דו״ח סייבר שבועי
עדכון שבועי 18.05.2023
עיקרי הדברים
-
ישראל: דו״ח מבקר המדינה מצביע על פערים משמעותיים בהגנת הסייבר של מוסדות המדינה; מערך הסייבר הלאומי מנסח חוק סייבר לטובת הגנת המדינה ובונה אסטרטגיה לאומית חדשה; דלף מידע במכללת עתיד - קבוצת התקיפה SharpBoys פרסמה את המידע שגנבה במתקפה על מכללת עתיד; פרק הסיום של הסדרה ״בית הדרקון״ מבית HBO הודלף על ידי ישראלי, תושב גבעתיים.
-
סייבר במגזר הבריאות: אחד מתוך שלושה גולשים בתעשיית הבריאות הוא משתמש מזויף; ארה״ב: המרכז הרפואי SKY LAKES באורגון התגבר על מתקפת הכופר שחווה ב-2020; ארה״ב: בית החולים ריצ'מונד סופג מתקפה כופרה; קבוצת הכופרה KaraKurt הצהירה שתקפה את רשת מרפאות אורתופדיה Peachtree Orthopedics; ארה״ב: קבוצת הכופרה ALPHV הצהירה שתקפה את רשת מרפאות Essen Medical Associates; ארה״ב : מתקפת כופרה על רשת הבריאות Norton Healthcare - ארה״ב: בית החולים Cornwall Community מוציא עדכון אודות מצב התקיפה מחודש שעבר; דו״ח מבקר המדינה: ליקויים קשים בהגנת סייבר בבית החולים; ישראל: מתקפת מניעת שירות (DDoS) על אתרי המרכז הרפואי שמיר (אסף הרופא) ועל בית חולים אלי"ן.
-
מספר קבוצות תקיפה מבצעות שימוש ב-Babuk על מנת לתקוף שרתי VMWare ESXi.
-
*אנו ממליצים לעדכן את המוצרים הבאים: מערכת Wordpress (קריטי); מוצרי Google (קריטי); ראוטר מדגם Nighthawk RAX30 (קריטי);*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
WordPress עידכון אבטחה לספרייה נפוצה נותן מענה לחולשה קריטית במערכת
גוגל פרסמה עדכוני אבטחה חדשים, חלקם בדרגה קריטית
נמצאו 5 חולשות בראוטר מדגם Nighthawk RAX30 של NETGEAR, ובינהם חולשה קריטית
CISCO שחררה עדכוני אבטחה עבור 9 חולשות אבטחה במתגי החברה
התקפות ואיומים
מספר קבוצות תקיפה מבצעות שימוש ב-Babuk על מנת לתקוף שרתי VMWare ESXi
קבוצת התקיפה Mustang Panda ביצעה מתקפות על נתבי TP-Link
קבוצת תקיפה חדשה מתמקדת בתקיפות על Microsoft Azure Serial Console
השבוע בכופרה
ה-FBI מדווח כי קבוצת הכופרה BianLian עברה לבצע מתקפות סחיטה בלבד
סייבר בעולם
עיתון ה-Philadelphia Inquirer תחת מתקפת סייבר
דיסקורד הודיעו על דלף מידע בעקבות פריצה למשתמש תמיכה
Orqa גילתה באג שהושתל על ידי מפתח כ״פצצת לוגית״ ברחפנים
סייבר בגופי בריאות
אחד מתוך שלושה גולשים בתעשיית הבריאות - משתמש מזויף
ארה״ב: המרכז הרפואי SKY LAKES באורגון משתף בתהליך הפקת לקחים שעבר כתוצאה על מתקפת הכופר שחווה ב-2020
ארה״ב: בית החולים ריצ'מונד סופג מתקפה כופרה
ארה״ב: קבוצת הכופרה KaraKurt הצהירה שתקפה את רשת מרפאות אורתופדיה Peachtree Orthopedics
ארה״ב: קבוצת הכופרה ALPHV הצהירה שתקפה את רשת מרפאות Essen Medical Associates-
ארה״ב : מתקפת כופרה על רשת הבריאות Norton Healthcare
ארה״ב: בית החולים Cornwall Community מוציא עדכון אודות מצב התקיפה מחודש שעבר
מבקר המדינה: ליקויים קשים בהגנת סייבר בבית החולים
ישראל: מתקפת מניעת שירות (DDoS) על אתרי המרכז הרפואי שמיר (אסף הרופא) ועל בית חולים אלי"
סייבר בספנות ולוגיסטיקה
כופר בספנות- השפעות ותגובה לאירועים
סייבר בישראל
דו״ח מבקר המדינה מצביע על פערים משמעותיים בהגנת הסייבר של מוסדות המדינה
מערך הסייבר הלאומי מנסח חוק סייבר לטובת הגנת המדינה ובונה אסטרטגיה לאומית חדשה
דלף מידע במכללת עתיד - קבוצת התקיפה SharpBoys פרסמה את המידע שגנבה במתקפה על מכללת עתיד
פרק הסיום של הסדרה ״בית הדרקון״ מבית HBO הודלף על ידי ישראלי תושב גבעתיי
סייבר ופרטיות - רגולציה ותקינה
כותרות של הפסקאות יכתבו באופן הזה
כנסים
הציטוט השבועי
״בשנת 2021 חמש קבוצות תקיפה פעלו בסייבר כנגד ישראל מאיראן, הרי שהנתון קפץ לפי שלושה בשנה החולפת, ועמד על 15 קבוצות תקיפה, כולל אלו של חמאס וחיזבאללה. בעוד ממוצע המתקפות החודשיות של גורמי האיום כנגד ישראל עמד ב-2021 על 85, הרי שבשנה החולפת הנתון יותר מהוכפל, ל-200 מתקפות בחודש בממוצע״
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
WordPress עידכון אבטחה לספרייה נפוצה נותן מענה לחולשה קריטית במערכת
התגלתה חולשה חדשה לתוסף פופלרי ל-WordPress בשם ״Essential Addons for Elementor״. מערכת ה-Elementor מאפשרת למשתמשים לבנות אתרים ולמקם בהם אלמנטים שונים על ידי גרירה שלהם לבמקום הנכון בדף (כמו פיד אינסטגרם, רשימות חכמות, יצירת מסמכים ועוד) למערכת ה-Elementor של Wordpress. הסיפרייה ״Essential Addons for Elementor״ נמצאת בשימוש של כמעל למיליון אתרי Wordpress. החולשה שהתגלתה במערכת (CVE-2023-32243 , CVSS 9.8) יכולה לאפשר לתוקף לא מאומת ניצול מוצלח של החולשה, קבלת הרשאות אדמין לאתר האינטרנט על ידי איתחול הסיסמא של המשתמש, וקביעת סיסמא חדשה.
צוות קונפידס ממליץ למשתמשי סיפרייה זו לבצע עידכון גירסא לגירסא 5.7.2 על מנת לסגור את החולשה.
גוגל פרסמה עדכוני אבטחה חדשים, חלקם בדרגה קריטית
התגלו מספר חולשות המתייחסות לזיכרון המוקצה לתהליך הדפדפן של גוגל כרום. כאשר מפעילים דפדפן, לתהליך זה מוקצה מקום בזיכרון המחשב. כאשר סוגרים את את הדפדפן התהליך מסתיים, וכך גם הזיכרון מתנדף. בניצול פגיעויות אלו, התוקף יכול להמשיך ולבצע פעולות זדוניות כמו החדרת קוד, החדרת נוזקה, חיבור מרחוק, וניצול חולשות אחרות. פגיעויות אלו מתייחסות למקרים בהם הקורבן מבקר בדף זדוני ובמקרים של: ניווט בדפדפן בין דפים - CVE-2023-2721 - Critical; שימוש בממשק למילוי אוטומטי - CVE-2023-2722 - High; שימוש ב- CVE-2023-2723 - High - DevTools; גלישה כ- CVE-2023-2725 - High - gues; שימוש במנוע v8 בדפדפן. - CVE-2023-2724 - High; יישום לא נכון בהתקנות אפליקציות - CVE-2023-2726 - medium. הגרסאות העדכניות 113.0.5672.126/.127 יהיו זמינות בימים הקרובים.
נמצאו 5 חולשות בראוטר מדגם Nighthawk RAX30 של NETGEAR, ובינהם חולשה קריטית
במהלך תחרות סייבר התקפי - ״Pwn2Own״ בדצמבר האחרון, קבוצת החקירה Team82 של חברת Claroty גילתה חמש חולשות ברמת סיכון גבוהה בראוטרים מסדרת "Nighthawk RAX30" של חברת "NETGEAR": CVE-2023-27368 CVSS 8.8; CVE-2023-27369 CVSS 8.8;CVE-2023-27367 CVSS 8.0; ;CVE-2023-27357 CVSS 6.6 ו- CVE-2023-27370 CVSS 5.7.חולשות אלו מאפשרות הרצת קוד מרחוק ללא הזדהות, הזרקת פקודות ומעקף הזדהות להתחברות משתמשים. ניצול מוצלח של חולשות אלו עלול לאפשר לתוקף יכולת מעקב אחר תעבורת הרשת של הקורבן, שליטה על חיבורי רשת, הפניית תעבורה לאתרים זדוניים, הזרקת נוזקות לתעבורת הרשת, שינוי הגדרות הראוטר, וקבלת גישה למכשירים המחוברים לרשת וביצוע מתקפות המשך. הקבוצה Team82 פיתחה נוזקה המשלבת תחתיה כלים המנצלים את כל חמשת החולשות תוך כדי מעקף מנגנוני האבטחה. מאז, חברת NETGEAR שחררה עדכוני אבטחה הכוללים תיקונים עבור חמשת חולשות אלו. צוות קונפידס ממליץ לבעלי הראוטר מדגם ״RAX30״ של חברת NETGEAR, לעדכן את גרסת הממשק של הנתב לעדכנית ביותר בהקדם האפשרי.
CISCO שחררה עדכוני אבטחה עבור 9 חולשות אבטחה במתגי החברה
התגלו תשעה חולשות, רובן קריטיות, בממשק ה-WEB של מתגים של חברת CISCO מסדרת "small business".
החולשות הן: CVE-2023-20162 CVSS 7.5, CVE-2023-20158 CVSS 8.6, CVE-2023-20157 CVSS 8.6 CVE-2023-20156 CVSS 8.6 ,CVE-2023-20024 CVSS 8.6 ,CVE-2023-20189 CVSS 9.8 .CVE-2023-20161 CVSS 9.8 ,CVE-2023-20160 CVSS 9.8 ,CVE-2023-20159 CVSS 9.8 ניצול מוצלח של חולשות אלו עלול לתת לתוקף אפשרות למנף את החולשה למתקפת DDOS, והרצה מרוחקת של קוד בהרשאות root על המתג. החולשות שצויינו נובעות מליקויים במנגנוני האימות של בקשות שנשלחות מממשק ה-WEB של המתג. חברת CISCO שחררה עדכוני אבטחה המתקנים את החולשות עבור כל סדרות המתגים החשופות לפגיעויות אלו. צוות קונפידס ממליץ לעדכן את גרסת ממשק ה-WEB של מתגים מחברת CISCO לגרסה העדכנית ביותר בהקדם האפשרי.
התקפות ואיומים
מספר קבוצות תקיפה מבצעות שימוש ב-Babuk על מנת לתקוף שרתי VMWare ESXi
חברת SentinelLabs מבית SentinelOne גילו עשר קבוצות כופרה שמבצעות שימוש ב-VMware ESXi lockers אשר מבוססות על קוד המקור של קבוצת הכופרה Babuk, שפורסם בספטמבר 2021. קבוצת הכופרה Babuk הייתה בין הקבוצות הראשונות שביצעו תקיפות כופרה כנגד מכונות ESXi, הפעילות של קבוצת התקיפה נעצרה בשנת 2021 כאשר מפתחי הנוזקה פירסמו את קוד המקור של הכופרה. במהלך שנת 2022, נצפו מספר קבוצות תקיפה שביצעו שימוש בקוד המקור של Babuk שדלף ולתקופה קצרה הקימו את Babuk 2.0. הנוזקה ESXi Babuk מבצעת שימוש ב-Sosemanuk, על מנת לבצע הצפנה של קבצים בניגוד לגרסה של Babuk עבור מכונות עם מערכת הפעלה מסוג Windows, שמבצעת שימוש ב-HC-128 על מנת להצפין את הקבצים בשני המקרים. בין קבוצות התקיפה שנצפו מבצעות שימוש ב-Babuk נמצאת גם קבוצת הכופרה RA, שהיא קבוצה חדשה שמתמקדת בתקיפות על מגזרי התרופות, ביטוח ועוד, בעיקר בארצות הברית ודרום קוריאה. קבוצת הכופרה התחילה את הפעילות האחרונה שלה ב-22 לאפריל 2023, עם השקת אתר הדלפות על מנת לפרסם בו את פרטי הקורבנות והמידע שנגנב מהם, כאשר ב-27 לאפריל פורסמו באתר הקורבנות הראשונים של קבוצת הכופרה. בין המאפיינים הבולטים של קבוצת הכופרה נמצא מכתב הכופרה שמשאירים התוקפים לכל אחד מהקורבנות, מותאם וכתוב במיוחד לארגון שהותקף. בנוסף, קבוצת הכופרה RA מצפינה את כל הכוננים וכונני הרשת במחשב הקורבן, מלבד תיקיות מערכת של Windows, קבצים ותיקיות boot, תיקיית program files ועוד. צוות קונפידס ממליץ לבצע חסימה וניטור על פי ה IOC's המצורפים לדיווח.
קבוצת התקיפה Mustang Panda ביצעה מתקפות על נתבי TP-Link
חוקרי חברת CheckPoint חשפו סדרת מתקפות שבוצעו על ידי קבוצת Mustang Panda, קבוצה המשוייכת לממשל הסיני ושמה למטרה לפגוע במטרות אירופאיות. המתקפות מובילות לשליטה על נתבי TP-Link על ידי השתלת עדכון זדוני המכיל נוזקה בשם ״Horse Shell״ שתוכננה במיוחד כדי לנצל חולשות בנתבים מסוג זה. הנוזקה מכילה ׳דלת אחורית׳ שנותנת לתוקף גישה רציפה לנתב, יצירה של תשתית אנונימית ברשת הנתקף העלולה להוביל לתנועת איומים רוחבית (lateral movement). החוקרים סבורים שהנוזקה יכולה להתאים לשלל נתבים של יצרנים שונים. בנוסף לכך, החוקרים משוכנעים שהכניסה הראשונית שמובילה להשתלטות על הנתב מתרחשת כתוצאה מניצול חולשות אבטחה בממשק הנתב או כניסה על ידי סיסמאות ברירת מחדל או סיסמאות חלשות וקלות לניחוש. הנוזקה ״Horse Shell״ מאפשרת הרצה לא מבוקרת של קוד מרחוק, העלאה והורדה של קבצים ותקשורת עם רשתות אחרות. ה׳דלת האחורית׳ שיוצרת הנוזקה מטרגטת בעיקר נתבים ביתיים כדי ליצור רשת נתבים גדולה שתשמש את שרתי הבקרה והשליטה של התוקף. בכך, התוקף משיג שכבה נוספת של אנונימיות וקשה יותר לעלות על זהותו. קבוצות תקיפה סיניות ניצלו בעבר חולשות בנתבים בקמפייני תקיפה דומים, מה שמרמז על דפוס פעולה אסטרטגי. צוות קונפידס ממליץ לעדכן את את גרסת ממשק נתבי ה-TP-Link לעדכניים ביותר ולעדכן את ה-IOCs המצורפים במוצרי האבטחה הרלוונטים.
קבוצת תקיפה חדשה מתמקדת בתקיפות על Microsoft Azure Serial Console
קבוצת תקיפה חדשה, בעלת מניעים כלכליים, זוהתה כיוזמת של מתקפה על Microsoft Azure Serial Console, שירות המספק גישה לממשק טרמינל (terminal) על מנת לבצע שינויים ושליחת פקודות למכונות וירטואליות שמריצות מערכות הפעלה של Windows או Linux. זאת, במטרה לבצע התקנה של כלי ניהול מרחוק על המכונות. חברת האבטחה Mandiant משייכת את הפעילות של קבוצת התקיפה האמורה לקבוצת תקיפה הנמצאת במעקב של החברה תחת השם UNC3944, הידועים גם כ-Roasted 0ktapus ו-Scattered Spider. קבוצת התקיפה ידועה בשימוש בטכניקות של SIM Swapping, שמתמקדת במשתמשים בעלי הרשאות גבוהות במערכת, על ידי שליחת הודעת SMS זדונית כדי להשיג את פרטי הגישה של המשתמש ולקבל את האימות הדו שלבי (2FA) לכרטיס SIM בבעלותם. לאחר קבלת פרטים אלו, התוקפים מבצעים סריקה על רשת הקורבן על מנת למצוא מכונות וירטואלית באמצעות כלים כמו Azure Network Watcher, Azure Windows Guest Agent, VMSnapshot, ו Azure Policy guest configuration. בשלב הבא, התוקפים מנצלים את Azure Serial Console במטרה לקבל גישת אדמין וממשק טרמינל למכונה. אז הם מפעילים סקריפט PowerShell על מנת לבצע התקנה של כלי ניהול מרחוק על המכונה, ובכך משיגים עליה שליטה מלאה.צוות קונפידס ממליץ למשתמשי המוצר לבחון מחדש הרשאות עבור משתמשים עם הרשאות גבוהות במערכת, וליישם עבורם Conditional Access לטובת כניסה ושימוש ברכיבים רגישים יותר במערכת (Azure Serial Console לדוגמא).
השבוע בכופרה
ה-FBI מדווח כי קבוצת הכופרה BianLian עברה לבצע מתקפות סחיטה בלבד
קבוצת התקיפה BianLian היא קבוצה אשר תוקפת יעדים בארה״ב ותשתיות קריטיות באוסטרליה מאז יוני 2022. בעקבות שחרור מפתח לוירוס הכופרה של הקבוצה על ידי חברת Avast בינואר 2023, הקבוצה עברה לאחרונה למתקפות המתבססות על סחיטה בלבד ולא על הצפנת הקבצים ודרישת כופר. הקבוצה החלה לבצע מתקפות סחיטה המבוססות על גניבת מידע רגיש ואיום על הקורבן בפרסום המידע. על פי הפרסום של CISA המבוסס בין היתר על חקירה של ה-FBI, הקבוצה משיגה אחיזה ראשונית בנכסים הדיגיטליים על ידי שימוש בפרטי התחברות של משתמשים דרך פרוטוקול RDP שנרכש על ידי תוקפים עצמאיים או דרך מתקפות פישינג. על מנת להתחמק ממערכות הגנה ולהשבית תהליכים רצים בהן, קבוצת התקיפה עושה שימוש ב-PowerShell ו-CMD במערכות Windows. בנוסף מבוצעת מניפולציה על ערכי Registry גם כן על מנת ליצור החרגות ב-Windows Defender כדי לבצע הרצה של קובצי EXE זדוניים ללא הפרעה. הקבוצה עושה שימוש בדלת אחורית הכתובה בשפת Go ומתמקדת בעיקר בהדלפת מידע רגיש על ידי שימוש בפרוטוקל FTP. פרסום זה הוא כחלק מקמפיין StopRansomware# של CISA שמטרתו לפרסם כמה שיותר פרטים מזהים על קבוצות הכופרה פעילות כדי לשבש את פעילותן.
סייבר בעולם
עיתון ה-Philadelphia Inquirer תחת מתקפת סייבר
העיתון Philadelphia Inquirer תחת מתקפת סייבר ואינו מצליח להדפיס עיתונים מהסופ״ש. ביחד עם מומחי סייבר הם מנסים לשחזר מערכות כדי להחזיר לפעילות את העיתון. מתקפה זו לא השפיעה על האתר Inquirer.com שהמשיך לעבוד כרגיל אך בצורה איטית יותר. בהצהרה ששחררה עורכת העיתון ליסה יו היא אמרה כי "אנו מעריכים את הסבלנות וההבנה של כולם בזמן שאנו פועלים לשחזור מלא של מערכות ולהשלים את החקירה הזו בהקדם האפשרי", וכי "אנחנו נעדכן את העובדים והקוראים שלנו ככל שנלמד יותר." כמו כן יו הודיעה כי דיווחה על התקרית למשרד בפילדלפיה של ה-FBI. מתקפת הסייבר מעלה שאלות לגבי נהלי אבטחת המידע והתשתית של The Inquirer, ומדגישה שאיומי התקפות סייבר אינם פוסחים על אף תעשייה, כולל תאגידי חדשות.
Discord הודיעו על דלף מידע בעקבות פריצה למשתמש תמיכה
חברת Discord, שמפעילה תוכנה פופולרית שמשמשת מעל 150 מיליון משתמשים חודשיים, עדכנה את משתמשיה על דלף מידע שהתרחש בעקבות פריצה אשר נבעה מחדירה לחשבון של איש תמיכה שעבד אצל ספק צד שלישי . כתוצאה מהפריצה, הגיעו פניות למוקד התמיכה של Discord, שהכילו פרטים אישיים כמו כתובות מייל, הודעות וקבצים שהתווספו לפניות ונחשפו. בשעת גילוי הפריצה, חסמה Discord את משתמש התמיכה שנפרץ, וערכה סריקות אחר נוזקות על תחנת העבודה שלו. בנוסף, היא פעלה מול שירות הלקוחות של החברה, כדי למנוע תופעה דומה בעתיד. בהמשך גם נוצר קשר עם המשתמשים של Discord שהמידע שלהם דלף. חברת Discord ממליצה לעקוב אחר התרחשויות חשודות כמו ניסיונות הונאה או פישינג.
Orqa גילתה באג שהושתל על ידי מפתח כ״פצצת לוגית״ ברחפנים
חברת Orqa מייצרת משקפיים לרחפני FPV (first person view) - רחפנים ספורטיביים המשמשים בעיקר למרוצי רחפנים ולצילומים שניתן לראות גם בפרסומות. כדי להטיס את הרחפנים משתמשים בשלט ובמשקפיים ייעודיים בדומה למשקפיים שחברת Orqa מייצרת. לפני כשבועיים חברת Orqa החלה לקבל דיווחים ממשתמשי מוצר הדגל של החברה משקפי One V1 אשר טענו שהמשקפיים נכנסו למצב Bootloader ללא אפשרות יציאה. בתחילה, החברה דיווחה על הדבר כבאג ב-firmware שמשפיע על השעה והתאריך ומונע מהמשקפיים לפעול, בהודעה נוספת שיצאה מטעם החברה נאמר כי הם עובדים על תיקון של הבאג. כמה ימים לאחר פרסום ההודעה השנייה מטעם החברה הועלה לאתר החברה הודעה בה הוסבר כי המקור לתקלה במוצר שלהם היה טמון בנוזקה שהושתלה לפני מספר שנים על ידי קבלן לשעבר של החברה. ״פצצה לוגית״ זו הוטמנה כדי לפעול בעתיד, בתקווה שמצב החירום יגרום לחברה לשלם לאותו קבלן סכומי כסף גבוהים כדי לתקן את הבעיה. מהחברה טוענים כי קבלן זה שמר איתם על קשרים עסקיים לאורך השנים בזמן שחיכה ליום שבו ה״פצצה הלוגית״ שהטמין תפעל.
סייבר בגופי בריאות
אחד מתוך שלושה גו לשים בתעשיית הבריאות - משתמש מזויף
דו"ח Bad Bot האחרון של חברת הגנת הסייבר Imperva חשף כי למעלה מ-30 אחוזים מתעבורת הרשת של מוסדות בריאות ובתי חולים היא של ׳בוטים זדוניים׳. בדו״ח שפרסמה ציינה החברה כי בוטים אינם זדוניים בהכרח - הם יכולים לעזור לבצע אוטומציה של משימות נבחרות, למדוד מעורבות של לקוחות או לדמות שיחות עמם. עם זאת, בוטים זדוניים יכולים לסייע לתוקפים לבצע מתקפות מניעת שירות מבוזרות (DDoS), להפיץ תוכנות זדוניות או לפצח סיסמאות. זו השנה הרביעית ברציפות לעלייה בנפח תעבורת הבוטים הזדוניים, והם מהווים 30.2% מהתעבורה הכללית ב-2022, בהשוואה ל-27.7% ב-2021. "קשה להבחין בין בוטים לבין למשתמשים לגיטימיים כי שניהם מקיימים אינטראקציה עם יישומים בדומה למשתמשים לגיטימיים, רק שבוטים עשויים לנצל לרעה את האופן שבו העסק פועל", נכתב בדו"ח. באתרי שירותי בריאות 31.7% מהתנועה שמקורה בוטים זדוניים. בוטים אלו עלולים לגרום לפרצות מידע בתחום הבריאות, דלף של מידע בריאותי רגיש או השתלטות על חשבונות של לקוחות. יתרה מכך, ייתכן שהנתונים הללו יימכרו ברשת האפלה למטרות רווח.
עוד נכתב בדו״ח ש"סיכון נוסף הנובע מבוטים זדוניים בתחום הבריאות הוא עומס יתר על מערכות בריאות במקרה של מתקפות DDoS על אתרי אינטרנט ומערכות בריאות, אירוע שעשוי להקשות על מטופלים וספקי שירותי בריאות לגשת למידע ולשירותים שהם צריכים". Imperva גם כן, עקבה אחר עלייה בהתקפות DDoS על ארגוני בריאות בארה"ב על ידי קבוצת ההאקטיביסטים הפרו-רוסית [KillNet]. לפי הדו״ח, ״התקפות אלו עשויות לשבש את שירותי הרפואה הטלפונית ולהפריע לתקשורת בין מטופלים וספקים. בוטים יכולים גם להפיץ מידע מוטעה וספאם על שירותי בריאות, שעלולים להוביל לאבחון שגוי, טיפול לא נכון ותוצאות מזיקות אחרות״.
ארה״ב: המרכז הרפואי SKY LAKES באורגון משתף בתהליך הפקת לקחים שעבר כתוצאה על מתקפת הכופר שחווה ב-2020
המרכז הרפואי LAKES חווה מתקפת כופרה באוקטובר 2020 על ידי קבוצת הכופרה הרוסית Ryuk באוקטובר 2020. המתקפה אילצה את המרכז הרפואי לסגור את כל השירותים המקוונים שלו, כולל 2,500 תחנות קצה ו-600 שרתים. בהמשך, תוך מספר שבועות, הצליח צוות המרכז הרפואי לבנות מחדש את המחשבים ולשחזר את מערכותיהם.
מתקפות כופר הן איום משמעותי על ארגוני בריאות, וכמעט לכל בית חולים יש אסטרטגיה להתמודדות עם מתקפות אלו, אבל ארגונים שחוו מתקפת כופר אומרים שאפילו התוכניות הטובות ביותר משתבשות, והאסטרטגיה הטובה ביותר היא לצפות לבלתי צפוי : "היו לנו תהליכי השבתה שעבדו טוב מאוד במשך 24-48 השעות הראשונות, ולאחר מכן המשכנו לפעול אינטואיטיבית ולהבין את צעדינו תוך כדי האירוע״, סיפר ג'ון גייד, מנהל מערכות מידע של המרכז הרפואי. מתקפת הסייבר על המרכז הרפואי נמשכה כשלושה שבועות, אם כי תהליך ההתאוששות לקח הרבה יותר זמן וגרם לצוות מערכות המידע של הארגון לבחון מחדש את הפרוטוקולים שלהם : "הגענו לכל מחלקה כדי לתעד את מה שנעשה וכך למדנו מספר לקחים חשובים״, מספר גייד. אחד הלקחים החשובים שלמדו הוא נושא הממשק והעבודה עם ספקי הטכנולוגיה, אשר הכרחי שיתוף הפעולה מולם באירועים בלתי צפויים למתן עזרה וסיוע.
המתקפה לעיל התרחשה ב-26 באוקטובר 2020, כאשר עובד לחץ על קישור בדואר האלקטרוני שלו. הקובץ הורד מגוגל דרייב, ובמקביל המחשב של העובד הבהב, ובעקבות כך ביצע העובד אתחול למחשב. שום דבר לא נראה חריג, אז העובד לא התריע לאיש. ברקע, מאמצי ההצפנה הראשוניים בוצעו במערכות מבוססות Windows, וזמן קצר לאחר מכן כל המערכות החלו להאט. בשעה 3:30 לפנות בוקר, קיבל מנהל המחשוב שיחת הטלפון מצוות ה-IT שהתריע לו על מתקפת הכופרה. ״הכל שם הוצפן תוך דקות ואז הבנו שאנחנו חייבים לסגור הכל״, מספר גייד.
המתקפה אילצה את המרכז הרפואי להשבית את המערכות שלו ובמקביל נפגע והתעכב הטיפול הרפואי והקליני. לדבריהם, בתי חולים יכולים להכשיר את הצוות שלהם להתמודדות עם מתקפת כופר, לתרגיל מספר תרחישים שונים, אבל בסופו של דבר ההשלכות בשטח הן מורכבות יותר. השבתת המערכות משפיעה גם על הפעילות העסקית כמו שרשרת אספקה, בית מרקחת ומחזור הכנסות.
גייד סיפר כי מיד עם התגלה האירוע, צוות בית החולים התכנס והחלו לפעול: נוצר קשר עם בתי חולים באיזור, עם חברת הביטוח של בית החולים ועם צוותים טכניים של סיסקו. בית החולים עבר לעבודה ידנית, לאחר שכל הצוות הרפואי עבד במשך 18 שנה עם מערכות ממוחשבות. לא היה ניתן לסרוק או להקליד נתונים במערכות ומהכל נכתב על גיליונות נייר. ב-23 בנובמבר, בית החולים הצליח לשחזר את המערכות שלו ולחזור לפעילות : "הקפדנו כבר מההתחלה שנהיה שקופים לגבי מה שקרה", מוסיף גייד. "זה היה מאוד חשוב לנו ואני יכול להסתכל אחורה עכשיו ולהרגיש שעשינו את הדברים הנכונים. אני מקווה שזה יעזור לאחרים בעתיד".
ארה״ב: בית החולים ריצ'מונד סופג מתקפה כופרה
גורם רשמי מטעם המרכז הרפואי של אוניברסיטת ריצ'מונד במערב ברייטון שבניו יורק הודיע כי בית החולים חווה בימים אלה מתקפת כופרה אשר הובילה לשיבושים נרחבים ברשת והשבתת שירותי האונליין של בית החולים. מטעם הדובר נמסר כי חקירת האירוע בעיצומה והיקף הפגיעה המלא במרכז הרפואי המכיל 470 מיטות טרם התגלה. עוד אמר הדובר כי כי בית החולים עדיין פועל עם שירותים מלאים, כולל במחלקת המיון, מחלקות האשפוז וחדר הניתוח. בראיון אנונימי שבוצע עם עובד בבית החולים סופר כי השיבושים הנרחבים ברשת הובילו את הצוות לעבודה ידנית הכוללת הזנת נתונים ידנית וניטור מטופלים על ידי האחיות באופן אישי.
ארה״ב: קבוצת הכופרה KaraKurt הצהירה שתקפה את רשת מרפאות אורתופדיה Peachtree Orthopedics
קבוצת הכופרה KaraKurt הוסיפה את Peachtree Orthopedics לרשימת הקורבנות שלהם. הם טוענים שיש בידיהם גישה ל-194GB של נתונים הכוללים מספרי ביטוח לאומי, פרטי כרטיס אשראי, מידע אישי, רשומות רפואיות ועוד. לא ניתנה תגובה מטעם Peachtree Orthopedics. רשת המרפאות לאורתופדיה Peachtree Orthopedics פרוסה במדינת ג׳ורג׳יה ומעסיקה 35 רופאים. בספטמבר 2016 הודיעה Peachtree Orthopetics כי היא חוותה מתקפת סייבר שגרמה לפרצת נתונים מסיבית. על פי דו"ח חקירה של WSB-TV מדצמבר 2016, מתקפת הסייבר על Peachtree Orthopedics העמידה בסכנה 531,000 רשומות. נכון לכתיבת שורות אלו טרם ניתנה תגובה מטעם רשת האורתופדיה.
ארה״ב: קבוצת הכופרה ALPHV הצהירה שתקפה את רשת מרפאות Essen Medical Associates-
קבוצת הכופרה ALPHV/BlackCat לקחה אחריות על מתקפת הסייבר על רשת המרפאות Essen Medical Associates ב-4 במאי. קבוצת הכופרה ALPHV הדליפה בדיקת אקו לב של מטופל כהוכחה לפרצת הנתונים לכאורה (צילום מסך: Dominic Alvieri). נכון לכתיבת שורות אלו, אתר האינטרנט של רשת המרפאות לא נפגע וטרם התקבלה תגובה רשמית מטעם רשת המרפאות.
ארה״ב : מתקפת כופרה על רשת הבריאות Norton Healthcare
שירותי הבריאות Norton Healthcare הפכו קורבן למתקפת סייבר ב-9 במאי, כאשר זיהו פעילות חשודה הקשורה למערכות המידע, ובעקבות כך נאלצו להשבית חלק מהמערכות על מנת להגן על הרשת. האירוע נמצא בחקירה ונמשכות פעולות לשחזור הפעילות המלאה של המרכז הרפואי, כאשר נכון לעכשיו שירותי האינטרנט לא זמינים ומערכות רבות מנותקות מהרשת. הטיפול בחולים נמשך כסדרו והצוותים הרפואיים עוקבים אחר פרוטוקולים רפואיים כהיערכות במידה והמערכות יושבתו. מהארגון נמסר כי : ״אנו מבקשים את סבלנותה של הקהילה, אנחנו עובדים במהירות על מנת לספק תשובות״.
ארה״ב: בית החולים Cornwall Community מוציא עדכון אודות מצב התקיפה מחודש שעבר
בית החולים שספג מתקפת סייבר בחודש שעבר מוציא עדכון אודות המתקפה שהשביתה את שירותיו.
בהודעה שיצאה באמצעי התקשורת השונים נכתב כי בית החולים חזר במידה רבה לאופן טיפול סטנדרטי בחולים, עם נפחי פעילות קלינית רגילים (חירום, אשפוז, ניתוח וכו'). עם זאת, בית החולים מכיר בכך שהיו עיכובים בשירותים מסוימים כגון צילומי רנטגן, סריקות CT ו-MRI, מדבריהם הם מצפים לשיפור משמעותי וחזרה לשיגרה בטווח הזמן הקרוב. עוד נמסר בהודעה כי בית החולים מודה לציבור על הסבלנות והתמיכה בזמן שהם פועלים במלוא המרץ כדי למזער את אי נוחות ולחזור לפעילות רגילה בהקדם האפשרי.
מבקר המדינה: ליקויים קשים בהגנת סייבר בבית החולים
דו״ח מבקר המדינה שהתפרסם ב-16 במאי (שלישי) חשף כי בבדיקה שנערכה באחד מבתי החולים בארץ נמצא כי בית החולים אינו ערוך למתקפת סייבר. בדו״ח נכתב כי משרד המבקר ערך במאי 2022 בדיקת חדיקות לבית חולים מסוים ובמבדק זוהו 13 ממצאים משמעותיים, עשרה מהם בדרגת חומרה גבוהה ושלושה בדרגת חומרה בינונית. הליקויים היו בחמישה תחומי הגנת סייבר: "סגמנטציה ובקרת זרימה"; "בקרת גישה לרשת"; "הגנת עמדות ושרתים"; "תוכנה לא עדכנית"; ו"גישה לא מאובטחת". המבקר ממליץ למשרד הבריאות לקחת חלק פעיל בהגנת הסייבר של מוסדות הבריאות ולבצע בבתי החולים ובקופות החולים מבדקי חדירת סייבר ולהטמיע את הלקחים מהביקורת הנוכחית על כלל בתי החולים. נוסף על כך, דו״ח המבקר ממליץ למשרד הבריאות להמשיך לפעול כמאסדר של כלל המוסדות הרפואיים ולסייע במישור הלאומי להם להתמודד עם אתגרי הגנת הסייבר של המכשור הרפואי.
ישראל: מתקפת מניעת שירות (DDoS) על אתרי המרכז הרפואי שמיר (אסף הרופא) ועל בית חולים אלי"ן
קבוצת ההאקרים Mysterious Team שמזדהה כקבוצה אנטי-ישראלית הודיעה שהפילה במסגרת קמפיין OpIsrael את אתר המרכז הרפואי שמיר ואת אתר בית החולים אלי״ן. נכון לכתיבת שורות אלו, אתר המרכז הרפואי שמיר ואתר בית חולים אלי"ן התאוששו מהמתקפה והם זמינים לגלישה. קמפיין OpIsrael הינו קמפיין התקפי במרחב הסייבר הפועל כנגד ארגונים ישראלים ומזוהה עם ארגון האקרים Anonymous. מדי ב-7 לאפריל, נערך קמפיין בו האקטיביסטים וקבוצות תקיפה פרו-פלסטיניות מנסות לפגוע בארגונים ואתרים ישראלים במטרה לשבש את פעילות החברות וליצור הד תקשורתי בניסיון להעביר את מסריהם הפוליטיים.
סייבר בספנות ולוגיסטיקה
כופר בספנות- השפעות ותגובה לאירועים
במאמר דעה מפי ונסה דידונמיקו, מומחית למשפט ימי, שרון ר. קליין, וקארין שין עו״ד לענייני פרטיות, מתוארות מתקפות הסייבר הממשיכות לאיים על מגזר הספנות, שמהווה יעד אטרקטיבי במיוחד למתקפות כופר.
מתקפות כופר חוסמות גישה למערכות עד שמתבצע תשלום כספי על ידי היישות הנתקפת, ועל ידי כך נסחטים הקרבנות, והתוקפים קוצרים רווח כלכלי. ככל שתעשיית הספנות הופכת לדיגיטלית ותלויה בחיבור לאינטרנט, קיימות דרכים חדשות לחדור למערכות הקיימות.
מתקפות הכופר עשויות להתבצע על ידי הודעות ״פישינג״, פריצה ישירה למערכות ורשתות, פריצה לאתרי אינטרנט, ועוד. המתקפות עלולות לחדור לרשתות שלמות ולא רק למחשבים מקומיים, ובמקרים מסויימים לפגוע אף בצדדים שלישיים המקושרים במערכות. השפעות המתקפות על התעשייה כוללות אפקט מיידי וכן השפעות ארוכות טווח. הצפנת הנתונים הקריטיים מובילה להגבלת הנגישות והשליטה במערכות מפתח, שהשבתתן עשויה לגרום לעיכובים או הפסקת שירותים ופעילות. חשש נוסף הוא הפצת הנתונים הקריטיים שדלפו לתוקף וכן ההשלכות הכלכליות והפגיעה במוניטין הציבורי. במקרים מסויימים עשויות להיות השלכות משפטיות כגון איום באכיפת רגולציה ממשלתית או טענות עובדים ולקוחות להעדר אמצעי הגנה נאותים לאבטחת מידע.
המערכות בספינות בזמן השיט, שונות מהמערכות היבשתיות, ובהתאם לכך ההגנות האפשריות הן שונות. ספינות ישנות יותר עשויות להצריך שדרוגים ותיקונים על מנת לשמור על רמת אבטחה נאותה. בדרך כלל המערכות על הסיפון כוללות מערכות טכנולוגיית מידע וכן טכנולוגיה תפעולית. יש לוודא כי מערכות אלה כוללות אמצעי אבטחה ואיתור מתקפות. חיוני להבין את הממשקים הקיימים עם היבשה ולזהות נקודות תורפה עדכניות מדי רבעון.
בעלי אוניות ומפעיליהן יכולים לנקוט בצעדים למניעת התקפות סייבר ולהגביל איומים על ידי היערכות לתגובה. יש ליצור תוכניות ומדיניות הגנת מידע כדי לזהות נקודות תורפה, איומים והשפעות, לערוך הכשרה נכונה ומודעות לעובדים ביבשה ובספינה, לבצע עדכוני תוכנה קבועים, הצפנת נתונים רגישים ותזכורות ליישום הגנת סייבר נכונה על הסיפון.
בנוסף, חברות צריכות גם להבין כיצד להגיב למתקפות סייבר ולהתאושש מהן. יש לעדכן את תוכניות התגובה מדי שנה על מנת לתת מענה באופן מיטבי, יש לשמור עותק מודפס על הסיפון למקרה שהגישה למערכת נפגעת. יש לוודא כי נהלי הספינה כוללים התייחסות למקרה של השבתת מערכות או ציוד קריטי. על תוכניות התגובה לכלול מידע הנוגע לניהול האירוע על מנת להבטיח תמיכה ארגונית אם מתרחש אירוע. חשוב שהליך ההתאוששות יכלול חקירת האירוע, שמירת ראיות, הערכת השפעות, במטרה לשאוף לשיפור מתמיד ולמנוע חזרה.
הגנת סייבר אינה רק מניעת גישה מהתוקפים, אלא מטרתה להגן על נתונים ונכסים. לכן, יש לזהות את נקודות התורפה, להעמיד תוכניות אבטחה ולבצע תרגילים שוטפים המסייעים לשיפור הבטיחות והביטחון יורדי הים והסביבות בהן הם פועלים.
סייבר בישראל
דו״ח מבקר המדינה מצביע על פערים משמעותיים בהגנת הסייבר של מוסדות המדינה
דו״ח מבקר המדינה שהתפרסם בחודש מאי 2023 מצביע על מספר פערים משמעותיים של מוסדות המדינה בתחום הגנת הסייבר ומערכות המידע. להלן הממצאים המרכזיים מתוך הדו״ח:
-
תעודות זהות ודרכונים ביומטריים - למרות שחלפו 10 שנים מתחילת הפרויקט הלאומי הביומטרי, 43% מכלל אזרחי ישראל מחזיקים בתעודות זהות מנייר שהן קלות יחסית לזיוף. המבקר מצביע על כך שלפי נוסח החוק המקורי, כל אזרחי המדינה היו כבר צריכים להיות עם תעודות זהות ביומטריות.
-
הגנת הסייבר בשירות בתי הסוהר (שב״ס) - מסמכים מסווגים במערכות המחשוב של השב״ס אינם שמורים תחת הגנת סייבר ברמה מספקת. בדו״ח נכתב כי עלו פערים משמעותיים בבדיקת חדירות שיזם משרד המבקר לתוך מערכות המחשוב של השב״ס בתחומים הבאים: הגנת הסייבר על חלק מהמערכות, ביצוע סקרי סיכונים באבטחת מידע וסייבר, וביצוע מבדקי חדירה, היערכות לניהול אירועי סייבר, ניהול משתמשים והרשאות, ותהליכי הפיתוח של רשת מחשב מסווגת.
-
ביטוח לאומי - למרות המידע הרב על אזרחי ישראל שנמצא בידי המוסד לביטוח לאומי, הוא חווה מדי יום 2.9 מיליון מתקפות סייבר. דו״ח המבקר מצביע על כך שלא קיימת אסדרה או גוף מאסדר של ביטוח הלאומי על כלל פעולותיו בתחום הגנת הסייבר - בניגוד למרבית רשויות המדינה האחרות.
-
המרכז לגביית קנסות: "נמצאו חולשות אבטחה במרכז - הרשאות של עובדים לא הוסרו למרות סיום עבודתם; 52% מההרשאות שנפתחו נעשו ללא אישור מתאים; מתוך כ- 1,400 אירועים חריגים - רק 7% נבדקו. זאת למרות המידע הרב על אזרחי ישראל שנמצא בידי המרכז".
-
הנגשת שירותי ממשל: "ב-100% מ-15 אתרי אינטרנט ששייכים ל-14 גופי ממשל שנבדקו, נמצאו פריטים שלא היו מונגשים כדין לאנשים עם מוגבלות".
מערך הסייבר הלאומי מנסח חוק סייבר לטובת הגנת המדינה ובונה אסטרטגיה לאומית חדשה
ראש מערך הסייבר הלאומי, גבי פרוטנוי, נאם ביום א׳ (14 במאי) בכנס InfoSec23 בחסות כתב העת אנשים ומחשבים, והציג את העליה באיומים המדיניים על מדינת ישראל בתחום הסייבר בשנה האחרונה, את הייעוד של מערך הסייבר וחשיבות העמקת שיתוף הפעולה של המערך עם גופים מכל המגזרים - הממשלה, התעשייה, האקדמיה וספקיות האבטחה – לטובת "כיפת ברזל לאומית בסייבר". כמו כן, פורטנוי אמר כי המערך מגבש כעת הצעה לחוק סייבר לטובת הגנה על התשתיות הקריטיות, כדי שיעמדו בקנה אחד עם הסטנדרטים של ארצות המערב. בנוסף, חשף פורטנוי כי המערך מנסח אסטרטגיית סייבר לאומית שתכלול תוכנית תלת-שנתית להגנת סייבר כוללת של המשק כדי להמשיך לסייע להגן על כלל נכסי הדיגיטל הלאומיים.
דלף מידע במכללת עתיד - קבוצת התקיפה SharpBoys פרסמה את המידע שגנבה במתקפה על מכללת עתיד
קבוצת התקיפה Sharpboys המיוחסת לאיראן ופרצה לאחרונה לרשת מכללות עתיד (ראה הסייבר 27.04) פרסמה את המידע שגנבה במהלך המתקפה על שירותי המכללה, מידע זה כולל פרטים אישיים אישורי משטרה, טפסי 101, צילומי תעודות זהות, גליונות ציונים, תעודות גמר, כתובות מגורים מלאות, קוד המקור של אחד מהאתרי האינטרנט של המכללה ועוד. קבוצת מכללת עתיד מסרה לאתר Ynet בתגובה לאירוע כי ״כפי שפורסם לפני כחודשיים, קבוצת 'עתיד' התמודדה עם מתקפת סייבר עוינת שמאחוריה עמדו האקרים איראנים שביקשו להמשיך ולבצע פגיעות אסטרטגיות במוסדות האקדמיה והחינוך המובילים בישראל. המתקפה הבודדת נהדפה, אולם ישנם חומרים ישנים ברובם שדלפו. מערך הסייבר הלאומי ליווה ומלווה מקרוב את ניהול האירוע ואנשיו דואגים להילחם בניסיונות האיראניים אשר מנסים לפרסם שוב ושוב את אותם החומרים בדיוק״.
פרק הסיום של הסדרה ״בית הדרקון״ מבית HBO הודלף על ידי ישראלי תושב גבעתיים
יחידת הפשיעה המקוונת של משטרת מחוז מרכז עצרה בתום חקירה סמויה תושב גבעתיים בחשד שפרץ לשרתי חברת הלווין והדליף את פרק הסיום של הסדרה הפופולרית ״בית הדרקון״ מבית HBO. מעצר החשוד בוצע לאחר חקירה סמויה חקירה שהחלה עם קבלת תלונה מחברת HBO בחשד ששרתי חברת הלוויין נפרצו ופרק הסיום של העונה הועתק מהם והופץ באתרים פיראטים יומיים לפני השידור שלו לציבור הרחב. במשטרה טוענים שהחקירה הפורנזית נערכה על בסיס איסוף נתונים וניתוח ממצאים ברשתות החברתיות. בנוסף החקירה העלתה שהשם של הקובץ של פרק הסיום היה ״ציפורה״, שמה של החתולה של החשוד במעשה. החשוד הועבר לחקירה ומביתו נאספו מערכות מחשוב וממצאים נוספים שעשויים לסייע בחקירה.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, שלומית רודין, רוני עזורי, יובל אוחנה, בת-אל גטנך, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ואורי יוסף.