WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 17.11.2022

עיקרי הדברים

  1. ישראל: מערך הסייבר הלאומי מתריע מפני קמפיין פישינג איראני פעיל המתחזה לחברת מל״מ; דליפת מידע חמורה מאתר פרויקט ״נעל״ה״ - נחשפו חוות דעת פסיכולוגיות ומידע רפואי רגיש על קטינים; גם תוכניות בנייה מפרויקט הרכבת הקלה בתל אביב דלפו; לראשונה: תרגיל סייבר משותף למשרד האוצר הישראלי ולמקבילו האמריקאי. 

  2. ארה״ב: כתב אישום במחוז ניו ג'רזי נגד אזרח של רוסיה וקנדה החשוד שהשתתף בקמפיין הכופרה של LockBit; קבוצות תקיפה איראניות תוקפות רשתות פדרליות לטובת כריית מטבעות קריפטו וגניבת פרטי גישה. 

  3. קמעונאית המזון הקנדית Sobeys נפגעה מכופרת Black Basta; יותר מחודש לאחר תקיפתו בכופרה, ארגון הבריאות האמריקאי CommonSpirit Health מתקשה לשוב לפעילות מלאה; האקרים פרצו למערכות חברת הקורקינטים הרוסית Whoosh - מידע חלקי של 7.2 מיליון לקוחות מוצע למכירה ברשת; האקרים משתמשים ב-YouTube להפצת נוזקות באמצעות התחזות ל-100 יישומים פופולריים.

  4. האיחוד האירופי מקדם רגולציות בתחום הסייבר: NIS2, מדיניות סייבר משותפת וחוק השווקים הדיגיטליים.

  5. *אנו ממליצים לעדכן את המוצרים הבאים: המוצר Grafana (קריטי); מערכת ההפעלה Debian (גבוה); מערכות ההפעלה macOS Ventura ו-iPadOS של Apple (גבוה); מערכת Dell Connectrix (גבוה); מוצרי Cisco (גבוה); מוצרי Intel; מערכת ההפעלה ChormeOS של Google (גבוה); מוצרים של Mozilla (גבוה), המוצר PDF Reader של Foxit.*

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכון אבטחה למערכת ההפעלה Debian נותן מענה לחולשה ברמת חומרה גבוהה
עדכוני אבטחה של Apple למוצרים macOS Ventura ו-iPadOS נותנים מענה לשתי חולשות ברמת חומרה גבוהה
עדכוני אבטחה ל-Grafana נותנים מענה ל-3 חולשות, אחת מהן קריטית
עדכון אבטחה ל-Dell Connectrix נותן מענה לחולשה קריטית
עדכוני אבטחה למוצרי Cisco נותנים מענה ל-22 חולשות, 10 מהן ברמת חומרה גבוהה
עדכוני אבטחה למוצרי Intel נותנים מענה לחולשה חדשה העלולה לאפשר מתקפת DDoS
עדכון אבטחה ל-Google ChormeOS נותן מענה לשתי חולשות ברמת חומרה גבוהה
עדכוני אבטחה של Mozilla נותנים מענה לחולשות בכמה ממוצרי החברה, חלקן ברמת חומרה גבוהה
חולשה קריטית זוהתה בפלטפורמת Backstage שבבעלות Spotify
עדכוני אבטחה של Foxit ל-PDF Reader נותנים מענה ל-4 חולשו

התקפות ואיומים

תרמית סחיטה חדשה מאיימת לפגוע במוניטין של אתרים ולהדליף נתונים אם לא יבוצע תשלום כופר בסך 2,500 דולר
נמצאה שיטה לעקיפת נעילת המסך בטלפונים מבוססי Android
KmsdBot: נוזקה חדשה המשמשת לכריית מטבעות קריפטו ולביצוע מתקפות DDoS; כ-17% ממקרי ניצול החולשות הם לטובת כריית קריפטו
חולשה חדשה משפיעה על טכנולוגיית רשת המשמשת לוויינים ומטוסים
הבוטנט החדש שמחפש את הראוטר של

השבוע בכופרה

קנדה: קמעונאית המזון Sobeys נפגעה מכופרת Black Basta
המתקפה על Medibank: פורסמו נתונים על 9.7 מיליון לקוחות החברה; משטרת אוסטרליה: האקרים רוסים עומדים מאחורי המתקפה
אירוע מתגלגל: יותר מחודש לאחר תקיפת הכופרה, שירותי הרפואה האמריקאיים CommonSpirit Health מתקשים לשוב לפעילות מלא

המלחמה במזזרח אירופה

קבוצת הסייבר הרוסית IRIDIUM תוקפת בכופרה חברות תחבורה ולוגיסטיקה אוקראיניות ופולניו

סייבר בעולם

ה-FBI מזהיר מפני נוכלים המתחזים לנציגי תמיכה טכנית של פורטלי תשלום לקבלת החזרים
ארה״ב: ה-FBI ושירות הפיקוח על הדואר החרימו 18 דומיינים המשמשים לגיוס ״עובדים״ לשם הונאות משלוחים במסווה של הצעות עבודה מהבית
משרד הבריאות האמריקאי מתריע מפני שימוש בכופרה Venus נגד ארגונים ממגזר הבריאות
ה-CISA מוסיפה ל״קטלוג החולשות הידועות המנוצלות״ מזהה נוסף לחולשות ב-Zimbra Collaboration Suite וחולשה חדשה ב-MotW
האקרים משתמשים ב-YouTube להפצת נוזקות באמצעות התחזות ל-100 יישומים פופולריים
האקרים פרצו למערכות חברת הקורקינטים הרוסית Whoosh; מידע חלקי של 7.2 מיליון לקוחות מוצע למכירה ברשת
זהירות! תמונות תמימות עלולות להכיל נוזקה סמויה
התגלו 42 אלף אתרים המשמשים לתרמית שמטרתה לייצר הכנסות ממודעות
קבוצת האקרים סינית הפועלת למטרות ריגול פורצת לרשויות ממשלתיות במדינות אסיאתיות
שתי חולשות SQLi קריטיות נמצאו בשירות של Zendesk Analytics
DTrack: דלת אחורית בשימוש קבוצת התקיפה $Lazarus מתמקדת באירופה ובאמריקה הלטינית, אך מרחיבה את פעילותה לאזורים נוספים
ארגונים חשופים למתקפות מסוג ״תשישות אימות דו-שלבי״
האקרים מנצלים אתרי אינטרנט ממשלתיים בעשרות מדינות להפצת שלל נוזקות ולביצוע פישינג
Snapshots של Amazon Public RDS Snapshots נמצאו חשופים ופגיעים ברחבי האינטרנט
קבוצות תקיפה איראניות תקפו משרדים פדרליים בארה״

סייבר בישראל

לראשונה: תרגיל סייבר משותף למשרד האוצר הישראלי ולמקבילו האמריקאי
דלפו תוכניות בנייה מפרויקט הרכבת הקלה בתל אביב
מערך הסייבר הלאומי מתריע מפני קמפיין פישינג פעיל אשר במסגרתו קבוצת תקיפה איראנית מתחזה לחברה ישראלית
דליפת מידע חמורה מאתר פרויקט ״נעל״ה״; נחשפו חוות דעת פסיכולוגיות ומידע רפואי רגיש על קטינים

סייבר ופרטיות - רגולציה ותקינה

האיחוד האירופי מקדם רגולציות בתחום הסייבר: NIS2, מדיניות סייבר משותפת וחוק השווקים הדיגיטליים
יפן מצטרפת למרכז למצוינות סייבר של ארגון הנאט"ו: הרחבת מעגל המדינות התומכות בהגנת סייבר משותפת על מדינות הארגון
ארה״ב: כתב אישום במחוז ניו ג'רזי נגד אזרח של רוסיה וקנדה החשוד שהשתתף בקמפיין הכופרה של LockBi

כנסים

 
 

הציטוט השבועי

״סייבר הוא מרחב השנוי במחלוקת מתמדת, ו[בו] הגבול בין שלום, משבר וסכסוך מטושטש. זו הסיבה לכך שנאט"ו לקחה ברצינות כה רבה משך זמן כה רב את האיום על מרחב הסייבר מצד גורמים מדינתיים ולא-מדינתיים, ושנקטנו בצעדים נחושים כדי להתגונן מפני התקפות סייבר. זוהי סוגיית מפתח בהגנה הקולקטיבית שלנו.״ 

מזכ"ל נאט"ו ינס סטולטנברג בכנס הגנת הסייבר של נאט"ו, 10.11.2022.

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכון אבטחה למערכת ההפעלה Debian נותן מענה לחולשה ברמת חומרה גבוהה 

מערכת ההפעלה Debian משמשת כפלטפורמה למגוון רחב של הפצות Linux. ב-12 בנובמבר פורסם ידיעון אבטחה מספק מענה לחולשה (CVE-2022-44638, CVSS 8.8) מסוג Heap buffer overflow שהתגלתה במערכת, ועלולה להיות מנוצלת באמצעות פגם בקוד של ספריית Pixman, שהינה תוכנה למניפולציה על פיקסלים, המספקת תכונות כגון קומפוזיציה של תמונות ומשמשת כספרייה גרפית. ניצול החולשה עלול לאפשר מתקפת מניעת שירות (DDoS) ואולי אף הרצת קוד מרחוק (RCE). גרסה 0.40.0-1.1~deb11u1 של המוצר סוגרת את החולשה, כאשר על פי הידיעון שפורסם מומלץ לעדכן את חבילת ה-Pixman גם באופן ידני, כמפורט כאן. ניתן לעקוב אחרי סטטוס האבטחה של החבילה כאן.

צוות קונפידס ממליץ לבעלי מערכות הפעלה מבוססות Debian לעדכן את חבילת ה-Pixman שברשותם.


עדכוני אבטחה של Apple למוצרים macOS Ventura ו-iPadOS נותנים מענה לשתי חולשות ברמת חומרה גבוהה

מקור החולשות (CVE-2022-40304 ו-​​CVE-2022-40303), אשר קיבלו את ציון החומרה CVSS 8.2, הינו בחבילה libxml2, והן עלולות לאפשר לתוקף מרוחק להשבית יישומים שונים באופן בלתי צפוי ולהריץ קוד שרירותי במערכות פגיעות.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכם בהקדם לגרסאותיהם האחרונות, macOS Ventura 13.0.1 ו-iOS 16.1.1/iPadOS 16.1.1.


עדכוני אבטחה ל-Grafana נותנים מענה ל-3 חולשות, אחת מהן קריטית

Grafana היא אפליקציית קוד פתוח מרובת-פלטפורמות לניתוח ו-ויזואליזציה אינטראקטיביים. היא מספקת תרשימים, גרפים והתראות בממשק אינטרנטי, ומחוברת למקורות נתונים נתמכים. העדכון שפורסם סוגר במוצר חולשה (CVE-2022-39328, CVSS 9.8) קריטית מסוג גישה לא מורשית לנקודות קצה שרירותיות, אשר עלולה לאפשר למשתמש שאינו מאומת לבצע שאילתות על נקודת קצה ב-Grafana. מרוץ תהליכים הנוצר בעת יצירת בקשת HTTP עלול לגרום לה להקצות לתהליך את תוכנות האימות או ההרשאה של קריאה אחרת, ובמצב של עומס רב ייתכן שלשיחה המוגנת על ידי תווכה (Middleware) פרטית תוקצה במקום זאת תווכה של שאילתה ציבורית. כתוצאה מכך, משתמש שאינו מאומת יוכל לבצע בהצלחה שאילתות בנקודות קצה מוגנות. שתי חולשות נוספות שקיבלו מענה בעדכון הן ברמת חומרה בינונית, האחת (CVE-2022-39306, CVSS 6.4) עלולה לאפשר לתוקף לשלוח קישור הזמנה למשתמש שאינו קיים במערכת ובכך להתחבר אליה בעצמו, והשנייה (CVE-2022-39307, CVSS 5.3) עלולה לאפשר לתוקף לאסוף מידע על משתמשי המערכת על ידי שליחת בקשת ״שכחתי סיסמה״ עם שם משתמש מסוים, מכיוון שהמענה לבקשה חושף אם המשתמש הספציפי קיים במערכת או לא.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.


עדכון אבטחה ל-Dell Connectrix נותן מענה לחולשה קריטית

העדכון סוגר חולשה (CVE-2022-33186 CVSS 9.4) מסוג EZswitch שהתגלתה במתגי (Dell Connectrix (Brocade, ועלולה לאפשר לתוקף מרוחק שאינו מאומת לבצע פקודות להשבתת המתג והיציאות ולשינוי כתובת ה-IP של המתג. החולשה רלוונטית לגרסאות v9.1.1 ,v9.0.1e ,v8.2.3c ו-v7.4.2j של Dell Connectrix ולגרסאות מוקדמות יותר.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בדחיפות לגרסתו האחרונה.


עדכוני אבטחה למוצרי Cisco נותנים מענה ל-22 חולשות, 10 מהן ברמת חומרה גבוהה

שתי החולשות החמורות ביותר שנסגרות בעדכון הן:
חולשה (CVE-2022-20946, CVSS 8.6) במוצר Cisco FTD Software (גרסאות 6.3.0 ומעלה) העלולה לאפשר לתוקף מרוחק שאינו מאומת לבצע מתקפת מניעת שירות (DDoS).

חולשה (CVE-2022-20947, CVSS 8.6) הרלוונטית למוצרים המריצים גרסה פגיעה של התוכנה Cisco ASA או Cisco FTD Software, בהינתן התנאים הבאים:

  • מאופשר Remote Access SSL VPN.

  • מאופשר HostScan.

  • מוגדר לפחות DAP אחד המותאם אישית.

החולשה עלולה לאפשר לתוקף מרוחק שאינו מאומת להפעיל מחדש את המכשיר הפגוע, ובכך לבצע מתקפת מניעת שירות (DDoS). רשימה מלאה של המוצרים הפגיעים והעדכונים שפורסמו להם מצויה כאן.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.


עדכוני אבטחה למוצרי Intel נותנים מענה לחולשה חדשה העלולה לאפשר מתקפת DDoS

החולשה רלוונטית לחלק ממוצרי ה-Intel(R) PROSet/Wireless WiFi ,Intel vPro(R) CSME WiFi ו-Killer(TM) WiFi. עדכון קושחת המוצרים עשוי לצמצם את הסיכוי להיפגע ממתקפת מניעת שירות (DDoS) בידי תוקף עם גישה מקומית. מקור החולשה ב​​ניהול שגוי של קלט מהמשתמש, ואלה גרסאות המוצרים הפגיעות לה:

  • Intel® PROSet/Wireless WiFi Firmware - גרסה 22.140 וגרסאות מוקדמות יותר.

  • Killer™ WiFi Firmware - כל גרסה הקודמת ל-3.1122.3158.

  • UEFI - גרסה 2.2.14.22176.2 וגרסאות מוקדמות יותר.

צוות קונפידס ממליץ למשתמשי המוצרים הפגיעים לעדכנם לגרסאותיהם האחרונות, על פי הוראות היצרן.


עדכון אבטחה ל-Google ChormeOS נותן מענה לשתי חולשות ברמת חומרה גבוהה

גרסה 102.0.5005.185 של מערכת ההפעלה סוגרת במוצר שתי חולשות (CVE-2022-3450, CVSS 8.8; CVE-2022-3449, CVSS 8.8) מסוג Use-After-Free, שמקורן בניהול שגוי של הקצאת הזיכרון במערכת.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.


עדכוני אבטחה של Mozilla נותנים מענה לחולשות בכמה ממוצרי החברה, חלקן ברמת חומרה גבוהה

החולשות רלוונטיות למוצרים Firefox ,Firefox ESR ו-Thunderbird, כאשר החמורות שבהן עלולות לאפשר לתוקף לבצע מתקפת Spoofing, לגרום לקריסת הדפדפן, לשנות ולהשחית מידע ולהריץ קוד שרירותי במערכת הקורבן.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאות האחרונות - Firefox 107 ,Thunderbird 102.5 ו-Firefox ESR 102.5


חולשה קריטית זוהתה בפלטפורמת Backstage שבבעלות Spotify

צוות המחקר של Oxeye גילה את החולשה בפלטפורמה, המשמשת ענקיות טכנולוגיות ברחבי העולם לבניית פורטלי מפתחים. עם קבלת הדיווח מיהר צוות Backstage לסגור את החולשה, בגרסה 1.5.1 שפרסם. החולשה, שקיבלה את ציון החומרה CVSS 9.8, עלולה לאפשר לתוקף להריץ קוד מרחוק בהרשאות מערכת, ומקורה בפגם בתוסף Scaffolder, המשמש את ליבת המערכת. מכיוון שפלטפורמת Backstage מכילה פרטים רבים אודות תוכנות צד ג' (Integrations) המשמשות ארגונים, חדירה אליה עלולה להביא לפגיעה משמעותית. בחקירתם, החוקרים מצאו במנוע ה-JavaScript המכונה V8 תיעוד שסייע להם להבין כיצד ניתן לנצל את הפונקציה renderString2 לביצוע שגיאה יזומה המאפשרת את ניצול החולשה.

צוות קונפידס ממליץ למשתמשי Backstage לעדכן את הפלטפורמה לגרסתה האחרונה ולוודא שההתחברות אליה מוגנת בסיסמה חזקה עבור ה-Frontend וה-Backend כאחד.


עדכוני אבטחה של Foxit ל-PDF Reader נותנים מענה ל-4 חולשות

החולשות (CVE-2022-32774, CVE-2022-38097, CVE-2022-37332, CVE- 2022-40129), שטרם קיבלו ציוני חומרה, רלוונטיות למערכת ההפעלה Windows ונראה כי מקורן במנוע ה- JavaScript שבמוצר. החולשות עלולות לאפשר לתוקף להריץ קוד זדוני מרחוק במידה והמשתמש פותח מסמך PDF זדוני, והן מצויות במוצרים הבאים:
Foxit PDF Reader - גרסה 12.0.1.12430 ומוקדמות יותר.
Foxit PDF Editor - גרסאות 12.0.1.12430, 12.0.0.12394, 11.2.3.53593, כל גרסאות 11 ומאוחרות יותר וגרסה 10.1.9.37808 ומוקדמות יותר.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסתם האחרונה, 12.0.2, ולשקול לנטרל בהם את מנוע ה-JavaScript.

התקפות ואיומים

תרמית סחיטה חדשה מאיימת לפגוע במוניטין של אתרים ולהדליף נתונים אם לא יבוצע תשלום כופר בסך 2,500 דולר

על פי פרסום במגזין אבטחת המידע BleepingComputer, התרמית מכוונת נגד בעלי ומנהלי אתרים מרחבי העולם, ומתבססת על טענת שווא של התוקפים, לפיה עלה בידיהם לפרוץ לשרתי האתרים. לדבריהם, אם לא יועבר לידיהם הסכום המבוקש, הם ידליפו מהשרתים נתונים, יפגעו במוניטין הקורבן ויכניסו את האתר לרשימה שחורה של ספאם. התקיפה מתחילה במיילים שנושאם ״אתר האינטרנט, מסדי הנתונים והמיילים שלך נפרצו", הנשלחים באופן שאינו ממוקד לבעלי אתרים משלל מגזרים, בהם בלוגים אישיים, סוכנויות ממשלתיות ותאגידים גדולים. בין הקורבנות שלא נפלו בפח נמנים גם כתב BleepingComputer אקס שארמה ומייסד Have I Been Breached טרוי האנט, שאף העלה לטוויטר את תוכן המייל שקיבל, בציוץ בו כינה את התוקפים ״אידיוטים״. התרמית מיוחסת לתוקפים המכנים עצמם Team Montesano, אשר על פי מייל הסחיטה משתמשים כעת בשתי כתובות ביטקוין:

  • 3Fyjqj5WutzSVJ8DnKrLgZFEAxVz6Pddn7

  • צוות קונפידס ממליץ למקבלי מיילים מסוג זה לחפש ב-Bitcoin Abuse Database את כתובת הביטקוין המופיעה בהם, על מנת לחשוף את התרמית.

3PmYSqtG5x5bGNrsYUy5DGtu93qNtsaPRH
עסקאות הביטקוין המשויכות לארנק 3Fyjqj5WutzSVJ8DnKrLgZFEAxVz6Pddn7 מצביעות על כך שלפחות גורם אחד כבר שילם את דמי הסחיטה. למרות אופיים המאיים של מיילים מסוג זה, יש לזכור שבמרבית המקרים מדובר בהונאות, הנשלחות בתפוצה המונית.


נמצאה שיטה לעקיפת נעילת המסך בטלפונים מבוססי Android

חוקר אבטחת המידע דיוויד שיץ מצא באופן מקרי דרך לעקוף את נעילת המסך במכשירים מסוג Pixel 6 ו-Pixel 5, המריצים את גרסת Android שהיתה זמינה לפני תיקון החולשה. ניצול החולשה דורש ביצוע של 5 שלבים פשוטים בלבד ואורך דקות ספורות. למרות ש-Google תיקנה את החולשה בגרסת Android האחרונה שהופצה בשבוע שעבר, היא נותרה ללא מענה משך 6 חודשים לפחות. לדברי שיץ, החולשה התגלתה לאחר שלמכשיר ה-Pixel 6 שברשותו אזלה הסוללה ולאחר טעינתה הוא הקליד את קוד המכשיר באופן שגוי 3 פעמים. לאחר מכן שיחזר שיץ את כרטיס ה-SIM הנעול באמצעות שימוש בקוד ה-PUK) Personal Unblocking Key), אך לאחר פתיחת ה-SIM ושינוי הסיסמה, המכשיר לא דרש הקלדת קוד לביטול הנעילה, אלא רק סריקה של טביעת אצבע. מצב זה אינו רגיל, שכן סמארטפונים מבוססי Android תמיד דורשים סיסמה או שרטוט תבנית לאחר הפעלת המכשיר מחדש. בהמשך, שיץ גילה שניתן לעקוף גם את הבקשה לטביעת אצבע ולהגיע ישירות למסך הבית של המכשיר. החולשה רלוונטית לכלל המכשירים בהם מותקנות גרסאות 10, 11, 12 ו-13 של Android, ולא עודכנו לגרסה האחרונה של מערכת ההפעלה, שהופצה החודש. למרות ששיטת הניצול שהתגלתה דורשת גישה פיזית למכשיר, היא בעלת השפעות אפשריות חמורות על אנשים הנחקרים על ידי רשויות החוק (שכעת מתאפשרת גישה פשוטה למידע שעל מכשיריהם), על בעלי מכשירים גנובים ועוד. החולשה ניתנת לניצול באמצעות הכנסת כרטיס SIM של תוקף למכשיר גנוב, ניטרול הצורך באימות באמצעות טביעת אצבע, הקלדת סיסמה שגויה 3 פעמים והקלדת מספר PUK. פעולות אלה סוללות את הדרך אל תוכן מכשיר הקורבן, כמפורט כאן. מקור החולשה בבעיה במנגנון ה-Keyguard, שמקבל Dismissed לאחר ביצוע ביטול הנעילה של SIM PUK. שיץ דיווח על הבעיה ל-Google ביוני השנה, ולמרות שהוקצה לה CVE - החולשה (CVE-2022-20465) לא תוקנה עד ל-7 בנובמבר.

צוות קונפידס ממליץ למשתמשים במכשירי Android בגרסאות 10, 11, 12 ו-13 להטמיע בהם את עדכון הגרסה האחרון, שהופץ ב-7 בנובמבר.


KmsdBot: נוזקה חדשה המשמשת לכריית מטבעות קריפטו ולביצוע מתקפות DDoS; כ-17% ממקרי ניצול החולשות הם לטובת כריית קריפטו

על פי פרסום של קבוצת חוקרים מחברת Akamai, הנוזקה ממנפת את פרוטוקול ההצפנה (Secure Shell (SSH לשם כניסה למערכות למטרת כריית מטבעות קריפטוגרפיים ולביצוע מתקפות מניעת שירות (DDoS). הנוזקה KmsdBot, המבוססת על שפת Golang, תוקפת מגוון ארגונים, החל מחברות גיימינג דרך מותגים של מכוניות יוקרה ועד לחברות אבטחה. לדברי חוקר Akamai לארי וו. קאשדולר, היא מדביקה מערכות נגועות באמצעות חיבורי SSH המשתמשים באישורי התחברות חלשים, ונותרת בהן משך פרק זמן קצר בלבד, על מנת לחמוק מזיהוי. KmsdBot מגיעה עם יכולות סריקה והפצה עצמית על ידי הורדת רשימה של שילובי שמות משתמש וסיסמאות מהמערכת הנגועה, ומסוגלת לשלוט בתהליך הכרייה ולעדכן את התוקפים בהתקדמותו. ככל הנראה, קורבנה הראשון של KmsdBot היה חברת המשחקים FiveM, המאפשרת לארח שרתים פרטיים ומותאמים אישית עבור המשחק המקוון Grand Theft Auto. מתקפת ה-DDoS על FiveM, שנצפתה על ידי ספקית האינטרנט של החברה, כללה התקפה על שכבות 4 ו-7 במודל 7 השכבות, במהלכה נצפתה שליחה של מספר רב מאוד של בקשות על מנת להציף את משאבי שרת היעד ולהפריע ליכולתו לעבד ולהגיב לבקשות ותהליכים. הממצאים מגיעים על רקע ניצול הולך וגובר של תוכנות פגיעות לפריסת כורי מטבעות קריפטוגרפיים, תחום בו נרשמה עלייה מ-12% מכלל ניצולי החולשות ברבעון הראשון של 2022 ל-17% ברבעון השלישי, כך על פי נתוני טלמטריה של חברת Kaspersky. בתוך כך, כמעט מחצית מהדגימות המנותחות של תוכנות כרייה זדוניות (48%) מצביעות על כרייה בסתר של מטבעות (Monero (XMR.

צוות קונפידס ממליץ לארגונים להזין במערכות ההגנה שלהם את מזהי התקיפה (IOCs) המצויים כאן.


חולשה חדשה משפיעה על טכנולוגיית רשת המשמשת לוויינים ומטוסים

נחשפה שיטת התקפה חדשה נגד טכנולוגיית (Time-Triggered Ethernet (TTE המהווה תשתית קריטית לבטיחות, אשר עלולה לגרום לכשל במערכות המניעות לוויינים וכלי טיס. הטכניקה, שכונתה PCspooF על ידי קבוצת חוקרים מאוניברסיטת מישיגן, אוניברסיטת פנסילבניה ומרכז החלל ג'ונסון של נאס"א, נועדה לשבור את בידוד המערכת המבוססת על טכנולוגיית ה-TTE ולגרום למכשירים המסתמכים עליה לאבד סנכרון לפרק זמן של עד שנייה אחת. הדבר עלול להוביל לתמרונים בלתי מבוקרים במשימות טיסה בחלל ולאיים על בטיחות צוותי טיסה.
TTE היא טכנולוגיית רשת המהווה חלק מ״רשת קריטיות מעורבת״ (Mixed-criticality network), בה מתקיימות זו לצד זו באופן פיזי פעילות של מכשירים קריטיים, כגון כאלה האמונים על תנועה עם דרישות שונות של תזמון וסבילות שגיאות (למשל מכשירים המאפשרים שליטה ברכב), ופעילות של מכשירים שאינם קריטיים (COTS - למשל כאלה המשמשים לניטור ואיסוף נתונים). לדבריו של אנדרו לאבלס, מחברו הראשי של המחקר, כשפריטים קריטיים ולא-קריטיים עשויים להתחבר לאותו מתג, על פרוטוקול הרשת והחומרה לעשות עבודה נוספת כדי להבטיח מעבר של תעבורה קריטית בהצלחה ובתזמון הנכון. אי לכך, רשת בעלת קריטיות מעורבת עוזרת להבטיח שגם אם מכשיר ה-COTS זדוני, הוא לא יוכל להפריע לתעבורה הקריטית. ואולם, החוקרים חשפו באמצעות PCspooF מכשיר זדוני שאינו קריטי יכול לשבור את הערבות לבידוד ברשת TTE, על ידי החדרת הפרעות אלקטרומגנטיות (EMI) למתג TTE דרך כבל Ethernet. הדבר מאפשר ״להערים״ על המתג לשלוח הודעות סנכרון אותנטיות למראה, ולגרום להן להתקבל על ידי מכשירי TTE אחרים. 
על מנת להתגונן מפני טכניקת PCspooF, מומלץ להתבסס על שיטות כגון שימוש במצמדים אופטיים או במגני מתח החוסמים הפרעות אלקטרומגנטיות, לבדוק את כתובות MAC המקור כדי לוודא שהן אותנטיות ולהסתיר שדות מפתח בשם PCF באמצעות פרוטוקול אימות שכבת-קישור, כגון IEEE 802.1AE


הבוטנט החדש שמחפש את הראוטר שלך!

קמפיין חדש לבניית בוטנט עבור מתקפות מניעת שירות (DDoS) נצפה על ידי צוות המחקר של Fortinet, אשר סבור כי הפעילות הנוכחית קשורה לקמפיין העבר RapperBot, זאת בשל הימצאותם של אותם פקודות ומזהים המתקבלים משרת ה-C2 של התוקפים, ואותם מנגנוני עקיפה חכמה לביצוע Brute force המותאם לכל מוצר IoT. בקמפיין החדש, המתבסס על תקיפות DDoS של שרתים המשמשים עבור משחקי מחשב, נעשה שימוש בפרוטוקולים מסוג TCP ,UDP ו-GRE, ומפעיליו מרחיבים את רשת הבוטים המשמשת אותם באמצעות מתקפות Brute force מתוחכמות על Telnet. שמות המשתמשים והסיסמאות הגנריות עבור כל מכשירי ה-IoT המהווים יעד לתקיפה כבר מצויים בתוך הנוזקה המותקנת על העמדות הנגועות, כאשר על מנת לשפר את מאמצי הפריצה היא מזהה את סוג מכשיר ה-IoT לפי התקשורת שהיא מקיימת עמו, ובהתאם לכך מנסה שמות משתמשים רלוונטיים. הנוזקה תוקפת בעיקר ראוטרים ומקליטי וידאו דיגיטליים (DVR), כאשר לאחר יצירת גישה ראשונית אליהם הבוט מעביר את פרטי המערכת, את כתובת ה-IP, את שם המשתמש ואת הסיסמה לשרת ה-C2. בהתאם לנתונים הללו, ובאמצעות תוכנות הקיימות על העמדה שנחשפה, כגון wget ו-curl, מועבר אליה מטען מותאם מראש המתקין את הנוזקה. אם לא נצפתה תוכנה המאפשרת את העברת הנוזקה, השרת ישלח תוכנה ייעודית לביצוע הפעולה, אותה יכתוב שורה אחר שורה לתוך קובץ במערכת הנגועה.
צוות קונפידס ממליץ לאבטח את כל המכשירים הגלויים לאינטרנט בסיסמה חזקה.

השבוע בכופרה

קנדה: קמעונאית המזון Sobeys נפגעה מכופרת Black Basta

חנויות מכולת ובתי מרקחת השייכים לענקית הקמעונאות Sobeys, המעסיקה כ-134,000 עובדים ב-1,500 חנויות הפרוסות ברחבי 10 הפרובינציות המרכיבות את קנדה, חווים בעיות במערכות ה-IT שלהם מאז סוף השבוע שעבר. בהודעה לעיתונות שפורסמה ב-14 בנובמבר חשפה Empire, חברת האם של Sobeys, נאמר חנויות המכולת של הרשת עדיין פתוחות, אך חלק משירותי החברה נפגעו וחלק מבתי המרקחת של החברה חווים קשיים טכניים במילוי מרשמים. לדברי הארגון, הוא שוקד על פתרון הבעיות במערכות ה-IT, לצמצום השיבוש בחנויות. בהודעה אחרת, הפעם מטעם Sobeys, נמסר שכל חנויותיה נותרו פתוחות ולא חוו שיבושים משמעותיים, ואולם לדברי עובדים ברשת ננעלו כל המחשבים בחנויות Sobeys שנפגעו. למרות שהחברה עדיין לא חשפה מידע כלשהו הקושר בין השיבושים לבין מתקפת סייבר, כלי תקשורת מקומיים דיווחו ששירותי הביטחון של הפרובינציות קוויבק ואלברטה אישרו שקיבלו מהרשת הקמעונאית הודעות על "אירוע עם חיסיון סודי״. התראות כאלה נשלחות רק ביחס לתקריות הכוללות גישה למידע אישי בעקבות דלף מידע. בהתבסס על הודעות כופר וצ'אטים של משא ומתן שהגיעו לידי מגזין אבטחת המידע BleepingComputer, נראה שהתוקפים פרסו ברשת של Sobeys מטענים של כופרת Black Basta לשם הצפנת מערכותיה. במקביל, תמונות ששותפו באינטרנט על ידי עובדי Sobeys מציגים הודעות כופר של Black Basta על גבי מחשבים בחנויות.


המתקפה על Medibank: פורסמו נתונים על 9.7 מיליון לקוחות החברה; משטרת אוסטרליה: האקרים רוסים עומדים מאחורי המתקפה

בהמשך לדיווחים בשבועות האחרונים (ראו ״הסייבר״ 27.10.22 ו-״הסייבר״ 10.11.22), השבוע פורסמו ברשת האפלה נתונים אישיים רגישים השייכים ל-9.7 מיליון מלקוחות חברת הביטוח בעבר ובהווה. לדברי מומחי אבטחת סייבר, נראה שהפושעים העומדים מאחורי האירוע קשורים ל-REvil, קבוצת כופרה רוסית ידועה לשמצה, שתקפה בעבר מטרות בארצות הברית ובמדינות אחרות, לרבות המתקפה המשמעותית על ספקית הבשר הבינלאומית JBS Foods ביוני אשתקד (ראו ״הסייבר״, 3.6.21 ו״הסייבר״, 10.6.21). לטענת ג'פרי פוסטר, פרופסור לאבטחת סייבר מאוניברסיטת מקווארי, הקשר המרכזי בין REvil לקבוצה שפרצה ל-Medibank הוא שאתר האינטרנט של REvil ברשת האפלה מפנה כעת לאתר בו מוצע למכירה המידע הגנוב. עוד הוסיף פוסטר כי ״מכיוון שרוסיה הצהירה שעצרה ופירקה את REvil, נראה כי מדובר, אולי, בחבר לשעבר ב-REvil, שהיתה לו גישה לאותו אתר ברשת האפלה, שכן ההפניה מחדש דורשת גישה לחומרה״. בסוף השבוע שעבר מסר מנכ״ל Medibank כי ״טקטיקת הכופר חסרת הרחמים בה נוקטת הקבוצה נועדה לגרום לנזק ולמצוקה״, וכי ״השימוש לרעה בנתוני הלקוחות הוא מצער ועלול להרתיע אותם מלפנות לקבלת טיפול רפואי״.


אירוע מתגלגל: יותר מחודש לאחר תקיפת הכופרה, שירותי הרפואה האמריקאיים CommonSpirit Health מתקשים לשוב לפעילות מלאה

בהמשך לדיווחים בשבועות האחרונים (ראו ״הסייבר״ 6.10.22 ו-״הסייבר״ 20.10.22), CommonSpirit Health עדכן השבוע, יותר מחודש לאחר שחווה מתקפת כופרה, כי הארגון עדיין פועל להשבת מערכותיו לאינטרנט ולשחזור תפקודו המלא בצורה בטוחה ובמהירות האפשרית. עד כה עלה בידי הארגון להשיב את זמינותם של רישומי הבריאות האלקטרוניים ואת גישת המטופלים להיסטוריה הרפואית שלהם דרך פורטל ייעודי. מכיוון ש-CommonSpirit Health מפעיל כ-140 בתי חולים ויותר מ-1,000 אתרי טיפול ב-21 מדינות בארצות הברית, לפגיעה במערכותיו יש פוטנציאל להשפיע על כ-20 מיליון מטופלים אמריקאים. ואכן, למתקפת הסייבר שחווה הארגון היו השלכות משמעותיות על הטיפול הרפואי בלקוחותיו, לרבות מניעת גישה לתיקים הרפואיים של מטופלים, עיכוב במתן טיפולים באזורים רבים ודחיית ניתוחים חשובים עבור חלק מהמטופלים. לדברי אמו של מטופל, בנה הגיע לקבלת טיפול במתקן של הארגון ביום בו החל לחוות בעיות טכניות, אך בשל שיבוש המערכות ניתנה לילד בשוגג תרופה במינון הגבוה פי חמישה מהנדרש. בשעה זו נמשכת חקירת האירוע על ידי מומחי אבטחת סייבר, וטרם התברר אם מידע רפואי רגיש נגנב במהלכו. מ-CommonSpirit Health נמסר כי הארגון מחויב לענות על צרכי הקהילות שהוא משרת ולנגד עיניו עומדים ערכים של יושרה, מצוינות ושיתוף פעולה. עוד מסר הארגון כי הוא אסיר תודה לצוותים הרפואיים, שעושים כל שלאל ידם לצמצום השפעת האירוע על מטופלים ולשמירה על המשכיות הטיפול הרפואי.

המלחמה במזרח אירופה

 

קבוצת הסייבר הרוסית IRIDIUM תוקפת בכופרה חברות תחבורה ולוגיסטיקה אוקראיניות ופולניות 

חוקרי מיקרוסופט זיהו קמפיין חדש של הקבוצה, שעוד בתחילת המלחמה בין רוסיה לאוקראינה נצפתה תוקפת מטרות אוקראיניות. בקמפיין הנוכחי מופצת הכופרה Prestige נגד חברות תחבורה ולוגיסטיקה באוקראינה ובפולין. לאחר שהתוקפים משיגים גישה למכשיר הקורבן, הם מנסים להשיג יכולות להרצת פקודות מרחוק ולהעלות את הרשאותיהם במערכת. משקנו אחיזה במכשיר, התוקפים יפעלו לפריסה רחבה של הכופרה ברשת הקורבן, בשלוש שיטות:

1. העתקת הנוזקה לתיקיית האדמין המשותפת ויצירת משימה מתוזמנת להרצתה על גבי פלטפורמת ה-Windows.
2. העתקת הנוזקה לתיקיית האדמין המשותפת באופן שיאפשר הרצת פקודות מרחוק על גבי ה-PowerShell.
3. העתקת הנוזקה ל-Active Directory Domain Controller והפצתה באמצעות ה-GPO.

צוות קונפידס ממליץ לארגונים להזין במערכות ההגנה שלהם את מזהי התקיפה (IOCs) ולעקוב אחר ההמלצות המופיעות בסוף דוח זה.

סייבר בעולם

 
 

ה-FBI מזהיר מפני נוכלים המתחזים לנציגי תמיכה טכנית של פורטלי תשלום לקבלת החזרים

לשכת החקירות הפדרלית (FBI) מזהירה מפני נוכלים המנסים לגנוב מידע ופרטים מקורבנות, בעיקר כאלה המשתייכים לאוכלוסיה מבוגרת. תחילת ההונאה במיילי פישינג או שיחות טלפון שמטרתם קבלת גישה למחשבי הקורבנות. על פי הודעת ה-FBI, בגוף המייל מוצע חידוש של שירות ספציפי, למשל הגנה על מחשבים או אחריות, בעלות הנעה בין 300 ל-500 דולר. מכיוון שהקורבנות אינם מנויים על השירות, התוקפים מקווים שהם יצרו עמם קשר דרך פרטי ההתקשרות המופיעים במייל, על מנת לבקש החזר. עם יצירת הקשר, הנוכלים טוענים כי לשם ביצוע החזר מאובטח עליהם לגשת מרחוק למחשב הקורבן. למרות שתרמיות המתבססות על התחזות לנציגי תמיכה טכנית קיימות מזה שנים, ה-FBI מציין שמאז אוקטובר האחרון הנוכלים משתמשים לשם כך בסקריפט המדמה בפני הקורבנות ממשק של פורטל לביצוע החזרים. הסקריפט מאפשר איסוף מידע אישי ובנקאי של הקורבן, במטרה לבצע העברת כספים מחשבון הבנק שלו, ומכיל פקודות לכתיבת מידע לקובץ טקסט, עם מספר עצירות המעודדות אינטראקציה מצד הקורבן, בזמן שהוא ממתין ל״החזר״. למרות שהארגון לא חשף את שמות החברות שאליהן מתחזים הנוכלים, מגזין אבטחת המידע BleepingComputer מצא דוגמאות של הסקריפט בהתחזות ל-Chase Bank, מבית JPMorgan Chase, וכן קובצי סקריפט נוספים המאפשרים לשנות את שם החברה בפורטל ה״החזרים״, תוך כדי פעילות התוקפים.

ארה״ב: ה-FBI ושירות הפיקוח על הדואר החרימו 18 דומיינים המשמשים לגיוס ״עובדים״ לשם הונאות משלוחים במסווה של הצעות עבודה מהביתבאתרים הוצעו משרות ״בודקי בקרת איכות״ בחברה לגיטימית, כביכול, כאשר המועמדים התבקשו לרכוש סחורות באמצעות כרטיסי האשראי שלהם או לצלם חבילות שקיבלו ולשלוח אותן לכתובות אחרת, כל זאת בעבור 20 דולר. מטרת התוקפים היתה לבצע רכישות באמצות כרטיסי אשראי גנובים ולשלוח אותן אל כתובות ה״עובדים״ החדשים, על מנת לטשטש את עקבותיהם. במסגרת ההונאה, ה״עובדים״ היו מתחברים לממשק מקוון של ה״חברה״' דרכו קיבלו הנחיות. כשאנשי לשכת החקירות הפדרלית (FBI) התחברו אל המשתמש של אחד הקורבנות, הם מצאו היסטוריה בת 25 רכישות, לרבות רכישת מחשב נייד חדש, שבוצעו באמצעות כרטיסי אשראי גנובים. רשויות החוק האמריקאיות חוקרות את המקרים עוד מפברואר אשתקד, לאחר שמרכז התלונות על פשעי אינטרנט של ה-FBI קיבל 64 פניות בדבר העוקץ. למרות שהדומיינים האמורים הוחרמו, טרם בוצעו מעצרים של מפעילי האתרים המתחזים, משום שהם מתגוררים מחוץ לארצות הברית - ככל הנראה ברוסיה, כך לדברי משרד המשפטים האמריקאי. בשעה זו מופיעה באתרים המוחרמים הודעה מטעם ה-FBI, המזהירה מחפשי עבודה מפני הסכנות שבהצעות ״לעבודה מהבית״ והונאות Reshipping מסוג זה. דוגמה להודעת האזהרה ניתן למצוא כאן.


משרד הבריאות האמריקאי מתריע מפני שימוש בכופרה Venus נגד ארגונים ממגזר הבריאות 

ב-9 בנובמבר הודיעה מחלקת הבריאות ושירותי האנוש של ארצות הברית (HHS) כי לפחות ארגון אמריקאי אחד מהמגזר נפל קורבן לנוזקת הכופרה Venus, שמפעיליה ידועים בניצול מכשירים פתוחים לעולם בעלי גישה מרוחקת לשולחן העבודה, ובשימוש בגישה זו להצפנת מכשירי הקורבנות. עם הפעלת הנוזקה, היא משביתה 39 תהליכים המקושרים למאגרי מידע וליישומי מיקרוסופט בשולחן העבודה. נוסף על כך, Venus מוחקת את הלוגים שבמערכת ואת ה-Volume Shadow Copy ומשביתה את ה-DEP, שתפקידו למנוע הרצת פקודות של יישומים שונים על גבי זיכרון המערכת. קובצי הקורבן בעלי הסיומת ״venus." הם כאלה שהוצפנו על ידי הכופרה באמצעות RSA ו-AES.

צוות קונפידס ממליץ לעקוב אחר פעולות המיטיגציה המופיעות כאן על מנת להתמגן מפני הכופרה.

ה-CISA מוסיפה ל״קטלוג החולשות הידועות המנוצלות״ מזהה נוסף לחולשות ב-Zimbra Collaboration Suite וחולשה חדשה ב-MotW

בהמשך להתראה הממוקדת שפרסמה הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) בנוגע לממשק ה-Zimbra Collaboration ב-18 באוגוסט (ראו ״הסייבר״, 18.8.22), בה דווח כי האקרים מנצלים באופן פעיל גרסאות של המוצר שאינן מעודכנות במגזר הממשלתי והפרטי כאחד, כעת מוסיפה הסוכנות מזהה נוסף, המעיד על ניצול החולשות במוצר. המזהה החדש, JSP (Java Server Pages) Webshell, שמקורו בקובצי קוד בשפת Java המצויים בצד השרת, עלול לאפשר לתוקף להריץ על שרת הקורבן פקודות קוד מרחוק.

במקביל, ה-CISA הוסיפה לקטלוג חולשה (CVE-2022-41049, CVSS 5.4) המצויה ברכיב MotW של מיקרוסופט, שנועד להגן על משתמשים מפני מקורות שאינם אמינים. החולשה עלולה לאפשר לתוקף לחמוק מפעולת הרכיב באופן שיחשוף את מחשב הקורבן לפגיעה.

צוות קונפידס ממליץ למשתמשי Zimbra Collaboration Suite לעדכן את המוצר בהקדם על פי הוראות היצרן, ולמשתמשי Windows לעדכן את הפלטפורמה על פי ההנחיות המופיעות בתחתית עמוד זה.

האקרים משתמשים ב-YouTube להפצת נוזקות באמצעות התחזות ל-100 יישומים פופולריים

חברת Cyble זיהתה קמפיינים זדוניים הפועלים ב-YouTube במסווה של מדריכים להורדה והתקנת תוכנות פרוצות ומשחקים בחינם, כאשר ההאקרים משלבים בסרטוני ההדרכה פעולות שנועדו להוביל את הצופים להתקנת נוזקה הגונבת מידע, דרך קישור המופיע בסרטון. בדוח שפרסמה Cyble מופיעות כתובות URL של האתרים הקשורים לקמפיין ומציעים גרסאות פרוצות או חינמיות של התוכנות הפופולריות Adobe Photoshop ,Microsoft Office ,Spotify Premium 2022 ואחרות, ושל משחקים נפוצים, כגון Roblox ,GTA Online Mod Menu ,Fortnite Hack ,Elden Ring ,Fortnite Skin Changer ועוד. על מנת להתמגן מפני הקמפיין, Cyble ממליצה:

  • להימנע מהורדת תוכנות פיראטיות מאתרים שאינם מאומתים.

  • להשתמש בסיסמאות חזקות ובאימות דו-שלבי (2FA).

  • לשנות סיסמאות בתדירות קבועה.

  • להשתמש בתוכנת אנטי-וירוס ובאמצעי אבטחה נוספים בכלל המכשירים המחוברים לאינטרנט, לרבות מחשבים נייחים, מחשבים ניידים וסמארטפונים.

  • להימנע מפתיחת קישורים שאינם מהימנים וקבצים המצורפים למיילים מבלי לאמת תחילה את מקורם.

צוות קונפידס ממליץ להזין במערכות ניטור את מזהי התקיפה (IOCs) שפורסמו.

האקרים פרצו למערכות חברת הקורקינטים הרוסית Whoosh; מידע חלקי של 7.2 מיליון לקוחות מוצע למכירה ברשת

מן החברה, הפועלת ב-40 ערים ברחבי העולם, נגנבו גם קודים המאפשרים גישה חינמית לשירות, וכן נתונים כספיים. החברה אישרה את דבר הפריצה בהצהרה לסוכנות החדשות הרוסית ״רי״א נובוסטי״ ומסרה כי ״הפריצה לא השפיעה על נתונים רגישים, כמו גישות לחשבונות, פרטי עסקאות או פרטי נסיעות". על פי פרסום במגזין אבטחת המידע BleepingComputer, משתמש בפורום ההאקרים Breached פרסם מאגר מידע המכיל פרטים של 7.2 מיליון לקוחות Whoosh, הכוללים כתובות מייל, מספרי טלפון ושמות פרטיים, וכן פרטי תשלום חלקיים של 1.9 מיליון משתמשים ו-3 מיליון קודים חינמיים לשימוש בקורקינטים של Whoosh. הנתונים מוצעים לחמישה קונים בלבד, תמורת 4,200 דולר כל אחד (0.21490980 ביטקוין).

זהירות! תמונות תמימות עלולות להכיל נוזקה סמויה 

צוות המחקר של חברת ESET חשף תוקפים המשתמשים בכלים שטרם תועדו, לתקיפת יעדים בעלי פרופיל גבוה ברחבי אסיה ואפריקה. קבוצת התקיפה, שכונתה Worok ופעילה לפחות מ-2020, משתמשת בכלי פריצה שהיא מפתחת בשפות התכנות ++C#, C ו-PowerShell, ואשר משמשים לטעינת נוזקה המוחבאת בקובצי PNG. עוד נצפה שימוש של הקבוצה בכלים פומביים הנגישים לציבור, בהם Mimikatz ,EarthWorm ,ReGeorg ואחרים. טרם עלה בידי החוקרים להשיג את המטענים הסופיים בהם משתמשת הקבוצה או לפענח את וקטור הכניסה שלה למערכות הקורבנות, ואולם בדוח שפורסם מוצגת בפירוט דרך הפעולה של Worok, המבוססת על שתי שרשראות תקיפה שונות לטעינת המטען הזדוני מקובץ ה-PNG. ההבדל בין שתי הדרכים מתבטא בטוען הראשוני, אשר ב-2021 היה בתצורת CLR assembly ונכתב בשפת ++C, ואילו ב-2022 הופיע בתצורת דלת אחורית שנכתבה בשפת PowerShell. בשני המקרים, המטרה היא לטעון את השלב הבא (Stage), או את הטוען השני - של הנוזקה המוחבאת בתוך קובץ ה-PNG, אשר בעצמו מוחבא בתיקייה בעלת שם לגיטימי, כדי לבלבל את הקורבנות ואת צוותי התגובה (IR). כמו כן, נתיבו של הטוען מוצפן בהצפנת XOR. עוד חשוב לציין שעבור קוד ה-PowerShell נצפו שלוש שכבות הגנה: שימוש בקידוד Base64, שימוש בהצפנה סימטרית מסוג DES ודחיסה בפורמט Gzip. דרכי התקשורת שנצפו בין עמדת הקורבן לשרת ה-C2 של התוקפים הינן מסוג HTTP ו-ICMP, כל זאת לשם העברת פקודות משרת הפיקוד וקבצים בין הצדדים בפורמט PNG, בו מוסתר תוכן. הטוען מצדו מחפש בתוך קובץ ה-PNG בייטים ספציפיים השייכים לנוזקה, ומרכיב אותם ישירות בתוך זיכרון העמדה.

צוות קונפידס ממליץ למנהלי רשתות לבצע את ההקשחות הנדרשות במערכות ההגנה שלהן, למניעת תקשורות לא רצויות עם גורמים מחוץ לארגון.

התגלו 42 אלף אתרים המשמשים לתרמית שמטרתה לייצר הכנסות ממודעות

קבוצת ההאקרים המכונה Fangxiao יצרה רשת של עשרות אלפי דומיינים המתחזים לדומיינים של מותגים מוכרים, כל זאת לשם הפניית משתמשים לאתרים המקדמים אפליקציות לחסימת מודעות, להכרויות רומנטיות ולחלוקת פרסים. הדומיינים מהווים חלק מתרמית מאסיבית לייצור תנועה באתרים, שמטרתה לגרוף הכנסות ממודעות. ממחקר של חברת Cyjax עלה שקבוצת התקיפה האמורה פועלת מסין, ומאז 2017 זייפה אתרים של יותר מ-400 מותגים ידועים בתחומי הקמעונאות, הבנקאות, התיירות ועוד, בהם Coca Cola ,McDonald's ,Knorr ,Unilever ,Shopee ,Emirates ואחרים. על מנת לייצר תנועה מרבית באתריה ובאתרי לקוחותיה, Fangxiao רושמת כ-300 דומיינים מתחזים חדשים מדי יום, מרביתם בעלי הסיומת ״top.״. אל האתרים, שמוחבאים באמצעות Cloudflare ונרשמים ב-GoDaddy ,Namecheap ו-Wix, מגיעים משתמשים דרך מודעות בטלפונים הניידים או הודעות WhatsApp המכילות קישור והצעה מיוחדת או הודעת זכייה, כביכול. דומיינים אלה מפנים את המבקרים לדומיינים של סקרים בהם מופיע טיימר, על מנת לייצר תחושת דחיפות. בחלק מהמקרים השלמת הסקר מובילה להורדת אפליקציה אותה מתבקש הקורבן להשאיר פתוחה משך 30 שניות, ככל הנראה על מנת לאפשר רישום של משתמש חדש דרך קישור ייעודי של התוקפים. האתרים כוללים מודעות מ-ylliX, אותן Google ופייסבוק סימנו כחשודות, ולחיצה עליהן מובילה לשרשרת הפניות נפרדת, שתלויה במיקום הקורבן, על פי כתובת ה-IP שלו, ובמערכת ההפעלה בה הוא משתמש. ההפניות יכולות להוביל, למשל, ל-A​​mazon באמצעות לינק לשותפים (Affiliates), להורדה של הטרויאני Triada או לעמוד של האפליקציה App Booster Lite – RAM Booster ב-Play Store, לה יותר מ-10 מיליון הורדות. על פי חוקרי Cyjax, האפליקציה אינה זדונית, אך היא מבקשת הרשאות חריגות ומפעילה כמות גדולה של מודעות בחלונות קשים לסגירה. זאת ועוד, מפרסם האפליקציה הוא LocoMind, אשר חולק כתובת IP עם מפתח אפליקציות אחר, Holacode, שנקשר בעבר להפצת תוכנות פרסום (Adware). רשימה מלאה של הדומיינים שנרשמו במסגרת המתקפה ניתן למצוא כאן

קבוצת האקרים סינית הפועלת למטרות ריגול פורצת לרשויות ממשלתיות במדינות אסיאתיות 

דוח חדש של חברת הסייבר Symantec שופך אור על קמפיין מתמשך בו נתקפו רשות המנפיקה תעודות דיגיטליות ומספר סוכנויות ממשלתיות במדינות אסיאתיות. Symantec מייחסת את המתקפות לקבוצת ריגול הסייבר הסינית Billbug, שהיא ככל הנראה הקבוצה המכונה Thrip, אחריה עוקבת החברה עוד מ-2019. ייחוס זה מתבסס על שימוש באותם כלי תקיפה. במהלך תקיפתה של הרשות האמורה, התוקפים ניסו לגשת לאישורים שהיא מנפיקה, על מנת להשתמש בהם לאישור נוזקות. תוכנות זדוניות מאושרות ייראו לגיטימיות ולא יתגלו על ידי פתרונות אבטחה, ואולם Symantec לא איתרה ראיות המצביעות הצלחתם התוקפים לחדור אל הרשות ולהנפיק את האישורים. בתוך כך, ישנם כמה רמזים לכך שהתוקפים משתמשים בכלי תקיפה פומביים הנגישים לציבור ובמספר נוזקות מותאמות אישית. למרות ש-Symantec לא צפתה בדלף נתונים במסגרת הקמפיין, Billbug נחשבת לקבוצת ריגול, דבר המצביע על גניבת נתונים כמניע לפעולותיה.
צוות קונפידס ממליץ להזין במערכות ניטור את מזהי התקיפה (IOCs) שפורסמו


שתי חולשות SQLi קריטיות נמצאו בשירות של Zendesk Analytics

חוקרי אבטחת סייבר מחברת Varonis חשפו פרטים על החולשות שהתגלו ותוקנו בשירות Zendesk Explore, ואשר היו יכולות להיות מנוצלות לקבלת גישה לא מורשית למידע מחשבונות לקוחות שבהם היתה התוכנה מופעלת, לרבות גישה לשיחות, לכתובות מייל, לכרטיסי תמיכה, להערות ולמידע נוסף. Zendesk Explore הינו פתרון דיווח המאפשר לארגונים להציג ולנתח מידע אודות לקוחותיהם ומשאביהם. בשעה זו אין ראיות המצביעות על כך שהחולשות נוצלו באופן פעיל, ואין צורך בפעולה מצד הלקוחות. לדברי החוקרים, נראה שניצולה של אחת החולשות דורש הרשמה לשירות הטיקטינג של התמיכה הטכנית מחשבון ה-Zendesk של הקורבן כמשתמש חיצוני חדש, תכונה שככל הנראה מופעלת כברירת מחדל, על מנת לאפשר למשתמשי קצה לפתוח בקשות לשירות התמיכה של Zendesk. החולשה מאפשרת החדרת שאילתת SQL ב-API של GraphQL, שעלולה להיות מנוצלת לסינון כל המידע המאוחסן במסד הנתונים כמשתמש אדמין, לרבות כתובות מייל, כרטיסים ושיחות עם סוכנים אנושיים. החולשה השנייה נוגעת לבעיה לוגית בגישה ל-API לשם ביצוע שאילתות, שנובעת מהגדרה להרצת השאילתות שאינה כוללת בדיקה אם ל"משתמש" המבצע את הקריאה יש הרשאה נאותה לעשות זאת. הדבר עלול לאפשר גניבת נתונים מכל טבלה ב-RDS של חשבון Zendesk, ללא צורך ב-SQLi. מ-Varonis נמסר כי ב-30 באוגוסט חשפה את החולשות בפני Zendesk, שתיקנה אותן ב-8 בספטמבר.

DTrack: דלת אחורית בשימוש קבוצת התקיפה $Lazarus מתמקדת באירופה ובאמריקה הלטינית, אך מרחיבה את פעילותה לאזורים נוספים

DTrack, שהתגלתה לראשונה ב-2019, שימשה עד כה נגד מגוון מטרות, לרבות פריצה לכספומטים ולתחנת כוח גרעינית, או לכל יעד אחר ש-$Lapsus מוצאת ערך כלכלי בפריצה אליו. DTrack מאפשרת לתוקפים להעלות, להוריד, להפעיל ולמחוק קבצים במחשב הקורבן, חלקם מגיעים כחלק מערכת DTrack, בה כלולות תוכנה לתיעוד הקשות מקלדת, (Keylogger) תוכנה לצילום מסך ותוכנה לאיסוף מידע מהמערכת הנגועה. כלים אלה מאפשרים לתוקפים לנוע רוחבית ברשת הקורבן. DTrack מחביאה עצמה בתוך קובץ הפעלה שנראה כתוכנה לגיטימית, והיא מבצעת מספר שלבי הצפנה לפני הפעלת הנוזקה, שהיא עצמה מופעלת בשלושה שלבים, שבסופם מפוענח קובץ DLL המועלה ל-explorer.exe בתהליך המכונה Process hollowing. בגרסאות קודמות של הדלת האחורית, הספריות שמועלות מבוצעות על ידי מחרוזות מעורפלות, ואולם בגרסאותיה האחרונות ישנו שימוש ב-API hashing לטעינת הספריות למערכת. שינוי נוסף בגרסאות החדשות מתבטא בשימוש בשלושה שרתי C2 במקום במקום בשישה. בבחינת שמות הדומיינים שבשימוש שרתי ה-C2 (למשל pinkgoat[.]com ו-purewatertokyo[.]com) מזוהים דפוסים מסוימים, כדוגמת שילוב בין צבע לחיה. מכיוון ש-DTrack נצפתה פועלת בגרמניה, בברזיל, בהודו, באיטליה, במקסיקו, בשוויץ, בערב הסעודית, בטורקיה ובארצות הברית, נראה כי היא מתרחבת לחלקים נוספים של העולם, כשהיא מתמקדת בארגוני חינוך, במפעלים כימיים, במרכזי מחקר ממשלתים, בספקי שירותי IT ועוד.

צוות קונפידס ממליץ לחסום את מזהי התקיפה (IOCs) המופיעים כאן.

ארגונים חשופים למתקפות מסוג ״תשישות אימות דו-שלבי״

בשנים האחרונות נפוץ בקרב האקרים סוג של מתקפת הנדסה חברתית במסגרתה מושגת גישה לרשת הארגונית על ידי העמסת משתמשים בבקשות לאימות דו-שלבי (2FA), עד שאחת מבקשותיו של התוקף מאושרת מתקפות מסוג זה עשויות לצלוח בעיקר כשדעת הקורבן מוסחת או כאשר הוא עמוס בהודעות ובנוטיפיקציות, ועלול לפרש בשוגג בקשות אימות זדוניות כלגיטימיות. דוגמה למתקפת ״תשישות אימות דו-שלבי״ מוצלחת מהווה הפריצה ל-Uber (ראו ״הסייבר״, 22.9.22), המיוחסת לקבוצת התקיפה $Lapsus. שיטה זו יעילה במיוחד כאשר מדובר בקורבנות חסרי ידע בנוגע למתקפות הנדסה חברתית בכלל, ומתקפות ״תשישות אימות דו-שלבי״ בפרט, שיאשרו מבלי משים בקשת אימות זדונית.

צוות קונפידס ממליץ לארגונים להגביל את מספר בקשות האימות הדו-שלבי עבור כל משתמש, כאשר מספר בקשות גדול מזה המוגדר יביא לנעילת החשבון. עוד ניתן להטמיע בארגון תוכנה לאיפוס סיסמה באופן עצמאי על ידי משתמשים, ומומלץ להעלות את מודעות עובדי הארגון למתקפות הנדסה חברתית בכלל, ולבקשות אימות דו-שלבי שהם מקבלים, בפרט.

האקרים מנצלים אתרי אינטרנט ממשלתיים בעשרות מדינות להפצת שלל נוזקות ולביצוע פישינג האתר VirusTotal, המספק שירותי בדיקה של קבצים חשודים למציאת תכנים זדוניים, פרסם דוח המתאר כיצד האקרים מנצלים לרעה אתרים ממשלתיים ואתרים אחרים הקשורים אליהם. מן הדוח עולה שאתרים ממשלתיים ביותר מ-50 מדינות נגועים בווירוסים, בנוזקות, בסוסים טרויאניים, בכופרות, בתוכנות לכריית מטבעות מטבעות קריפטוגרפיים, בפישינג ועוד. חוקרי VirusTotal אף מצאו עשרות אתרים הכוללים Web shells (סקריפטים זדוני) שביכולתם להפיץ מתקפות פישינג ונוזקות למבקריהם. ככל הנראה, במקרים רבים מדובר באתרים שתחזוקתם ירודה, דבר המביא לחשיפת מידע רגיש ומאפשר לתוקפים לפרוס בכתובות הללו נוזקות וכלי פישינג. בדוח של VirusTotal מחולקים הממצאים לפי סוג המתקפה, כגון סוסים טרויאניים, מתקפות פישינג המכוונות נגד בנקים, תקיפה מזדמנות (קורבן רנדומלי) ועוד. למזעור הסיכון לפריצה לאתרים ממשלתיים, החוקרים ממליצים למפעיליהם לנקוט בפעולות הבאות:

  • לעדכן ולתחזק את האתרים באופן קבוע, ובייחוד מערכות לניהול תוכן (CMS), על מנת לטפל בפירצות.

  • לנטר את האתרים באופן פעיל, לאיתור שינויים חריגים.

  • לסרוק בקביעות כל הקבצים המתארחים בהם.

  • לא להניח שתעבורת רשת מאתרים מאושרים בהכרח אינה זדונית.

  • במקרה של ממצא חשוד, יש להניח שהתרחשה פריצה ולהתחיל בחקירה.

Snapshots של Amazon Public RDS Snapshots נמצאו חשופים ופגיעים ברחבי האינטרנט 

RDS Snapshot הינו רכיב המשמש לגיבוי נתוני מערכת בסביבת הענן AWS. את ה-Snapshots ניתן לשתף עם אנשים נוספים לפרקי זמן שבין מספר דקות לשבועות. צוות חוקרים של Mitiga, שבדק את היתכנות הגישה ל-Snapshots ששותפו, הצליח לסרוק, לשכפל, ליצור רשימות חדשות ולחלץ תוכן מתוך טבלאות שהיו שמורות ב-Snapshots. החוקרים הופתעו לגלות, למשל, כי מאגרי מסד הנתונים MySQL היו חשופים לכל, לרבות מידע אישי רגיש (שמות משתמשים, סיסמאות, כתובות IP, מספרי כרטיסי אשראי ועוד), מידע על החברה, מידע על שכירויות ועוד. בפרק זמן תחום בן חודש (21/09/2022-20/10/2022), הצליחו החוקרים לשים את ידיהם על 2,783 Snapshots שונים, מהם 810 היו חשופים משך כל אותו זמן ואילו 1,859 מהם היו חשופים משך פרקי זמן של בין יום ליומיים.

צוות קונפידס ממליץ למשתפים גיבויים שלא לכלול בהם מידע עודף, וכן להצפין גיבויים, למניעת שיתופם בפומבי.


קבוצות תקיפה איראניות תקפו משרדים פדרליים בארה״ב

מדוח שפרסמה  הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), עולה שקבוצות תקיפה הממומנות על ידי הממשל האיראני ניצלו את חולשת ה-Log4Shell לחדירה לשרת VMware של ארגון FCEB אמריקאי (סניף ניהול אזרחי פדרלי). באמצעות תנועה רוחבית בשרת עלה בידי התוקפים להגיע אל שאר הרשת, לא לפני שהתקינו על שרת ה-VMware תוכנה לכריית מטבעות דיגיטליים (XMRig). נוסף על כך, התוקפים אספו פרטי התחברות של משתמשים מה-DC ברשת הארגונית והטמיעו כלי Reverse proxy להשגת אחיזה קבועה ברשת. כלל מזהי התקיפה (IOCs) מצויים בדוח שפרסמה ה-CISA.

צוות קונפידס ממליץ למשתמשים במוצרי VMware לעדכנם ולעיין בפרסומי האבטחה של החברה. במידה ולא ניתן לעדכן רכיבים פגיעים באופן מיידי, מומלץ למנוע מהם גישה לרשת. עוד מומלץ לשמור על כלל התוכנות והאפליקציות בארגון מעודכנות, ליצור רשימת סיסמאות החשופות ברשת ולוודא שמשתמשי הארגון אינם בוחרים בסיסמאות הדומות להן. 

סייבר בישראל

 

לראשונה: תרגיל סייבר משותף למשרד האוצר הישראלי ולמקבילו האמריקאי
לאחר שחתמו על הסכם שיתוף פעולה בנושא הגנת הסייבר (ראו ״הסייבר״, 18.11.21, ״הסייבר״, 25.11.21, ״הסייבר״, 25.8.22 ו״הסייבר״, 1.9.22), השבוע מערך הסייבר, החירום והביטחון במשרד האוצר הישראלי והיחידה הסייבר-פיננסית במשרד האוצר האמריקאי השלימו בהצלחה תרגיל משותף בן שלושה ימים, שבמהלכו נבדקו תרחישי התמודדות משותפת עם מתקפות נגד המערכות הפיננסיות של ישראל וארצות הברית. ראש מערך הסייבר הישראלי יוני מור הודה לאמריקאים על שיתוף הפעולה, שלדבריו מחזק את המערכת הפיננסית הלאומית, ואמר כי אין ספק שהדבר יסייע למוכנות נוכח תרחישי סייבר-פיננסיים חשובים וחוצי-מגזרים. מערך הסייבר, החירום והביטחון במשרד האוצר הישראלי ימשיך לקדם שיתופי פעולה בינלאומיים להעצמת החוסן הסייבר-פיננסי של ישראל, כל זאת בתיאום עם מערך הסייבר הלאומי.


דלפו תוכניות בנייה מפרויקט הרכבת הקלה בתל אביב

מסתמן כי תוכניות הבנייה של ה״קו הירוק״ דלפו מתאגיד הנדסת הבניין הממשלתי של סין (China State Construction Engineering Corporation, או CSCEC), ככל הנראה במהלך פריצה לשרתיו. על פי הדיווח, המידע זמין באינטרנט כבר מספר שבועות, וכולל פרטים אישיים של עובדים סינים וישראלים, לרבות מספרי טלפון, חוזי עבודה, כתובות מגורים וצילומי תעודות זהות, וכן שרטוטים הנדסיים של תחנות ״הקו הירוק״. עוד נראה כי התוקפים האחראים לפריצה מזדהים עם המאבק הפלסטיני, ומציעים את המידע למכירה בפורומים באינטרנט מתוך מניעים פוליטיים ואידיאולוגיים. כך, למשל, אחד ההאקרים כתב בפורום רלוונטי כי הוא וחבריו מעוניינים למכור את המידע ל״טרוריסטים״ פלסטינים, כאשר השימוש במרכאות עשוי להעיד על הזדהות עם המאבק המזוין הפלסטיני. מנת״ע, החברה המקימה את הרכבת הקלה, נמסר כי ״האירוע לא התרחש בנת״ע״ וכי היא ״מילאה אחר הנחיות מערך הסייבר הלאומי במלואן״. טרם התקבלה התייחסות מטעם ה-CSCEC לידיעות.


מערך הסייבר הלאומי מתריע מפני קמפיין פישינג פעיל אשר במסגרתו קבוצת תקיפה איראנית מתחזה לחברה ישראלית

במסגרת הקמפיין נצפתה כתובת מייל המתחזה לזו של חברת מל״מ, במה שמסתמן כשימוש בתיבות מייל פרוצות של החברה הישראלית לשליחת מיילים המכילים קישור להורדת קובץ ZIP מאתר אחסון קבצים. הקישור יכול להופיע בגוף המייל או בתוך קובץ HTML המצורף להודעה, כאשר קובץ ה-ZIP מכיל קובץ MSI החתום בחתימה תקינה. עם הפעלתו מותקנת על עמדת הקורבן תוכנה להשתלטות עליה ולניהולה מרחוק. נכון לכתיבת שורות אלה, רק שניים מבין חמשת המזהים המצורפים להודעת המערך מזוהים על ידי VirusTotal כזדוניים, וקיימת סבירות גבוהה שהקובץ האמור יעבור בהצלחה דרך מערכות לסינון מיילים. עד כה, נראה שהמייל הזדוני נשלח לעשרות משתמשים, לכל הפחות. ככל הנראה, מאחורי קמפיין הפישינג עומדת קבוצת התקיפה האיראנית MuddyWater, הפעילה ממאי 2017, לכל הפחות, ואשר בסבירות בינונית-גבוהה מקושרת למשרד האיראני למודיעין ולביטחון לאומי (MOIS). בעבר כבר תקפה הקבוצה ממשלות, גורמי ביטחון וארגוני אנרגיה ופיננסים, והיא מרבה להשתמש בשיטות של הנדסה חברתית ובפישינג להשגת גישה ראשונית לרשתות ארגונים. על פי חוקרים ממערך הסייבר הלאומי, נראה שהקבוצה מפתחת נוזקות בעצמה, לרוב סקריפטים הכתובים ב-PowerShell. עוד מעריכים החוקרים שתיבות המייל של מל״מ נפרצו תוך ניצול החולשה הידועה ProxyShell, המצויה בשרתי Exchange של מיקרוסופט, אך הם אינם שוללים את האפשרות שהתוקפים השתמשו בווקטור תקיפה אחר. בתוך כך, מחברת מל״מ נמסר כי "לא התבצעה כל פריצה לרשת הארגון. הפצת המיילים התבצעה דרך שלוש תיבות דואר חיצוניות״.

צוות קונפידס ממליץ לחסום במערכות ההגנה השונות את מזהי התקיפה (IOCs) המופיעים בהודעת המערך.


דליפת מידע חמורה מאתר פרויקט ״נעל״ה״; נחשפו חוות דעת פסיכולוגיות ומידע רפואי רגיש על קטינים

פרויקט ״נעל״ה״ (נוער עולה לפני הורים) הינו מפעל ממשלתי המאפשר לנערים ונערות בגילאי 16-14 לעלות ארצה ללא הוריהם. על פי דיווח של רן בר זיק, בדליפה נחשפו מידע אישי ורגיש על קטינים. מכיוון שהמסמכים היו חשופים באתר שאינו מאובטח ונסרקו על ידי Google, חיפוש של שם הקטין במנוע החיפוש עשוי להניב חוות דעת פסיכולוגית אודותיו, מידע על בעיות רפואיות מהן הוא סובל ועל אשפוזים פסיכיאטריים שעבר, ציונים שקיבל במבדקים שונים ועוד. הדליפה התגלתה על ידי שמואל לנצ'נר, סטונדט חרדי ללימודי הגנה ותקיפה בסייבר בטכניון שבחיפה. לנצ'נר דיווח על ממצאיו למערך הסייבר הלאומי ולמנהלי האתר, על מנת שיסירו את המידע האמור מהרשת. מטעם המנהל לחינוך התיישבותי במשרד החינוך נמסר כי "המנהל פועל עפ"י כל הסטנדרטים המקצועיים ובהנחיית מטה הסייבר הלאומי. מדובר באירוע חריג וחמור ולאור זאת הנחה המנהל את מנהלת 'נעל״ה', הספק האחראי להפעלת האתר, המחויב לעמוד בתקני אבטחת מידע מחמירים, להשבית אותו מידית״. עוד נמסר מהמנהל כי הארגון יערוך תחקיר בנושא וכי נשקלים צעדים נוספים מול ספק האתר.

סייבר ופרטיות - רגולציה ותקינה

 

האיחוד האירופי מקדם רגולציות בתחום הסייבר: NIS2, מדיניות סייבר משותפת וחוק השווקים הדיגיטליים 

בשבוע האחרון פרסם האיחוד האירופי מספר דברי רגולציה חדשים בתחום הגנת הסייבר, על סמך תהליכי גיבוש של נוסחים מוסכמים בין 27 המדינות החברות בו, שהתקיימו במהלך החודשים האחרונים. ראשית, אומץ הנוסח המעודכן של הדירקטיבה בעניין הגנת רשתות ומידע, ה-Network and Information Security Directive, או בגרסתה המעודכנת ה-NIS2. לדבריו של חבר הפרלמנט האירופי בארט חרוטהאוס, שהוביל את העבודה על ה-NIS2, "זוהי החקיקה בתחום הגנת הסייבר הטובה ביותר שנראתה ביבשת, מכיוון שהיא תהפוך את אירופה לכזו המטפלת באירועי סייבר באופן פרו-אקטיבי ומוכוון-שירות." בין היתר, הדירקטיבה מרחיבה את רשימת המגזרים המוגדרים כקריטיים, כשהיא מוסיפה אליה, למשל, את שרשרת האספקה של מזון ואת שירותי הדואר והמשלוחים. עוד קובעת הדירקטיבה חובות דיווח על אירועי סייבר, שיוטלו על חברות פרטיות בכל מדינה החברה באיחוד. מטרה עיקרית נוספת של ה-NIS2 היא להגביר את רמת האחידות וההתאמה של דברי החקיקה בתחום הסייבר הקיימים בכל מדינות האיחוד האירופי. במקביל, ב-10 בנובמבר פורסם מהלך רגולטורי נוסף - מדיניות האיחוד להגנת סייבר משותפת (EU Policy on Cyber Defense), המתייחסת מפורשות לצורך להתמודד במשותף מול הפעילות הסייברית העוינת של רוסיה. מדיניות זו שואפת להגביר את יכולות הסייבר המשותפות של מדינות האיחוד, הן במישור האזרחי והן במישור הצבאי, והיא קובעת את הצורך בשיתוף פעולה בין רשויות אכיפת החוק לבין דיפלומטיית סייבר וניהול אירועי סייבר. ההתפתחות הרגולטורית השלישית מהעת האחרונה היא כניסתו לתוקף של חוק השווקים הדיגיטליים (ראו ״הסייבר״, 31.3.22), ה-Digital Markets Act, ב-1.11.2022. חוק זה קובע כללי התנהלות חדשים עבור חברות המפעילות פלטפורמות דיגיטליות מסוימות, המשמשות "שומרי סף" של מידע במגזר הדיגיטלי (מנועי חיפוש, שירותי שיתוף וידאו, שירותי תיווך מקוונים ועוד). 


יפן מצטרפת למרכז למצוינות סייבר של ארגון הנאט"ו: הרחבת מעגל המדינות התומכות בהגנת סייבר משותפת על מדינות הארגון 

בתחילת חודש נובמבר הצטרפה יפן ל-(Cooperative Cyber Defense Centre of Excellence (CCDCOE, שהינו מרכז בינתחומי לשיתוף פעולה מחקרי ותפעולי בין מדינות נאט"ו, ואף עם מדינות שאינן חברות בארגון. לדברי ה-CCDCOE, "יפן היא אחת מהשותפות המרכזיות של נאט"ו מעבר לאזור האירו-אטלנטי, והיא בעלת הכרה עולמית כמעצמת טכנולוגיה והגנת סייבר. הצטרפותה למרכז תהווה צעד קונקרטי קדימה, המאותת על המחויבות שבשיתוף הפעולה בתחום הגנת הסייבר בין מדינות דומות". בתוך כך, בכנס נאט"ו בנושא הגנת סייבר התקיים ב-10-11 בנובמבר ברומא הזהיר מזכ"ל הארגון ינס סטולטנברג מפני האיום "הממשי והמתפתח" במרחב הסייבר. 


ארה״ב: כתב אישום במחוז ניו ג'רזי נגד אזרח של רוסיה וקנדה החשוד שהשתתף בקמפיין הכופרה של LockBit

ב-10 בנובמבר פורסם כתב אישום נגד מיכאל וסילייב, המואשם ששיתף פעולה עם אנשים אחרים לשם גרימת נזק למחשבים מוגנים והעברת דרישת כופר בהקשר זה. העבירות שמיוחסות לווסילייב בוצעו במסגרת קמפיין כופרה גלובלי של קבוצת התקיפה LockBit, שהחל שהחל בינואר 2020. מאז לשכת החקירות הפדרלית (FBI) חוקרת את הקבוצה ואת פעילותה, אשר בשנה האחרונה היו מתקפותיה נפוצות מאוד, והיוו יותר מחמישית מתקיפות הכופרה. הנאשם, שנעצר בקנדה ב-9 בנובמבר, מצוי בהליכי הסגרה לניו ג'רזי. לדברי עו"ד פיליפ סלינגר, שסייע בגיבוש כתב האישום, "איומי כופרה בינלאומיים כמו LockBit מהווים את אתגר פשעי הסייבר הדחוף ביותר העומד כיום בפני רשויות אכיפת החוק. ההתקפות הללו גורמות לקורבנותיהן הפרעות ונזקים שעולים בהרבה על סכומי דרישות הכופר או התשלומים, שהם בעצמם משמעותיים. עם זאת, ארצות הברית נכונה לאתגר ותשתמש בכל האמצעים החוקיים כדי למצוא את מבצעי ההתקפות הללו ולהעמידם לדין".

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: ררחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי, תמר מרדיקס וגיא פינקלשטיין.