WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

17.03.2022-10.03.2022

עיקרי הדברים

  1. המלחמה בין רוסיה לאוקראינה: חברת Quad9 מזהה עלייה חדה במספר מתקפות הסייבר נגד אוקראינה; ערב הפלישה לאוקראינה שובשו שירותי האינטרנט הלווייני של חברת Viasat בחלקים מסוימים ברחבי אירופה וגרמו לתקלות קשות באוקראינה; ספקית האינטרנט Triolan נפרצה פעמיים במסגרת הלוחמה באוקראינה; קבוצות תקיפה מנצלים את המלחמה להפצת נוזקות במסווה של תמיכה באחד הצדדים בסכסוך; הסוכנות הגרמנית לביטחון מידע מזהירה מפני שימוש במערכות חברת Kaspersky על רקע המלחמה.

  2. ישראל: ההיערכות החסרה במרחב הסייבר מסוכנת במיוחד במקרה של מתקנים המחזיקים חומרים מסוכנים; קבוצת Black Shadow האיראנית שבה לתקוף בארץ; מתקפת סייבר חריגה מביאה לקריסת אתרי הממשלה. בעקבות הלל יפה, משרד הבריאות פרסם פק"ל להיערכות לאירוע סייבר למערכת הבריאות

  3. ארה״ב: חוק סייבר פדרלי חדש מחייב בעלי תשתיות קריטיות לדווח על תשלום דמי כופר תוך 24 שעות.

  4. חברת Proofpoint: זינוק של 500% בניסיונות ההדבקה של מכשירים ניידים בנוזקות באירופה.

  5. אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Apple (קריטי); דפדפן Google Chrome (קריטי); מחשבי Dell (קריטי); מוצר PTC Axeda Agent (קריטי).

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכון אבטחה למוצרי Apple נותן מענה ליותר מ-60 חולשות, חלקן קריטיות
עדכון אבטחה ל-Google Chrome נותן מענה ל-11 חולשות, בהן אחת קריטית
עדכון אבטחה נותן מענה לחולשה קריטית שהתגלתה ב-BIOS של מחשבי Dell
חולשות קריטיות בתוכנת PTC Axeda Agent לגישה מרחוק עלולות להיות מנוצלות לשיבוש מכשור רפואי
חולשה חמורה במערכת Linux מאפשרת שינוי הרשאות גישה במוצרי QNAP NAS - טרם פורסם עדכון אבטחה
עדכון אבטחה ל-OpenSSL נותן מענה לחולשה ברמה גבוה

התקפות ואיומים

נוזקת AbereBot הפופולרית חוזרת לכותרות עם גרסה משודרגת המכונה Escobar
Proofpoint: זינוק של 500% בניסיונות ההדבקה של מכשירים ניידים בנוזקות באירופה
Google: מהם הגורמים לעלייה המשמעותית בניצול חולשות Zero-day בדפדפן Chrome?
מפיצת Nespresso בדרום אפריקה מודיעה על חשד לדלף מידע אישי של לקוחותיה
דוח חדש של מיקרוסופט: נוזקת TrickBot מנצלת נתבי MikroTik לתקיפותיה
ארה״ב: בית חולים לילדים במדינת טנסי חווה ״בעיה באבטחת מידע״
Wordfence: עלייה ניכרת באתרים נגועים המשתייכים לחברת האירוח GoDaddy המנוהלת על ידי WordPres

השבוע בכופרה

אחרי Samsung ו-NVIDIA: קבוצת הכופרה $LAPSU פורצת ל-Ubisoft
חברת הייטק זדונית: דלף התכתובות הפנימיות של קבוצת הכופרה Conti ממשיך לספק הצצה מרתקת למבנה הארגון
מיקרוסופט חושפת באגים בכופרה LockBit 2.0 לאחר ששיחזרה קבצים מוצפנים ללא כלי פענוח
רוסיה מנצלת הגדרות שגויות במנגנוני אימות דו-שלבי לחדירה לרשתות ארגוניות
משתמשי Microsoft Office הוצפו בהתראות שווא שהתקבלו במערכת ה-Windows Defende

המלחמה במזרח אירופה

ערב הפלישה לאוקראינה שובשו שירותי האינטרנט הלווייני של חברת Viasat בחלקים מסוימים ברחבי אירופה
ספקית האינטרנט Triolan נפרצה פעמיים במסגרת הלוחמה באוקראינה
הפלישה לאוקראינה: כיצד מנוצל הטוויטר להשפעה על דעת הקהל העולמית?
קבוצות תקיפה מנצלים את המלחמה באוקראינה להפצת נוזקות במסווה של תמיכה באחד הצדדים בסכסוך
עלייה חדה במספר מתקפות הסייבר נגד אוקראינה
קבוצת ההאקרים Anonymous פרצה למערכות השלוחה הגרמנית של חברת האנרגיה הרוסית Rosneft
אוקראינה: תקיפות כופרה וביון על ידי שחקני סייבר פרו-רוסים המפתים משתמשים להוריד את נוזקת Cobalt Strike
הסוכנות הגרמנית לביטחון מידע מזהירה מפני שימוש במערכות חברת Kaspersky על רקע המלחמה באוקראינה
״זלנסקי נכנע״: פריצה לשידורי ערוץ טלוויזיה אוקראיני להחדרת מסרי

סייבר בישראל

Black Shadow האיראנית שבה לתקוף חברות בישראל; הבורסה ליהלומים בהודעה חריגה לארגונים בענף: נתקו מערכות מהאינטרנט
מתקפת סייבר חריגה מביאה לקריסת אתרי הממשלה
משרד מבקר המדינה: היערכות חסרה במרחב הסייבר מסוכנת במיוחד במקרה של מתקנים המחזיקים חומרים מסוכנים
העיקר הבריאות: משרד הבריאות פרסם פק"ל אבטחת מידע להיערכות לאירוע סייב

סייבר בעולם

אנגליה: המרכז הלאומי לאבטחת סייבר קורא לארגונים להעלות את רמת ההגנה על תשתיות קריטיות ומאגרי מידע
ה-CISA עדכנה את המדריך להקשחת סביבות Kubernete

סייבר ופרטיות - רגולציה ותקינה

ישראל משתתפת בוועדה של האו"ם המגבשת אמנה נגד פשע מקוון: התמקדות בחקירות פליליות ובשיתוף פעולה בינלאומי
חוק סייבר פדרלי חדש בארה"ב: בעלי תשתיות קריטיות מחויבים לדווח על תשלום דמי כופר תוך 24 שעות
טקסס: כתב אישום נגד אזרח אוקראיני המואשם בביצוע עבירות מחשב והלבנת הון; צפוי לעד 115 שנות מאסר במידה ויורשע
המועצה האירופית להגנה על מידע מפרסמת הנחיות בעניין העברת מידע באמצעות קוד התנהגות התואם את רגולציית ה-GDP

כנסים

 
 

הציטוט השבועי

[על תקיפת התקשורת הלוויינית של Viasat] "פגיעה עצומה בתקשורת ממש עם תחילת המלחמה."

ויקטור ז'ורה, מנהל טרנספורמציה דיגיטלית ראשי בשירות המדינה לתקשורת מיוחדת והגנת מידע של אוקראינה. 

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכון אבטחה למוצרי Apple נותן מענה ליותר מ-60 חולשות, חלקן קריטיות
העדכון שפרסמה החברה ב-15 במרץ רלוונטי למוצרי ה-iOS ,iPadOS ,watchOS ,macOS ,iTunes ואחרים, וסוגר חולשות שמרביתן התגלו ב-iOS וב-iPadOS. לדברי Appla, החולשות הקריטיות שנמצאו מאפשרות הרצת קוד עם הרשאות Kernel. עוד ניתן מענה לחולשות המצויות ב-WebKit - מנוע עיבוד ה-HTML של Apple, אשר מאפשרות לתוכן Web זדוני להוביל להרצת קוד.
צוות קונפידס ממליץ למשתמשים במוצרי Apple לעדכנם בהקדם לגרסאותיהם האחרונות.

עדכון אבטחה ל-Google Chrome נותן מענה ל-11 חולשות, בהן אחת קריטית
העדכון שפורסם השבוע, הרלוונטי למערכות מבוססות Windows בלבד, סוגר בעיקר חולשות מסוג Use-After-Free שנגרמות עקב ניהול לא נכון של הקצאת הזיכרון במערכת. הדבר עלול לאפשר לתוקף להריץ קוד מרחוק ובכך להשיג אחיזה על העמדה. מרבית החולשות שקיבלו מענה בעדכון הן ברמת חומרה בינונית או גבוהה, החמורה שבהן (CVE-2022-0971, CVSSv3.1 8.7) הוגדרה כקריטית.

צוות קונפידס ממליץ למשתמשי המוצר במערכות מבוססות Windows לעדכנו לגרסתו האחרונה, ולמשתמשי המוצר במערכות אחרות לעקוב אחרי פרסומי החברה בנוגע לעדכונים נוספים.

עדכון אבטחה נותן מענה לחולשה קריטית שהתגלתה ב-BIOS של מחשבי Dell
החולשה (CVE-2022-24421, CVSS 8.2) שהתגלתה במערכת האחראית על הפעלת התוכנות והמערכות בעת  הדלקת המחשב מאפשרת תקיפה באמצעות SMM והרצת קוד זדוני מרחוק עקב פגם במנגנון בדיקת הקלט.

צוות קונפידס ממליץ לבעלי מחשבי Dell לעדכן את מערכת ה-BIOS לגרסתה האחרונה, על פי ההסבר המופיע כאן.


חולשות קריטיות בתוכנת PTC Axeda Agent לגישה מרחוק עלולות להיות מנוצלות לשיבוש מכשור רפואי

צוותי המחקר של CyberMDX (שנרכשה בינתיים על ידי Forescout) ושל Vedere Labs זיהו בשרשרת האספקה של ארגונים ממגזרי הבריאות, השירותים הפיננסיים והייצור 7 חולשות אשר קיבלו את הכינוי Access:7 ומהוות סכנה מידית מפאת האפשרות לנצלן לשיבוש פעולתם של מכשירי הדמיה, מכשור מעבדה ומכשירי IoT. שלוש מבין החולשות (CVE-2022-25247 ,CVE-2022-25246 ,CVE-2022-25251) קיבלו את ציון החומרה CVSS 9.8 ועלולות לאפשר לתוקף להזריק קוד מרחוק. יתר החולשות עשויות לאפשר גישה לא מורשית לקריאת קבצים במערכת להשבתתה. בתוך כך, מטה הסייבר הלאומי פרסם המלצות להתמודדות עם חולשות ה-Access:7:

  1. שדרוג התוכנה לגרסאותיה האחרונות: Version 6.9.1 build 1046, Version 6.9.2 build 1049, Version 6.9.3 build 1051

  2. הגדרת הגישה לממשק התוכנה כך שזו תתאפשר לכתובות מורשות בלבד.

  3. עיון ברשימת הציוד הפגיע לחולשות, ובכפוף להימצאותו בארגון - לפנות ליצרן או לספק על מנת לברר את זמינותם של עדכונים.

צוות קונפידס ממליץ לארגונים במגזרים הרלוונטיים לעקוב ללא דיחוי אחר הוראות מערך הסייבר הלאומי.


חולשה חמורה במערכת Linux מאפשרת שינוי הרשאות גישה במוצרי QNAP NAS - טרם פורסם עדכון אבטחה
החולשה (CVE-2022-0847) מסוג Dirty Pipe משפיעה על ליבת מערכת ההפעלה Linux ומאפשרת למשתמשים מקומיים ללא הרשאות להחדיר למערכת קוד זדוני ולקבל גישה להרשאות מנהל. בשעה זו מצויה החברה בעיצומה של חקירת החולשה, המשפיעה על המוצרים המפורטים בקישור זה (המוצר QNAP NAS המריץ QTS 4.x אינו מושפע מהחולשה).

צוות קונפידס ממליץ למשתמשי המוצרים לעקוב אחר פרסום עדכוני אבטחה רלוונטיים ולהתקינם עם פרסומם.


עדכון אבטחה ל-OpenSSL נותן מענה לחולשה ברמה גבוהה
העדכון רלוונטי לגרסאות 3.0.0, 3.0.1, 1.1.1-1.1.1m ו-1.0.2-1.0.2zc של המוצר וסוגר חולשה (CVE-2022-0778, CVSS 7.5) הנובעת מתקלה בספריית התוכנה, המביאה לכך שבעת עיבוד תעודת SSL פגומה התהליך עלול להיכנס ללולאה ולגרום למניעת שירות.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם לגרסתו האחרונה.

התקפות ואיומים

נוזקת AbereBot הפופולרית חוזרת לכותרות עם גרסה משודרגת המכונה Escobar
בדוח חדש שפורסם השבוע חושפת חברת אבטחת המידע Cyble את הגרסה החדשה של הנוזקה הידועה, אשר עד כה גנבה נתונים פיננסיים ממכשירים סלולריים מבוססי אנדרואיד של לקוחות כ-140 בנקים ב-18 מדינות ברחבי העולם. מתחקירה של Cyble עולה כי Escobar ״מתהדרת״ ביכולות חדשות, בהן גניבת מידע מ-Google Authenticator ושליטה מרחוק במכשירים נגועים. הנוזקה, המתחזה לאפליקציית האנטי-וירוס הפופולרית McAfee, מזדהה בשם ״McAfee״, בעוד ששמה האמיתי של האפליקציה הוא ״McAfee Security: VPN Antivirus". מנגד, האייקון של שתי האפליקציות זהה לחלוטין. אופן פעולתה של הנוזקה מתבסס על בקשת 25 הרשאות שונות מהמשתמש, מהן היא מבצעת שימוש ב-15 הרשאות, לרבות גישה להודעות SMS, לרשימת אנשי הקשר, למיקרופון המכשיר, להרשאות מיקום, להרשאות כתיבה ומחיקה, לאחסון המכשיר ועוד. לתחקיר צירפה Cyble רשימת IOCs, כמו גם המלצות ופעולות בהן מומלץ לנקוט על מנת להימנע מפגיעת נוזקות מסוג זה, לרבות הפעלת מנגנוני אימות רב-שלבי (MFA) והתקנת התוכנה Google Play Protect, המוודאת את מקור ותקינות האפליקציות המותקנות במכשירי אנדרואיד.

Proofpoint: זינוק של 500% בניסיונות ההדבקה של מכשירים ניידים בנוזקות באירופה

הנתון, המופיע ברשומת בלוג שפרסמו חוקרי החברה, מצטרף לנתונים הקיימים על העלייה בפעולות מסוג זה, על ידי ניצול פלטפורמות תקשורת שונות (SMS, WhatsApp ואחרות) להפצת הודעות פישינג. כיום, מרבית הנוזקות מופצות דרך חנויות אפליקציות רשמיות, ובראשן אלה של Apple ו-Android. בעוד ש-Apple מציגה חוקים נוקשים מאוד לפיהם ניתן להתקין על מכשיריה אפליקציות רק ישירות דרך ה-App Store, חברת Android אינה מציבה הגבלות בנושא ומאפשרת להתקין אפליקציות בשלל דרכים. הנוזקות המכוונות למכשירים ניידים נועדו להשגת שליטה מלאה על המערכת ולניצולה למטרות שונות, בהן ריגול, כריית מטבעות קריפטוגרפיים, כופרה ועוד.

Google: מהם הגורמים לעלייה המשמעותית בניצול חולשות Zero-day בדפדפן Chrome?

ברשומת בלוג שפרסמה החברה מוצגת מגמה מדאיגה: במהלך השנים 2015 עד 2021  נצפתה עלייה בניצול חולשות Zero-day בדפדפני אינטרנט, ובעיקר בדפדפן Chrome. הסיבה לכך טמונה לא רק בעובדה שתוקפים שמו להם למטרה למצוא חולשות במוצרים פופולריים מאוד, כדוגמת דפדפן Chrome, אלא גם במספר גורמים נוספים: ראשית, המודעות של החברות, ובפרט של Google, לחולשות Zero-day הלכה וגדלה עם השנים, כך שהעובדה שהחולשות לא זוהו בשנים קודמות אינה מעידה על כך שלא היו קיימות כלל. שנית, בחלוף השנים הצוותים האחראים לגילוי ותיקון באגים וחולשות הפכו למיומנים הרבה יותר, מה שתורם לגילויין של יותר חולשות, לצד תיקונן ופרסום הדבר לציבור הרחב. שלישית, היצרנים עצמם, לרבות Goolge, הפכו שקופים יותר מול לקוחותיהם. אם בעבר לא כל יצרני הדפדפנים ראו לנכון להביא לידיעת הציבור מידע על ניצולה של חולשה חדשה, כיום חברות מוצר מפרסמות באופן תדיר עדכוני אבטחה, כך שכמות החולשות המדווחות לציבור עלתה באופן משמעותי. מנגד, פרסומים אלה גלויים גם לתוקפים, שממהרים למצוא קורבנות שלא הטמיעו את עדכוני האבטחה במהירות. נקודה רביעית העולה מרשומת הבלוג היא שכיום מבנה הדפדפנים הופך מורכב יותר ויותר, מה שמקשה על תוקפים לנצל חולשות, שכן כבר לא מספיקה חולשה בודדת לביצוע תקיפה משמעותית, אלא ניצול של שתי חולשות לפחות. דבר זה מגביר את המוטיבציה של תוקפים למצוא חולשות, כמו גם את זו של יצרנים לתקן ולפרסם אותן. לאור כל אלה, ההמלצה הכללית היא להטמיע את עדכוני האבטחה של Chrome מוקדם ככל האפשר.

מפיצת Nespresso בדרום אפריקה מודיעה על חשד לדלף מידע אישי של לקוחותיה

ב-27 בפברואר דיווחה חברת Top Coffee לכלל לקוחותיה כי ייתכן ששמותיהם, מספרי הטלפון וכתובות המייל שלהם הודלפו. מההצהרה עולה כי הנתונים נחשפו דרך ספק צד ג׳ למשך זמן קצר, וכי התקלה טופלה במהרה. עוד מסרה החברה כי הודיעה לרשויות הדרום אפריקאיות על התקרית, וכי אינה מאמינה שנעשה שימוש לרעה במידע שנחשף. לדבריה, היא עומדת בסטנדרטים הבינלאומיים המחמירים ביותר של אבטחה וסודיות, וממשיכה בשעה זו בחקירת האירוע, על מנת למנוע את התרחשותה של תקרית דומה בעתיד.

                                                               (מקור: MyBroadband, 8.3.22)

דוח חדש של מיקרוסופט: נוזקת TrickBot מנצלת נתבי MikroTik לתקיפותיה

TrickBot הטרויאנית, אשר נצפתה החל מ-2016, נחשבת לקשה לזיהוי בשל המאמצים הרבים שיוצריה משקיעים בשכלול והשקטת פעילותה ברשתות קורבנותיה, תוך קבלת אחיזה מתמשכת בהן. הדוח הנוכחי, שנכתב על ידי צוות המחקר של Microsoft Defender, מתאר כיצד בפעולותיה של TrickBot במכשירי IoT, לרבות ראוטרים, מושקטת שליחת הנתונים מהמחשב הנגוע בנוזקה לשרת המרוחק של התוקפים (C2), באמצעות שימוש נרחב בראטורים של חברת MikroTik. ראוטרים אלה משמשים מתווכים בין העמדה הנתקפת לשרת התוקפים, תוך הגדרה של פורטים שאינם סטנדרטיים לצורך תעבורה ביניהם. שיטה זו מוסיפה שכבת הגנה נוספת לנוזקה, המאפשרת לה לחמוק ממוצרי הגנה שכיחים. את הכניסה הראשונית לראוטר מבצעים התוקפים על ידי שימוש בסיסמאות סטנדרטיות של המוצר, מתקפות Brute-force או ניצול חולשה (CVE-2018-14847) בראוטרים המשתמשים בגרסה ישנה של RouterOS. בשלב הבא התוקפים משנים את סיסמת הראוטר על מנת לשמר בו את אחיזתם, ולאחר מכן עוברים להרצת פקודות ב-Shell הייחודי של המוצר, על מנת ליצור חוקים חדשים בראוטר שיכוננו את התשתית להעברת מידע בין העמדה לשרת התוקפים. לרוב, התוקפים ישתמשו בפורטים 443, 449 ו-8291 להעברת הנתונים או לגישה חיצונית לרכיבים של מוצרי רשת. צוות המחקר פרסם כלי המאפשר לזהות את דפוסי השימוש של הנוזקה ב-IoT, וכולל המלצות כלליות להתמגנות מפני שימוש זדוני ב-IoT, לרבות בדיקה של יצירת חוקי העברת תעבורה, עדכון תדיר של רכיבי הרשת, בדיקה של משימות מתוזמנות בעמדה, הגדרת סיסמה חזקה לרכיבי הרשת ועוד.


ארה״ב: בית חולים לילדים במדינת טנסי חווה ״בעיה באבטחת מידע״
ה-East Tennessee Children's Hospital, בית חולים פרטי ללא מטרות רווח המספק שירותי רפואה לילדים הסובלים ממחלות קשות, פרסם ב-14 במרץ הצהרה פומבית לפיה ״היה קורבן לבעיית אבטחת מידע״, שזוהתה על ידי המוסד יום קודם לכן. עוד נמסר כי בית החולים משתף פעולה עם חברות פורנזיקה ואבטחת מידע להכלת האירוע, וכי למרות האירוע מתאפשר המשך הטיפול בפציינטים. בשעה זו לא ידוע אם יש חשד לדליפת מידע או לאירוע כופרה.

Wordfence: עלייה ניכרת באתרים נגועים המשתייכים לחברת האירוח GoDaddy המנוהלת על ידי WordPress

Wordfence, המספקת שירותי אבטחה לפלטפורמת ניהול התוכן WordPress, דיווחה כי ב-15 במרץ התריע צוות ה-Incident Response שלה על העלייה האמורה, ואף מצא כי בכל אותם אתרים קיימת דלת אחורית זהה כמעט, לשם הפנייתם לאתרי ספאם המכילים תכנים שונים, בהם תכנים למבוגרים בלבד, על ידי יצירת תוצאות חיפוש ב-Google. על פי Wordfence, בפעילות שאותרה נמצא קשר לדומיינים רוסים, אך לא למניע פוליטי. לאור הממצאים, החברה ממליצה לבעלי אתרים המתארחים בשרתי GoDaddy המשתמשים בפלטפורמת הניהול WordPress לנקות מהם אתרי חיפוש המוגדרים כספאם, על פי ההנחיות המופיעות במדריך שפרסמה החברה.

בגרף המוצג מטה ניתן לראות את העלייה החדה בכמות האתרים שנמצאו נגועים:

                                                              (מקור: Wordfence, 15.3.22)

השבוע בכופרה

אחרי Samsung ו-NVIDIA: קבוצת הכופרה $LAPSU פורצת ל-Ubisoft
ברשומת בלוג שפרסמה ב-10 במרץ מסרה ענקית המשחקים כי היא חווה מתקפת סייבר אשר משבשת באופן זמני  את פעילות משחקיה, מערכותיה ושירותיה. עוד נמסר כי אנשי ה-IT של הארגון עובדים עם מיטב המומחים על מנת לגלות את מקור הבעיה. הודעתה של Ubisoft פורסמה לאחר שמשתמשים רבים צייצו בטוויטר על תקלה במשחקי החברה. במקביל, $LAPSU לקחה אחריות על המעשה באמצעות הודעה בערוץ הטלגרם שלה, זאת לאחר שבתקופה האחרונה סחטה חברות כמו Samsung ,NVIDIA ו-Mercado Libre באמצעות איומים כי תדליף לאינטרנט מידע ממערכותיהן.

חברת הייטק זדונית: דלף התכתובות הפנימיות של קבוצת הכופרה Conti ממשיך לספק הצצה מרתקת למבנה הארגון
בהמשך לדיווחינו בשבועות הקודמים (ראו ״הסייבר״, 3.3.22 ו-״הסייבר״, 10.3.22), דלף המידע המשמעותי של תכתובות חברי הקבוצה הוביל שלל חוקרים לנתח את תוכן ההודעות הרבות ולשתף סיכומים וממצאים שונים. במאמר המצורף מפורט כיצד קבוצת Conti מתנהלת בצורה דומה למדי לזו של חברת הייטק ״רגילה״, כאשר מבנה הצוותים בה מייצג היררכיה ארגונית רגילה כמעט, במסגרתה ראשי צוותים מדווחים להנהלה, למעט מקרים מסוימים בהם צוותים עובדים זה עם זה ישירות. הצוותים המרכזיים העולים מההתכתבויות הם צוות כוח האדם, האחראי על תהליכי גיוס, פיתוח עובדים ומשכורות, וכן צוותים של מפתחים, אנשי תשתיות ובודקי תוכנה, צוות האחראי על עקיפת מנגנוני אבטחה נפוצים, צוות המנתח כלי תקיפה של קבוצות אחרות, וצוות האחראי על איסוף מודיעין על קורבנות וניהול משא ומתן בעת דרישת כופר. צוות אחרון זה כולל מומחי OSINT (מודיעין ממקורות גלויים), המקבלים תשלום על בסיס עמלות בגובה 0.5-1% מסכום הכופר ששולם. עוד עולה מהתכתובות כי לא כל המועמדים המתראיינים למשרה בשורות הקבוצה מודעים לכך שהם מתנהלים מול ארגון פשיעה, היות והמראיינים שומרים על עמימות מכוונת בשלבי הגיוס הראשוניים, ובמקרים מסוימים גם בעת העסקת העובדים. על אף שהשכר המוצע לעובדי הארגון נחשב לגבוה מאוד, הם מתומרצים בעיקר באמצעות קנסות: כאשר עובד אינו זמין לעבודה או אינו מבצע אותה באופן משביע רצון, הוא נקנס על ידי מנהליו, ובמקרים מסוימים אף מפוטר. 


מיקרוסופט חושפת באגים בכופרה LockBit 2.0 לאחר ששיחזרה קבצים מוצפנים ללא כלי פענוח
בפרסום עדכני של לשכת החקירות הפדרלית (FBI) מופיעה התרעה מפורטת אודות הטקטיקות, הטכניקות והנהלים (TTPs) הנוגעים לכופרה כשירות (RaaS) הידועה LockBit 2.0, הפעילה מאוד בחודשים האחרונים. במאמר מקיף מפרטים חוקרי ה-Microsoft Detection and Response Team כיצד לאחר חקירה מעמיקה עלה בידיהם לנצל באגים בכופרה לשחזור קבצים מוצפנים במסד נתונים בחזרה למצב תקין, ללא שימוש בכלי פענוח. הדבר התאפשר לאחר שהצוות יצר קשר עם קורבן של LockBit 2.0, שלמרות שרכש את תוכנת הפענוח - לא הצליח לשחזר את קבציו הקריטיים שהוצפנו.

רוסיה מנצלת הגדרות שגויות במנגנוני אימות דו-שלבי לחדירה לרשתות ארגוניות 

הסוכנות לאבטחת סייבר ותשתיות (CISA) וסוכנות החקירות הפדרלית (FBI) של ארצות הברית פרסמו דוח המפרט כיצד גורמי איום בחסות רוסית תוקפים רשתות בהן מנגנון האימות הדו-שלבי (MFA), ובאופן פרטני ה-Duo, מוגדר באופן שגוי. מן הדוח עולה כי התוקפים חודרים אל ממשק ה- MFA, ובאמצעות Brute-force משיגים גישה למשתמש שאינו פעיל. בעזרת קונפיגורציה שגויה בממשק, התוקפים מצליחים להוסיף מכשיר נוסף המשמש לתהליך ה-MFA, ובכך מקבלים גישה לרשת האירגונית. משם ממשיכים התוקפים ומבצעים פעולה נוספת לניצול הגדרה שגויה אחרת, כשהם משנים בקובץ ה-Hosts המקומי במחשבים את הגדרות התקשורת מול שרת ה-Duo, באופן המבטל לחלוטין את ה-MFA. בשלב הבא, התוקפים מנצלים את חולשת ה-PrintNightmare המצויה במערכת ההפעלה Windows לשם הרצת קוד זדוני עם הרשאות מקומיות והשגת הרשאות גבוהות במחשב.

צוות קונפידס ממליץ למנהלי רשתות לעקוב אחר ההוראות המופיעות בפרסום ולהטמיע את מזהי התקיפה במערכות ההגנה של רשתותיהם. זאת ועוד, במידה ונעשה בארגון שימוש ב-MFA, יש לוודא שאין יכולת לבצע Enroll למכשירי אימות נוספים מבלי שמתבצע אישור של Admin. לבסוף, יש להקפיד על ביצוע Suspend למשתמשים שאינם בשימוש במערכות הארגוניות.


משתמשי Microsoft Office הוצפו בהתראות שווא שהתקבלו במערכת ה-Windows Defender

מקור ההצפה הוא בתיוג שגוי של עדכוני Microsoft Office כ״התנהגות חשודה״ המיוחסת לנוזקות במערכת. על פי דוח שפרסמה החברה, התקרית החלה ב-16 במרץ והביאה למספר בלתי מבוטל של התראות שווא מפני הימצאות כופרה בעמדות קצה. בעקבות גל דיווחים של משתמשי חבילת התוכנות, החברה פרסמה הצהרה לפיה ״החל מבוקר ה-16.03.22, לקוחות עשויים היו לחוות סדרה של התראות שווא הקשורות להתנהגות החשודה כנוזקה במערכות. בחקירה נמצא כי בעת פריסת העדכון האחרון, בעיות בקוד גרמו להתראות מסוג זה לפעול, כשלמעשה לא היתה שום בעיה. פרסנו עדכון קוד על מנת לתקן את הבעיה ולוודא כי לא יישלחו התראות שווא נוספות״.

המלחמה במזרח אירופה

 

ערב הפלישה לאוקראינה שובשו שירותי האינטרנט הלווייני של חברת Viasat בחלקים מסוימים ברחבי אירופה

לוויין התקשורת KA-SAT, הנמצא בבעלות חברת Viasat, מספק שירותי גישה לאינטרנט ברחבי אירופה, לרבות אוקראינה. כעת מתברר כי ב-24 בפברואר חלו שיבושים בלוויין, אשר גרמו לניתוקם של לקוחות Viasat מרשת האינטרנט. מדברים שאמר מישל פרידלינג, מפקד פיקוד החלל הצרפתי, ומחקירתן של סוכנויות מודיעין מערביות, עולה כי בסבירות גבוהה רוסיה וגורמים התומכים בה עומדים מאחורי המתקפה ששיבשה את התקשורת, כהכנה לקראת המערכה באוקראינה. ויקטור ז׳ורה, קצין תעבורה דיגיטלית ראשי בשירות ההגנה האוקראיני על תקשורת מיוחדת ומידע, אישר כי תוצאות נפילת התקשורת ביום הפלישה היו משמעותיות. נכון לשעה זו נראה כי השירות טרם שב לפעילות תקינה, כמומחש בתמונה להלן.

                                                                       (מקור: NetBlocks, 15.3.22@)


ספקית האינטרנט Triolan נפרצה פעמיים במסגרת הלוחמה באוקראינה

עם התקדמות המבצע הצבאי הרוסי, NetBlocks מפרסמת נתוני רשת המאשרים את התרחשותה של סדרת שיבושים משמעותיים בשירותי האינטרנט באוקראינה. בבוקר ה-24 בפברואר נרשמו שיבושים באינטרנט בחרקוב, העיר השנייה בגודלה באוקראינה, אשר החלו על רקע דיווחים על פיצוצים אדירים באזור והכרזתה של רוסיה על גיוס צבאי. המדדים הטכנולוגיים שפורסמו מעידים על אובדן קישוריות ברשת ספקית האינטרנט Triolan, ומאשרים דיווחי משתמשים על אובדן שירותים קוויים, עקב מתקפת סייבר ממוקדת. כשבועיים לאחר מכן, ב-9 במרץ היוותה Triolan מטרה למתקפת סייבר בפעם השנייה. שני האירועים גרמו לאובדן משמעותי של קישוריות בקנה מידה ארצי. ב-9 במרץ דיווח המגזין Forbes כי ספקית האינטרנט חשפה בפוסט בעמוד הטלגרם שלה את דבר הפריצה הכפולה. שלושה מקורות נוספים ב-Triolan ומייסד שותף לשעבר אישרו אף הם את התקיפה שאירעה ב-9 במרץ, ואחד מהם אף דיווח כי חלק מהמחשבים הפנימיים של Triolan הפסיקו לפעול משום ש"התוקפים איפסו את ההגדרות בחזרה להגדרות היצרן". עוד הוסיפו המקורות כי הארגון חווה קושי בהתאוששות מהתקיפה, היות ולשם שחזור המערכות נדרשה גישה פיזית לציוד, דבר שלא היה אפשרי בשל סכנת חיים שנשקפה לאנשי הצוות. בהודעה רשמית של הספקית נמסר כי "צמתי מפתח של הרשת נפרצו וחלק מהנתבים אינם ניתנים לשחזור״, וכי "מהנדסים עובדים כעת על שחזור האינטרנט, מעבר לכך אין לנו פרטים נוספים". בתוך כך, 70% מצמתי המפתח של הרשת, הממוקמים בערים קייב, חרקוב, דניפרו, פולטבה, אודסה, רובנה וזפוריז'יה, שוחזרו בהצלחה. סיבות אפשריות אחרות לשיבושי האינטרנט שחוו תושבי המדינה הן הפגזת תשתית שירותי הטלקום של Triolan שבסיסם בחרקוב, כמו גם הרס פיזי של תשתיות נוספות ברחבי אוקראינה. במקביל, ב-9 במרץ דווח על "הפרעה משמעותית באינטרנט" במחוז חרסון שבדרום אוקראינה, עם זמני השבתה ממושכים בקרב הספקיות Ukrtelecom ו-Volia. עד כה יוחסו שיבושי הטלקום באוקראינה להפסקות חשמל, למתקפות סייבר, לפעולות חבלה ולהשפעות קינטיות. מלבד השיבושים בתשתית הטלקומוניקציה המתועדים בדוח של NetBlocks, התקפות סייבר שיבשו גם את פעילות מגזרי ההגנה והבנקאות במדינה.


הפלישה לאוקראינה: כיצד מנוצל הטוויטר להשפעה על דעת הקהל העולמית? 
מממצאים של חוקרים מאוניברסיטת אינדיאנה ואוניברסיטת מילאנו, שהסתמכו על 40 מילות מפתח רלוונטיות באנגלית, בגרמנית, ברוסית ובאוקראינית ועל יותר מ-60 מיליון ציוצים שפורסמו החל מה-1 בפברואר, עולה שימוש בחשבונות מזויפים ברשת הטוויטר לקידום אג'נדות פוליטיות ויצירת רושם של תמיכה עממית באדם, במטרה או בצד בסכסוך, כל זאת באמצעות ציוצים המכילים קישורים לאתרי ספאם או לאתרים זדוניים, או פרופילים פיקטיביים המשתפים מחדש פוסטים, מבצעים לייקים וכותבים תגובות. בניתוח שהציגו החוקרים מופיעים נתוני טוויטר מהשלבים הראשונים של הלחימה במזרח אירופה, בהם עלייה משמעותית ביצירת חשבונות חדשים סביב תאריך הפלישה. מכיוון שרבים מהחשבונות הללו משתפים תוכן זהה, החוקרים סבורים כי מדובר במשתמשים מזויפים. בין התכנים הבולטים ששותפו על ידי ״משתמשים״ אלה מצויים פוסטים המותחים ביקורת על ממשלת הודו, התומכת ברוסיה, הודעות פרו-אוקראיניות שונות וקמפיין שהתגלה כתרמית, אשר אסף כספים במטבעות קריפטוגרפיים לשם תמיכה, כביכול, בהתנגדות האוקראינית. בתמונה להלן מוצג הגידול הליניארי שתועד במספר המשתמשים והציוצים.

                                                                               (מקור: OSoMe, 10.3.22)

קבוצות תקיפה מנצלים את המלחמה באוקראינה להפצת נוזקות במסווה של תמיכה באחד הצדדים בסכסוך

Talos, אגף המחקר של חברת Cisco, זיהה מגמה חדשה בקרב קבוצות תקיפה קיימות: ניצול תמיכתם של קורבנות משני צדי הסכסוך לצורך הפצת נוזקות. כך, למשל, מצאו חוקרי Talos כי הקובץ Liberator.exe, המופץ בקבוצות אוקראיניות בטלגרם ככזה התוקף מטרות רוסיות ״לשם שחרור אוקראינה״, למעשה גונב מידע ממכשירים עליהם הוא מורץ, לרבות שמות משתמשים וסיסמאות ומידע הקשור למטבעות קריפטוגרפיים, בייחוד NFTs. אזהרתו של אגף המחקר של Cisco היא כללית, מפני ניסיונותיהן של קבוצות תקיפה להביא קורבנות ללחוץ על קישורים ״לשם הבעת תמיכה״ באחד מהצדדים, לשם חשיפתם לנוזקות.

צוות קונפידס ממליץ להיכנס אך ורק לאתרים רשמיים ומוכרים לשם קבלת אינפורמציה על הקונפליקט במזרח אירופה, ולהימנע מללחוץ על קישורים בנושא המצורפים להודעות הנשלחות במדיומים שונים.


עלייה חדה במספר מתקפות הסייבר נגד אוקראינה

חברת Quad9, המעניקה שירותי DNS לבדיקת העברות מידע וחסימת בקשות DNS המזוהות כחשודות, דיווחה על עלייה של פי 10 במספר התקיפות המבוצעות כנגד אוקראינה. בהשוואה שביצעה, מצאה החברה כי בעוד ש-1 במרץ עמד מספר החסימות הכולל על 118 מיליון, 1.4 מיליון מתוכן באזור אוקראינה ופולין, מספר החסימות שהתבצעו ב-9 במרץ עמד על 121 מיליון, 6 מיליון מהן באזור אוקראינה ופולין, ורובן עקב ניסיונות פישינג והתקפות באמצעות נוזקות. בתוך כך, ראש הסוכנות לביטחון לאומי (NSA), הגנרל פול נקאסוני, התריע אף הוא מפני העלייה בכמות התקיפות המכוונות נגד גופים אוקראיניים, בציינו כי למרבה ההפתעה טרם נצפו במדינה תקיפות הרסניות במרחב הסייבר. עוד הזהיר נקאסוני מפני האפשרות שהתקיפות יהפכו למתקפות כופרה שיתפשטו ברשת. ביל וודקוק, בכיר בארגון ה-Packet Clearing House לאבטחת תשתיות אינטרנט קריטיות, אמר כי הקפיצה בכמות בקשות ה-DNS החסומות שמקורן באוקראינה מראה בבירור כי קיימת עלייה בכמות תקיפות הפישינג והנוזקות נגד המדינה. 


קבוצת ההאקרים Anonymous פרצה למערכות השלוחה הגרמנית של חברת האנרגיה הרוסית Rosneft 

על פי דיווח בעיתון הגרמני Welt, הפריצה אירעה, ככל הנראה, בלילה שבין ה-11 ל-12 במרץ, אך עד כה לא ניכר שהאירוע השפיע על אספקת החשמל של החברה בגרמניה. מידיעות שהגיעו ליומון הגרמני עולה כי הפריצה התרחשה על רקע המלחמה בין רוסיה לאוקראינה. בתוך כך, בפרסום בבלוג של קבוצת התקיפה נטען כי בפעולה נגנב מ-Rosneft Germany מידע בנפח של 20TB. 


אוקראינה: תקיפות כופרה וביון על ידי שחקני סייבר פרו-רוסים המפתים משתמשים להוריד את נוזקת Cobalt Strike

על פי פרסום מה-14 במרץ  בעמוד הטוויטר של MalwareHunterTeam, ה-CERT-UA האוקראיני, האמון על מתן מענה חירום לאירועי מחשב, מזהיר מפני הפצה של ״עדכוני אבטחה קריטיים לאנטי-וירוס״ בסביבת Windows, המתחזים לעדכונים לגיטימיים מטעם ממשלת אוקראינה שמטרתם, כביכול, לספק הגנה טובה יותר מפני פעולות הסייבר של רוסיה נגד ארגונים אוקראיניים. בפועל, מדובר בקבצים זדוניים שמפיצים גורמי איום, שככל הנראה פועלים בתמיכת רוסיה. הקבצים מאפשרים את התקנתן של נוזקת Cobalt Strike ונוזקות אחרות על מחשבי הקורבנות, כאשר לדברי ה-CERT-UA קבוצת התקיפה העומדת מאחורי הפצתם היא UAC-0056, שתקפה בעבר את ממשלת גיאורגיה בשעת מתיחות מול רוסיה.

                                                      (מקור: BleepingComputer, 14.3.22, מתוך ה-CERT-UA)

הסוכנות הגרמנית לביטחון מידע מזהירה מפני שימוש במערכות חברת Kaspersky על רקע המלחמה באוקראינה

ב-15 במרץ פרסם המשרד הפדרלי לאבטחת מידע בגרמניה (BSI) אזהרה מפני שימוש בתוכנות ההגנה מפני וירוסים של חברת אבטחת המידע הרוסית Kaspersky. לדברי ה-BSI, הפעולות והאיומים של רוסיה נגד האיחוד האירופי, נאט״ו וגרמניה מעלים את הסיכון להתקפות סייבר על ידי שימוש בתוכנה,, גם אם זה יעשה בניגוד לרצון החברה. מכיוון שההרשאות הניתנות לתוכנות אנטי-וירוס, כגון אלה של Kaspersky, מאפשרות ביצוע תקיפות סייבר וריגול אחר לקוחות, ה-BSI ממליץ על החלפת תוכנות ההגנה של החברה בתוכנות דומות של יצרנים אחרים.

                                                                  (מקור: BSI_Bund, 15.3.22@)

״זלנסקי נכנע״: פריצה לשידורי ערוץ טלוויזיה אוקראיני להחדרת מסרים 

ב-16 במרץ בשעה 12:25 פרצו האקרים פרו-רוסים לשידורי ערוץ החדשות הטלוויזיוני ״אוקראינה 24״ וכתבו בבאנר המופיע בתחתית המסך כי הנשיא האוקראיני וולודימיר זלנסקי נכנע וכי מומלץ לאוקראינים להפסיק להילחם. בתגובה העלה זלנסקי לרשת סרטון בו אמר כי המלצתו היחידה היא דווקא ש״חיילי הפדרציה הרוסית יניחו את נשקם וילכו הביתה״

סייבר בישראל

 
 

 
 

Black Shadow האיראנית שבה לתקוף חברות בישראל; הבורסה ליהלומים בהודעה חריגה לארגונים בענף: נתקו מערכות מהאינטרנט

ב-11 במרץ גילה מערך הסייבר הלאומי כי כמה חברות יהלומים ישראליות היו נתונות למתקפת סייבר. בתגובה לכך פרסמה הנהלת הבורסה ליהלומים אזהרה חריגה, לפיה "עקב התרעה דחופה שהתקבלה ממערך הסייבר הלאומי בנוגע למתקפה חריגה וחמורה על חברות היהלומים, המלצתם החד משמעית היא שעל כל מי שברשותו מערכות מחשוב המחוברות לאינטרנט, לנתק אותן מהרשת לסוף השבוע הקרוב״. במקביל נערכו בדיקות על מנת לקבוע אם מדובר במתקפה עולמית או בכזו שכוונה באופן פרטני כלפי חברות ישראליות. ב-13 במרץ, יומיים לאחר מכן, קבוצת ההאקרים Black Shadow, אשר פרצה אשתקד למערכות ״אטרף״ ו״שירביט״, פרסמה בחשבון הטלגרם שלה צילומי מסך מאתרה של חברת ״רובינשטיין תוכנה (SMBS)״, המספקת פתרונות תוכנה לחברות בשוק היהלומים, לצד רשימת לקוחות. לדברי מנכ״לית החברה שושי רובינשטיין, לא התרחשו פריצה ודליפת מידע משרתי החברה, למרות ניסיונות תקיפה חוזרים ונשנים שבוצעו נגדם בשבועות האחרונים. לדבריה, השרת שנפרץ ורשימת הלקוחות שהודלפה שייכים לסוחר יהלומים מהבורסה, הנמנה על לקוחותיה. בתוך כך, אתרה של חברת התוכנה הורד מן האוויר, בעקבות האזהרה שפרסמה הבורסה ליהלומים, כך מסרה רובינשטיין. 


מתקפת סייבר חריגה מביאה לקריסת אתרי הממשלה

על פי ידיעה שפורסמה באתר ynet ב-14 במרץ בשעה 21:00, שר התקשורת יועז הנדל אישר כי במהלך היום קרסו אתרי ממשלה עקב מתקפת סייבר נרחבת, וכי בעקבות האירועים התקיימה במשרדו הערכת מצב עם גורמי חירום. עוד נמסר כי חברות תקשורת ישראליות ביצעו פעולות להשבת זמינות השירותים בהקדם. באותו היום דווח על ידי מערך הסייבר הלאומי ורשות התקשוב הממשלתי כי ״בשעות האחרונות זוהתה מתקפת מניעת שירות על ספקית תקשורת אשר כתוצאה ממנה, נמנעה לזמן קצר הגישה למספר אתרים, ביניהם אתרי ממשלה. נכון לשעה זו כלל האתרים שבו לפעילות״. במקביל, בחדשות N12 הובאה התייחסותו של מבקר המדינה מתניהו אנגלמן לאירועים, לפיה "מדינת ישראל לא מוגנת מספיק מפני מתקפות סייבר". מנתוני איגוד האינטרנט ניכרת עלייה חריגה בתעבורה בתוך "תהיל״ה" (http://gov.il - תשתית הממשלה לעידן האינטרנט) דרך ספקית התקשורת סלקום (Netvision), דבר אשר ככל הנראה מעיד על מתקפת מניעת שירות (DDoS). המתקפה, אשר החלה ב-18:15 והסתיימה בסמוך לשעה 19:30, התאפיינה ברוחב פס של 15-20GB.


משרד מבקר המדינה: היערכות חסרה במרחב הסייבר מסוכנת במיוחד במקרה של מתקנים המחזיקים חומרים מסוכנים
דוח חדש של מבקר המדינה מתייחס לסכנה הנשקפת בעת לחימה למתקנים המחזיקים חומרים מסוכנים (חומ״ס), המצויים תחת איומים ביטחוניים שעמם מתמודדת ישראל. ברחבי המדינה ממוקמים אלפי מתקנים מסוג זה, חלקם בסמוך לריכוזי אוכלוסייה צפופים. אירוע חומ״ס הוא אירוע כגון דליפה, דליקה, שפך או פיזור שאינם מתוכננים כחלק מתהליך הייצור או העיבוד הרגילים, והוא עלול להתרחש, בין היתר, עקב לחימה, ולסכן חיי אדם, לפגוע בבריאות האוכלוסייה וברציפות התפקודית של המשק ולהביא לחסימת צירי תנועה מרכזיים. אי לכך, מנובמבר 2019 עד אוקטובר 2020 ערך משרד מבקר המדינה ביקורת בנושא ההיערכות לפגיעה במתקני חומ״ס באירועי לחימה. בסוף מאי אשתקד הועבר לידי ראש הממשלה נפתלי בנט והוועדה לענייני ביקורת המדינה של הכנסת דוח המבקר, אשר בהקשר הסייבר מציג תמונת מצב לפיה מערך הסייבר הלאומי והמשרד להגנת הסביבה לא הכינו תרחיש ייחוס לאיום הסייבר על מפעלים המחזיקים חומ״ס שאינם גופי תשתיות מדינה קריטיות. לאור כך, עיקרי ההמלצות בהיבטי הסייבר העולות מהביקורת הן:

  1. הכנת תרחיש ייחוס ברמה המדינתית על ידי מערך הסייבר הלאומי, ובהתאם לכך הכנת תרחיש ייחוס על ידי המשרד להגנת הסביבה בנושא תקיפות סייבר נגד מפעלי חומ"ס, כל זאת על מנת לאפשר לארגונים הרלוונטיים להיערך לאירוע מסוג זה באופן מיטבי. במידת הצורך יש להסתייע ברשות החירום הלאומית ובצה"ל לשם הכנת תרחיש הייחוס.

  2. בחינה משותפת של מערך הכבאות וההצלה והמשרד לביטחון פנים של כלל היערכות מערך הכבאות וההצלה, לרבות היבטי זמן תגובה לאירוע חומ"ס, וביצוע השלמת פערים מבצעיים בתחום הגילוי, הזיהוי והניטור, על מנת שמערך הכבאות יוכל לספק מענה לאירועי חומ"ס, בדגש על אירועים בלחימה.

הדוח גורס, לסיכום, כי ההיערכות לפגיעה במתקני חומ״ס בעת לחימה מחייבת תיאום, שיתוף פעולה והכנה מצד גופים רבים. על כלל הגופים הנוגעים בדבר לפעול לתיקון הליקויים שעלו בדוח, כל אחד בתחומו, ועל המשרד להגנת הסביבה מוטלת החובה לעקוב אחר הטיפול בכלל הליקויים המצוינים בו.


העיקר הבריאות: משרד הבריאות פרסם פק"ל אבטחת מידע להיערכות לאירוע סייבר
בשנים האחרונות, אנו עדים למתקפות סייבר חוזרות ונשנות על מערכות שירותי הבריאות והרפואה בעולם ובישראל, כדוגמת מתקפת הסייבר על בית החולים ״הלל יפה״ באוקטובר 2021, לאחר שגורמי התקיפה הסירו ״חסמים אתיים״ ותוקפים ארגוני בריאות. על רקע זה, המסמך המכונה ״פק"ל אבטחת מידע וסייבר היערכות וניהול משבר סייבר״ שהפיץ משרד הבריאות לסקטור הרפואי בישראל נועד לעודד היערכות הולמת של המוסדות הרפואיים, על מנת לצמצם את חומרתם של אירועי סייבר עתידיים. המסמך מכיל את הפרקים הבאים: הכנה לקראת אירוע סייבר, התמודדות עם אירוע סייבר והפקת והטמעת לקחים ומסקנות לאחר האירוע. הפרק העוסק בהכנה לקראת אירוע סייבר מתמקדת בזיהוי מתקפת סייבר, גיבוש תהליכי עבודה, מבנה ארגוני וצוות ניהול המשבר לצורך התמודדות עם האירוע, מצבי התרעה אשר הוגדרו על ידי מערך הסייבר הלאומי בהתאמות למגזר הרפואי (לרבות הכרזה על משבר סייבר והפעולות הרלוונטיות הנדרשות, כגון הערכת מצב, תכניות פעולה, החלטות ועוד) ותכנון המשכיות קלינית (לרבות נהלים ותרגול שיטות עבודה חלופיות, גיבוי של מכשור רפואי קריטי, מערך גיבויים למידע ועוד). הפרק העוסק בניהול אירוע סייבר מתמקד במטרות תקיפה נפוצות ובפעולות הארגון הרפואי וצוות ניהול המשבר, לרבות הסבר על ״שעון הלחימה״, התנהלות מול גורמים חיצוניים ופעילות צוות המענה הטכנולוגי. עוד מכיל המסמך את הנספחים ״תבנית לנוהל ניהול משבר בארגון רפואי״, ״טופס דיווח אירוע ל-SOC מגזר הבריאות״ ו״דוגמא להנחיות עבודה למצב של השבתת מערכת רשומה רפואית ממוחשבת״. מתוך ניסיוננו, אנו סבורים כי במסמך חסרה התייחסות לנושאים הבאים: צוות ניהול המשבר - מהם תחומי האחריות של כל אחד מבעלי התפקידים לפני, במהלך ואחרי מתקפת הסייבר; בדיקת מהימנות המידע במערכות המשוחזרות טרם השבתן לפעילות; יצירת עמדת גיבוי מידע נפרדת מהרשת לצורך שימוש בעת אירוע; התייחסות לצורך ממוקד בפק"ל אירוע סייבר ייעודי לצוות המחשוב; העמקה בנושא סדרי העדיפויות לטיפול בחולים בעת אירוע סייבר; העמקה בנושא סדרי העדיפויות בתהליכים רפואיים/תפעוליים להתאוששות וסדרי עדיפויות על פי מערכות ממוחשבות; הגדרת מדרגות חזרת הטיפול והשירות הרפואי בהתאם לתהליך השבת מערכות המחשוב הקריטיות; נגישות למידע של מטופלים (כגון תכניות ניתוחים, חולי דיאליזה, מונשמים ועוד) באמצעות הדפסות או נגישות למערכות ענן; רשימות טלפונים נגישות של עובדים ומטופלים; תכנון תגבורי כוח אדם ושירותים חליפיים לאור הקפיצה במענה אנושי-ידני; מתן מענה לאתגרים ייחודיים בהנפקת תרופות ללא מערכות מחשוב (מענה לירידה בתפוקת העבודה, לניהול מלאים, לנרקוטיקה ולמניעת ניצול לרעה של תרופות); היערכות לוויסות רפואי ותפעולי.

סייבר בעולם

 

אנגליה: המרכז הלאומי לאבטחת סייבר קורא לארגונים להעלות את רמת ההגנה על תשתיות קריטיות ומאגרי מידע 
לדברי ד״ר יאן לוי, ראש ה-NCSC, ״מידע אישי הוא אחד מהנכסים החשובים ביותר באנגליה, מה שהופך את מאגרי המידע המחזיקים בו ליעד אטרקטיבי למתקפת סייבר״. לאור זאת, הסוכנות הוציאה דף הנחיות למשתמשים ולמנהלי מערכות בנושא העלאת רמת ההגנה על מאגרי מידע, על מנת לקבוע סטנדרט לניהול ויישום הגנה במערכות ארגונים. ההנחיות שפורסמו כוללות ניהול הרשאות גישה, ניהול מיקום גאוגרפי של החומר הנשמר במערכות והגישה אליו, המלצות ליישום בקרות גישה פיזיות ועוד.


ה-CISA עדכנה את המדריך להקשחת סביבות Kubernetes
המדריך בן 66 העמודים, אותו פרסמה לראשונה הסוכנות האמריקאית לאבטחת סייבר ותשתיות באוגוסט 2021,  נועד להעלות את המודעות בקרב מנהלי רשתות ומפתחים בסביבות K8 לאתגרים ולקשיים אבטחתיים בעת הקמה ותפעול הסביבות. בין היתר, המדריך מסביר כיצד ניתן למצוא חולשות ושגיאות הגדרתיות בקונטיינרים וב-Pods, לבדל רשתות בצורה נכונה על מנת למזער נזקים במקרה של תקיפה, לנטר ולאסוף לוגים בכדי לקבל התראות על פעולות קריטיות במערכת ועוד. את המדריך המלא ניתן למצוא כאן.

סייבר ופרטיות - רגולציה ותקינה

 

ישראל משתתפת בוועדה של האו"ם המגבשת אמנה נגד פשע מקוון: התמקדות בחקירות פליליות ובשיתוף פעולה בינלאומי
בסוף חודש מרץ תצא לדרך סדרת מפגשים עם מגוון גורמים מדינתיים ולא-מדינתיים בחסות האו"ם, לשם ייעוץ לקראת גיבוש אמנה בינלאומית נגד פשע מקוון. במסגרת זו משתתפת ישראל בוועדה שהוקמה לניהול משא ומתן בנוגע לתכני האמנה, המסתמכת על החלטת העצרת הכללית שהתקבלה בשנת 2020. אמנה זו הינה האמנה הבינלאומית השנייה העוסקת בפשע מקוון, כשהראשונה, האמנה נגד פשע מקוון, נחתמה בבודפשט ב-2001 (לאמנה זו הצטרפה ישראל ב-2016). בתוך כך, המשא ומתן המתרחש כעת בחסות האו"ם מאופיין במחלוקת בנוגע להיקף האמנה החדשה ותכניה, כאשר מספר מדינות מביעות דאגה מפני התרחבותה לנושאים שאינם נוגעים לפשע מקוון, כגון לוחמת סייבר, סוגיות בביטחון לאומי ומשילות באינטרנט, במקום להתמקד בפשע ובאכיפת חוק. מר אמיר שגיא, מתאם לענייני סייבר מטעם משרד החוץ, אמר בדברי הפתיחה של הוועדה כי "ישראל גורסת שעל היקפה של אמנת האו"ם העתידית להתמקד בעיקר בדין הפלילי, וכן במנגנונים לשיתוף פעולה. [...] לפיכך, אנו ממליצים שתוכן האמנה יהיה קומפקטי וממוקד באלמנטים החיוניים של חקירות והעמדה לדין על עבירות שהוגדרו על ידי האמנה והדין הפלילי״.

חוק סייבר פדרלי חדש בארה"ב: בעלי תשתיות קריטיות מחויבים לדווח על תשלום דמי כופר תוך 24 שעות
בהמשך לדיווחינו בשבועות הקודמים (ראו ״הסייבר״, 3.3.22 ו-״הסייבר״, 10.3.22), במהלך תקדימי וזריז עבר חוק סייבר פדרלי עבר הן את אישור הסנאט והן את אישור בית הנבחרים, ונחתם על ידי הנשיא ג׳ו ביידן ב-15 במרץ. ה-Strengthening American Cybersecurity Act, הקובע מספר דרישות חדשות בתחום הגנת הסייבר של תשתיות קריטיות, כולל, בין היתר, חובת דיווח ל-CISA על אירוע סייבר שהתרחש תוך 72 שעות (לרבות תיאור האירוע והשפעתו על היבטים תפעוליים של הארגון), ודיווח תוך 24 שעות על תשלום דמי כופר. מנהלת הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) ג'ן איסטרלי אמרה כי "החקיקה [החדשה] משנה את חוקי המשחק ומהווה צעד קריטי בהתקדמות לעבר הגנת סייבר קולקטיבית של האומה האמריקאית". לקראת חתימת הנשיא על החוק, קיימת עדיין מחלוקת בנוגע לזהות הגורמים להם יש לדווח על האירועים, כאשר משרד המשפטים ולשכת החקירות הפדרלית (FBI) מותחים ביקורת על כך שהחוק אינו מחייב דיווח גם לזו האחרונה. בהתפתחות מקבילה, שאינה קשורה באופן ישיר לחוק הפדרלי, הוועדה האמריקאית לניירות ערך ולבורסות (SEC) מגבשת כללים חדשים לדיווח על אירועי סייבר, שיוטלו על חברות ציבוריות (ראו גם ״הסייבר״, 17.2.22). 


טקסס: כתב אישום נגד אזרח אוקראיני המואשם בביצוע עבירות מחשב והלבנת הון; צפוי לעד 115 שנות מאסר במידה ויורשע 
ב-9 במרץ התייצב בבית משפט בטקסס ירוסלב וסינסקי (22), אותו מאשים משרד המשפטים האמריקאי בביצוע מתקפות כופרה נגד קורבנות רבים, לרבות המתקפה שאירעה ביולי 2021 נגד חברת Kaseya. לפי כתב האישום, וסינסקי ניגש לרשתות המחשבים הפנימיות של מספר חברות ופרס בהן את הכופרה Sodinokibi/REvil, על מנת להצפין את הנתונים המצויים בהן. וסינסקי מואשם בקשירת קשר לביצוע הונאה וגרימת נזק למחשבים מוגנים, כמו גם בקשירת קשר לביצוע הלבנת הון. אם יורשע בכל הסעיפים בהם הוא מואשם, וסינסקי צפוי לעונש של 115 שנות מאסר. לפי כתב האישום, "וסינסקי, אזרח אוקראיני בעל קשרים לקבוצות כופרה הקשורות לשחקנים רוסים, נעצר בפולין, שם הוחזק על ידי הרשויות עד להליכים הנוגעים להסגרתו לבקשת ארצות הברית, בהתאם להסכם ההסגרה בין ארצות הברית והרפובליקה של פולין". בהמשך הועבר וסינסקי למדינת טקסס על ידי גורמי האכיפה האמריקאיים, לאחר שיתוף פעולה משטרתי וחקירתי שכלל מדינות רבות, בהן ארצות הברית, פולין, רומניה, קנדה, צרפת, הולנד, אוסטרליה, נורווגיה, אוקראינה ואחרות.


המועצה האירופית להגנה על מידע מפרסמת הנחיות בעניין העברת מידע באמצעות קוד התנהגות התואם את רגולציית ה-GDPR  

ב-22 בפברואר אימצה ה-EDPB הנחיות חדשות בנוגע לקוד ההתנהגות החל על העברת מידע אישי בין מדינות. הנחיות אלה מהוות מכשיר רגולטורי המאפשר העברה מוגנת של מידע אישי בהתאם לסעיף 40 של ה-GDPR. ה-GDPR מחייב בקרים/מעבדים לדאוג לאמצעי הגנה המתאימים להעברת מידע אישי למדינות צד ג׳ או לארגונים בינלאומיים (סעיף 46), כאשר לצורך כך יכולים ארגונים להשתמש במספר אמצעי ההגנה, בהם קודי ההתנהגות המוגדרים בסעיף 40. התהליך שנקבע על ידי ה-GDPR לגיבוש קוד ההתנהגות הרלוונטי מתואר בתרשים להלן. 

                        (מקור: Guidelines 04/2021 on Codes of Conduct as tools for transfers, 22.2.2022, עמ' 15) 

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי וגיא פינקלשטיין.