ברשתות החברות. בסרטון שפורסם מופיעים תרשימים של חברת ״דוראד״, תמונות - ככל הנראה ״ממוחזרות״ - של "חברת החשמל", ופירוט על מערכת ה-SCADA RealiteQ, שעליה הורחב במסמך שהועלה לאתר החברה, לרבות כל המידע המופיע בסרטון. את כל המידע שבסרטון ניתן למצוא על ידי חיפוש יעיל של מילות מפתח מסוימות ב-Google. אי לכך, נראה שקבוצת התקיפה ביצעה מחקר מקיף באינטרנט אודות שירותי החברות, ולא נעשתה גישה בלתי מורשית לרשתותיהן. במקרים קודמים, בהם ביצעה הקבוצה תקיפות מוצלחות, שלרוב החלו בניצול חולשה בממשק פגיע, כדוגמת שרתי Exchange של מיקרוסופט, היא מיהרה לפרסם את כל המידע שהודלף.
תוצאות מבצע האכיפה הבינלאומי First Light 2022: אלפי עצורים ו-50 מיליון דולר מוחרמים
מבצע אכיפת החוק הבינלאומי נגד קבוצות פשע מאורגן העומדות מאחורי הונאות הנדסה חברתית ותקשורת מרוחקת, שהתקיים בחודשים מרץ-מאי בשיתוף פעולה בין 76 מדינות, הביא למעצר המוני של מעורבים בהונאות מבוססות הנדסה חברתית ברחבי העולם. במהלך המבצע, המשטרה במדינות המשתתפות פשטה על מוקדים טלפוניים לאומיים החשודים בביצוע הונאות תקשורת מרוחקת, ובפרט הונאות טלפוניות, ״רומנטיות״, מייל ופשעים פיננסיים. לצד מעצרם של אלפי מפעילים, מלביני הון ונוכלים, הוקפאו כ-4,000 חשבונות בנק ויורטו כספים בלתי חוקיים בשווי כולל של עשרות מיליוני דולרים.
צוות קונפידס ממליץ לבחון היטב מתקשרים למכשירים ניידים ולא לענות לשיחות ממקור שאינו מוכר או אינו צפוי. כמו כן, יש להימנע ככל הניתן ממסירת פרטים אישיים בטלפון.
סייבר ופרטיות - רגולציה ותקינה
הקונגרס האמריקאי: התקדמות ביוזמתן של שתי המפלגות לחקיקת חוק הגנת פרטיות במישור הפדרלי; תוקם גם סוכנות פדרלית מפקחת
מזה מספר שנים מחוקקים בארצות הברית מנסים לקדם חוק הגנת פרטיות של מידע אישי במישור הפדרלי, שיחול בכל 50 המדינות. השבוע הוגשה לוועדת האנרגיה והסחר הצעת חוק בנושא, אשר בעיני רבים עשויה לעבור את המכשולים הפוליטיים והמשפטיים הרבים הכרוכים בגיבוש חוק מסוגו, ולזכות בתמיכת שתי המפלגות. הצעת החוק, המכונה American Data Privacy Protection Act, קובעת מסגרת לאומית שתגבר על חקיקה מדינתית כדוגמת ה-California Consumer Privacy Act וחקיקה של מדינות אמריקאיות נוספות, ונועדה להעניק לראשונה לתושבי ארצות הברית הגנות על האופן בו מידע אישי שלהם נאסף על ידי חברות, גופי ממשל וארגונים אחרים (פירוט בנוגע להיבטים ספציפיים של ההצעה מצוי כאן). עוד לפי הצעת החוק תוקם בתוך סוכנות הסחר הפדרלית (FTC) סוכנות פדרלית חדשה, שתפקח על החוק החדש ותאכוף אותו. הצעת החוק צפויה לעבור לשלבים האחרונים לקראת הצבעה בשבועות הקרובים.
משרד המשפטים מפרסם טיוטת תוספת לצו איסור הלבנת הון המיועדת לסווג עבירות מחשב כעבירות שנכנסות תחת חוק איסור הלבנת הון
ב-15 ביוני פרסם משרד המשפטים טיוטת צו במסגרת חוק איסור הלבנת הון, תש"ס-2000, המציעה להוסיף את העבירות הקבועות בסעיפים 2-6 לחוק המחשבים, תשנ"ה-1995 לתוספת הראשונה של החוק לאיסור הלבנת הון. התיקון המוצע יקבע כי פעולות ברכוש שקשורות לעבירות המחשב האמורות (למשל "שיבוש או הפרעה למחשב או לחומר מחשב" ו"חדירה לחומר מחשב שלא כדין") יוגדרו כעבירות של הלבנת הון. בהודעה של משרד המשפטים בשעת פרסום טיוטת הצו נאמר כי "בשנים האחרונות, לנוכח ההתפתחויות הטכנולוגיות, מרחב הסייבר הפך לאטרקטיבי עבור גורמי פשיעה וטרור. עבירות המחשב משמשות כיום לביצוע מגוון רחב של עבירות המונעות ממוטיבציה כלכלית, לרבות עבירות של סחיטה מקוונת, סחר במידע גנוב, גניבה באמצעות שימוש במידע אישי או פיננסי, גניבת זהות באמצעות חדירה לחומרי מחשב, סחר מקוון בשירותים ובמוצרים אסורים ועוד." הצעת הצו מיועדת לסווג עבירות מחשב כעבירות שנכנסות תחת חוק איסור הלבנת הון, על מנת לסייע במאבק המשפטי והאכיפתי בתופעות אלו. הציבור מוזמן להגיש הערות לטיוטה עד ל-5.7.2022 באתר החקיקה הממשלתי.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנה, עמרי סרויה, עדי טרבלסי וגיא פינקלשטיין.