WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 21.10.2021

עיקרי הדברים

  1. הכופרה בהלל יפה - המשטרה לקחה אחריות על חקירת התקיפה וצו איסור פרסום תקדימי הוטל על הפרשה. מנכ״ל משרד הבריאות מבקש מבתי החולים לגלות ערנות מקסימלית, נבלמו ניסיונות תקיפה על בתי חולים בארץ. בליל התקיפה על הלל יפה, חמ״ל הסייבר של משרד הבריאות לא היה מאויש. פרטים נוספים בדו״ח. 

  2. התרעה של ה-CISA, ה-FBI וגורמים נוספים: סקטור המים והביוב בארצות הברית שנמצא על הכוונת של האקרים.

  3. מערך הסייבר הלאומי מפרסם המלצות להתמודדות ומניעה של מתקפות כופרה.

  4. מתקפת כופרה מסיבית על רשת הטלוויזיה האמריקאית Sinclair.

  5. אנו ממליצים לעדכן את המוצרים הבאים: עדכון אבטחה ל-WordPress (קריטי); 419 עדכונים למוצרי Oracle (קריטי); דפדפן גוגל Chrome (גבוה);

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכון אבטחה ל-WordPress נותן מענה לשתי חולשות קריטיות
עדכון אבטחה רבעוני למוצרי Oracle כולל 419 עדכונים
עדכון אבטחה ל-Google Chrome

התקפות ואיומים

ברזיל: קבוצת הביטוח Porto Seguro חווה מתקפת סייבר
Acer תחת מתקפה נוספת של קבוצת התקיפה DESORDEN
חברת ה-IT הגלובאלית Accenture מאשרת כי הותקפה על ידי קבוצת LockBit 2.0
ארגנטינה: פרטים על כלל אזרחי המדינה נחשפו באירוע דלף מידע מאסיבי
מתקפת כופרה מסיבית על רשת הטלוויזיה האמריקאית Sinclair

השבוע בכופרה

VirusTotal: לפחות 130 משפחות של קבצי כופרה נצפו בשנה וחצי האחרונות

סייבר בישראל

צו איסור פרסום תקדימי על הטיפול במתקפת הכופרה על בית החולים הלל יפה
מערך הסייבר הלאומי מפרסם המלצות להתמודדות ומניעה של מתקפות כופרה

סייבר בעולם

דוח משותף של ה-CISA, ה-FBI וגורמים נוספים: סקטור המים והביוב בארצות הברית שנמצא על הכוונת של האקרים
ה-FBI, ה-CIA וה-CISA פרסמו מסמך הנחיות להגנת סייבר מפני הכופרה BlackMatter
חברת אבטחת מידע מפענחת ומפיצה את מפתחות ההצפנה של BlackByte

סייבר ופרטיות - רגולציה ותקינה

חקירה של רשות הגנת הפרטיות חשפה שיווק מתמשך של תוכנה שסיפקה מידע אישי אודות תושבי המדינה
ארצות הברית אוסרת על מכירת תוכנות סייבר למשטרים רודניים


כנסים

 
 

הציטוט השבועי

״בשנה שעברה היו ‭ 300‬מקרים בארץ שחברות מסחריות הותקפו ככה ונאלצו לשלם כופר״ 

יגאל אונא, ראש מערך הסייבר הלאומי בראיון ל Ynet, 20.10.2021

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכון אבטחה ל-WordPress נותן מענה לשתי חולשות קריטיות

העדכון רלוונטי לתוסף הפופולרי WP Fastest Cache, האחראי על יצירת זיכרון Cache לטעינת מהירה יותר של עמודי אינטרנט. החולשה הראשונה שאותרה בתוסף היא מסוג Authenticated SQL Injection, וניתן לנצלה להשחתת אתר בהינתן תוסף אחר, ה-Editor Plugin. החולשה השנייה היא מסוג Stored XSS, והיא עלולה לאפשר לתוקף להשתלט על אתר שלם ולעשות בו כרצונו.

צוות קונפידס ממליץ למנהלי אתרי WordPress לעדכן התוסף לגרסתו האחרונה, 0.9.5.

עדכון אבטחה רבעוני למוצרי Oracle כולל 419 עדכונים

העדכון רלוונטי לעשרות ממוצרי החברה, בהם Java 8 JRE ו-VirtualBox.
צוות קונפידס ממליץ לבעלי מוצרי Oracle לוודא כי הם מעודכנים לגרסאותיהם האחרונות.

עדכון אבטחה ל-Google Chrome

העדכון רלוונטי למערכות ההפעלה Windows ,Mac ו-Linux ונותן מענה ל-19 חולשות ברמות חומרה שונות, בהן חולשות ברמת חומרה גבוהות העלולות לאפשר לתוקף להשתלט על עמדה מרחוק ולהריץ עליה קוד זדוני.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה, 95.0.4638.54.

 

התקפות ואיומים

ברזיל: קבוצת הביטוח Porto Seguro חווה מתקפת סייבר

חברת הביטוח השלישית בגודלה במדינה דיווחה בימים האחרונים על המתקפה, ומסרה כי זו משבשת משמעותית את פעילות מערכותיה. בחקירת האירוע שמבצע הארגון טרם תועדו אינדיקציות לדליפת מידע השייך ללקוחות, לשותפים או לספקים.

Acer תחת מתקפה נוספת של קבוצת התקיפה DESORDEN

לאחר המתקפה הקודמת על החברה בהודו, עליה דווח באמצע החודש ואשר הסתכמה בגניבת 60GB של מידע, הכנופייה מסרה לאתר DataBreaches.net כי הפעם תקפה בהצלחה את Acer טאיוואן. לדבריה, גם מתקפה זו, כמו קודמתה, בוצעה על מנת להוכיח את טענת הקבוצה לפיה אבטחת המידע של החברה חלשה מאוד ואין הגנה מספקת למידע שהיא מאחסנת. לטענת DESORDEN עלה בידיה לפרוץ לשרתים שבהם מאוחסן מידע של עובדים ומידע על מוצרי החברה, וחלק מהמידע על העובדים כבר עלה לרשת. עוד נמסר כי הכנופיה הודיעה ל-Acer על התקיפה שביצעה, ובתגובה הורידה החברה את שרתיה מהרשת. בתגובתה של Acer, שפורסמה אף היא ב-DataBreaches.net, נטען כי לאחר שזיהתה תקיפה היא בודדה את השרתים בהודו ובטאיוואן והחלה לפעול בהתאם לנוהל כתוב, המורה על סריקה מלאה של כל מערכות הארגון. התקרית דווחה לרשויות המקומיות ואינה משפיעה באופן ישיר על עבודתה השוטפת של החברה. לדברי DESORDEN לא בוצעה דרישת כופר עבור המידע שנגנב מהשרתים, ומטרת הדיווח לחברה הייתה לגרום לה לסגור את החולשות במערכותיה.

חברת ה-IT הגלובאלית Accenture מאשרת כי הותקפה על ידי קבוצת LockBit 2.0

לדברי הארגון, האירוע הסתיים בחודש אוגוסט, זאת לאחר ששילם לתוקפים 50 מיליון דולר בתמורה ל-6TB של מידע שגנבו ממערכותיו. מהתנהלות החברה ומהעובדה שלא שלחה הודעות ללקוחותיה, ניתן לשער כי במהלך האירוע לא התרחש דלף של מידע אישי או חסוי.

ארגנטינה: פרטים על כלל אזרחי המדינה נחשפו באירוע דלף מידע מאסיבי

משרד הפנים של ארגנטינה, המנפיק תעודות אזרח ודרכונים, חווה תקיפת סייבר שבמהלכה נחשפו פרטים רגישים אודות כל אזרחי המדינה, בהם שחקני הכדורגל ליונל מסי וסרחיו אגוארו. דלף המידע שהתרחש באירוע, אשר התגלה בחודש ספטמבר, כלל שמות מלאים, כתובות, תאריכי לידה, שיוכים מגדריים, מספרי תעודות לידה ותמונות פספורט. העדות הראשונה לתקיפה נחשפה בטוויטר, שם פורסמו תמונות מתוך תעודות האזרח של 44 מתושבי ארגנטינה. יומיים לאחר מכן התוקף פרסם למכירה בפורום ידוע קובץ עם נתונים אודות כל משתמש ארגנטינאי. כעבור שלושה ימים אישרה ממשלת ארגנטינה כי אירוע הדלף התרחש, על אף שגורמים רשמיים הכחישו את זאת, חרף העובדה שהמידע מצוי בפורומים שונים ברחבי הרשת.

 

מתקפת כופרה מסיבית על רשת הטלוויזיה האמריקאית Sinclair

הכופרה שבאמצעותה נתקפה הקבוצה, אשר בבעלותה 294 תחנות ברחבי ארה״ב, הצליחה להתפשט בצורה נרחבת בתחנות הטלוויזיה השונות, הנשלטות כולן נשלטו באמצעות Active Directory יחיד. המתקפה גרמה להפרעת שירות מסיבית בתחנות השידור ובשירות הסטרימינג האינטרנטי של הקבוצה, והשיבוש החריג הוביל לגל של ציוצים זועמים בטוויטר שהעלו משתמשים מתוסכלים.

השבוע בכופרה

VirusTotal: לפחות 130 משפחות של קבצי כופרה נצפו בשנה וחצי האחרונות

הנתון עולה מדוח שפרסם האתר, המספק מידע אודות כתובות IP, אתרים וקבצים, לאחר שנצפתה עלייה משמעותית בהיקף תקיפות הכופרה בעולם, כמו גם במודעות לתקיפות מסוג זה. הדוח נותן מענה לסוגייה שהינה מרכזית להתמודדות עם מתקפות כופרה, והיא העובדה שנדרשות הבנה מעמיקה וחקירה של נתונים רבים על מנת לרדת לשורש האופן בו מתקפות מסוג זה מתפתחות ומופצות. הניתוח נעשה על ידי חוקרי VirusTotal, בהסתמך על נתונים ממגוון מוצרי אבטחה ויותר מ-80 מיליון דגימות של קבצי כופרה שהתקבלו באתר במהלך השנה וחצי האחרונות, מ-140 מדינות. מהממצאים עולה שהמדינה שהעלתה לאתר את מספר הקבצים הגדול ביותר היא ישראל, ואחריה דרום קוריאה, וייטנאם, סין, סינגפור והודו. הגדולה מבין 130 משפחות קבצי הכופרה שנצפו שמשנת 2020 ועד לסוף המחצית הראשונה של 2021, במדד כמות הקבצים הפעילים, היא GandCrab, ואחריה Babuk. זאת ועוד, כ-95% מקבצי הכופרה שאותרו היו מסוג Portable Executable של Windows  ואילו 2% היו קבצי Android. נתונים אלה ורבים אחרים שפורסמו בדוח מעניקים לחוקרים ולציבור מושג טוב יותר בנוגע לתקיפות כופרה.

סייבר בישראל

 
 

צו איסור פרסום תקדימי על הטיפול במתקפת הכופרה על בית החולים הלל יפה 

צו איסור הפרסום בנוגע למתקפה שהתרחשה בשבוע שעבר נקבע ב-14 באוקטובר, זאת לבקשת משטרת ישראל, החוקרת את האירוע. הצו יישאר בתוקף עד לתאריך ה-14.2.2022, פרק זמן חריג באורכו. לפי הודעת דוברות המשטרה, מותר לפרסום רק את תיאור האירוע הבא: "יחידת הסייבר בלהב 433 פתחה בחקירה פלילית בעקבות תלונה שהוגשה על פריצה למערכות המחשוב בבית-חולים הלל יפה ודרישה לתשלום כופר בתמורה לשחרור הנעילה. במסגרת החקירה מתבצע שת"פ בינלאומי עם גורמי אכיפת החוק במדינות זרות". מתקפת הכופרה שפקדה את בית החולים בחדרה פורסמה לראשונה ב-13 באוקטובר, כאשר המרכז הרפואי עדכן כי חווה אירוע סייבר מסוג מתקפת כופרה, שפגע במערכות המחשוב שלו. הנהלת בית החולים הודיעה כי היא משתמשת במערכות חלופיות לטיפול בחולים, וכי הטיפול הרפואי במוסד ממשיך להתקיים באופן שוטף, למעט פעילות אלקטיבית שאינה דחופה. באותו היום שלח מנכ״ל משרד הבריאות מכתב למנהלי בתי החולים בארץ, בו ביקש מהם לגלות ערנות מקסימלית, להנחות את העובדים בהתאם ולרענן התנהגויות המקטינות סיכונים במרחב הסייבר. למרות זאת, בימים שלאחר מכן מוסדות נוספים במערכת הבריאות הישראלית הותקפו אף הם. יגאל אונא, ראש מערך הסייבר הישראלי, קרא להרחבת סמכויות המערך, על מנת להגביר את יכולתו לטפל באירועי סייבר מהסוג הפוקד כעת את בתי החולים וגורמים נוספים במערכת הבריאות הישראלית. עוד דרש לקדם את חוק הגנת הסייבר שהוצע במרץ 2021, "כדי לוודא שפרצות נסגרות במהירות". החוק האמור היה נתון לביקורת ציבורית רחבה, בשל הדרישות הגלומות בו להרחבה משמעותית של סמכויות מערך הסייבר ואנשיו בנושאים כגון הגנת הפרטיות והאיזונים המקובלים של שלטון החוק, כמו גם בשל העובדה שבמסגרת החוק המוצע קיימת דרישה להליך חקיקתי מקוצר.  

מערך הסייבר הלאומי מפרסם המלצות להתמודדות ומניעה של מתקפות כופרה

המסמך פורסם על רקע מתקפת הכופרה על בית החולים הלל יפה וכולל, בין היתר, את ההמלצות הבאות: 1. לבחון מהו המספר הקטן ביותר של שרתים ופורטים הנדרשים לתפקוד הארגון. 2. לחסום או להגביל באמצעות הגדרות ה-Firewall שרתים ופורטים שאין בהם צורך ממשי. 3. על משתמשי הארגון ומשתמשים צד ג׳ לגשת למערכות באמצעות שירותי VPN או דומיו, תוך שימוש בהזדהות רב-שלבית (MFA) ובהצפנה. 4. לבצע עדכוני חומרה ותוכנה בארגון באופן שוטף, כך שמערכותיו יפעלו בצורה אופטימלית, עם מינימום פגיעות לחולשות. ניתן לעקוב ביתר קלות אחר עדכונים אלה באמצעות מיפוי נכסי הארגון, לרבות כל סוגי החומרה והתוכנה אשר בשימושו. 5. לבצע סגמנטציה של מבנה הרשת הארגונית, כך שבמקרה של תקיפה הדבר יקשה על תנועה רוחבית של התוקף ברשת. 6. ליצור סגמנט רשת ייעודי עבור מחשבים ייעודיים מהם תנוהל הרשת, ואשר לא יהיו נגישים לקריאת מיילים או לגלישה ברשת האינטרנט. 6. יש להתקין מערכות לצרכי ניטור, כדוגמת EDR ואנטי-וירוס, שתבצענה בקרה תמידית על תעבורת הארגון, כמו גם ניתוח נתונים ואירועים בפרק זמן מינימלי. 7. להחזיק בשני גיבויים נפרדים ועדכניים מסוגים שונים, כגון מדיה נתיקה וענן, של המערכות הארגוניות הקריטיות.

סייבר בעולם

 

דוח משותף של ה-CISA, ה-FBI וגורמים נוספים: סקטור המים והביוב בארצות הברית שנמצא על הכוונת של האקרים

על פי הדוח, שבכתיבתו השתתפו הסוכנות האמריקאית לאבטחת סייבר ותשתיות, לשכת החקירות הפדרלית וגופים אחרים, בחצי השנה האחרונה נתקפו שלוש חברות המשתייכות לסקטור האמור. פגיעה בתשתיות אלה פירושה אי-אספקת מים ראוים לשתייה ושיבוש בניהול מי שופכין. אחד מווקטורי התקיפה שנצפו עד כה התאפיין במיילי פישינג שהכילו קבצים או קישורים עם מטען זדוני, שלחיצה עליהם אפשרה גישה למערכות ה-IT של מחשב הקורבן ומשם למערכות ה-OT, המנהלות את הנכסים הקריטיים. וקטור תקיפה נוסף שנצפה נמצא במערכות שאינן מתוחזקות או במערכות ישנות שלא ניתן לעדכנן. מערכות אלה חשופות לחולשות רבות, אותן יכול תוקף לנצל לביצוע מתקפת מניעת שירות, להשתלטות על המערכות, לגניבת ומידע ולמתקפת כופר. נקודת גישה אפשרית נוספת למערכות היא עובדים לשעבר שהמשתמש שהוקצה להם לא הורד מהרשת בסיום עבודתם בארגון. בדוח מפורטות גם המלצות למניעת מתקפות, בהן ניטור שוטף של תעבורת הרשת, הגבלת הגישה וההרשאות של משתמשים, ביצוע עדכוני חומרה ותוכנה שוטפים, יצירת מקורות גיבוי שאינם מחוברים לאינטרנט באופן קבוע, חלוקה נכונה בין מערכות ה-IT וה-OT ויצירת תכנית מגירה למקרה של אירוע סייבר.


ה-FBI, ה-CIA וה-CISA פרסמו מסמך הנחיות להגנת סייבר מפני הכופרה BlackMatter

הכופרה, בה נעשה שימוש מיולי 2021, כוונה בעיקר כלפי מטרות בארה״ב, בהן תשתיות קריטיות בתחומי המזון והחקלאות. BlackMatter עושה שימוש בפרטי התחברות על מנת לגשת ל-Active Directory דרך פרוטוקול SMB, ובכך מקבלת גישה לכלל המשתמשים ברשת. הנחיות האבטחה שפרסמו לשכת החקירות הפדרלית, הסוכנות לאבטחת סייבר ותשתיות וסוכנות הביון המרכזית של ארה״ב מבוססות על ניתוח של הכופרה ועל מידע שנלקח מחברות צד שלישי, והן כוללות פירוט של שיטות, טכניקות ופעולות (TTP) של הכופרה. המסמך שפורסם כולל גם מידע אודות פעולות מיטיגציה אפשריות לשיפור ההגנה מפני BlackMatter וזיהויה, בהן:

  • הטמעת מערכות לזיהוי חתימות.

  • שימוש בסיסמאות חזקות והטמעת אימות דו-שלבי (2FA).

  • עדכון מערכות ותוכנות המצויות בשימוש.

  • הטמעה וביצוע של מדיניות גיבוי ואחזור מידע.

חברת אבטחת מידע מפענחת ומפיצה את מפתחות ההצפנה של BlackByte

קבוצת תקיפה חדשה זו, אשר נחשפה ביולי 2021, תוקפת ארגונים בכופרה שיצרה, במטרה לסחוט כספי כופר באמצעות מכירת מפתחות ההצפנה. השבוע פרסמה חברת Trustwave כי ממחקר מעמיק שביצעה על הכופרה התברר כי הקבוצה העומדת מאחוריה משתמשת בהצפנה AES סימטרית, כלומר, ההצפנה והפענוח נעשות באמצעות אותו מפתח שנעל את הקבצים. אי כך, ניתן לשחזר את הקבצים שהוצפנו באופן המפורט במדריך שיצרה Trustwave. כנופיית BlackByte מצדה מכחישה את השימוש במפתח יחיד וטוענת כי שימוש במדריך יכול לגרום לאובדן הנתונים.

סייבר ופרטיות - רגולציה ותקינה

 

חקירה של רשות הגנת הפרטיות חשפה שיווק מתמשך של תוכנה שסיפקה מידע אישי אודות תושבי המדינה
חקירה מורכבת שערכה הרשות הסתיימה בהגשת כתב אישום מטעם מחלקת הסייבר בפרקליטות המדינה לבית משפט השלום בתל אביב, נגד שני אזרחים ישראלים, מיכאל מאירי ורונן איזק. השניים מואשמים בביצוע עבירות של פגיעה בפרטיות וניהול מאגר מידע אישי בניגוד לדין, כאשר על פי כתב האישום מכרו נתונים אישיים של יותר מ-9 מיליון תושבי ישראל דרך תוכנות בשם "השועל" ו"145". התוכנות איפשרו גישה לכ-136 מיליון רשומות נפרדות, לרבות כאלה הנוגעות לאנשים שאינם בין החיים. המאגרים שמכרו השניים התבססו, בין היתר, על מידע ממרשם האוכלוסין וממאגר כלי רכב. עוד נטען בכתב האישום כי התוכנה שווקה על ידי מאירי ואיזק לחוג לקוחות שכלל חוקרים פרטיים ומשרדי עורכי דין, אשר השתמשו בנתונים לצרכיהם העסקיים. 


ארצות הברית אוסרת על מכירת תוכנות סייבר למשטרים רודניים

ב-20 באוקטובר קבעה מחלקת המסחר האמריקאית כללים חדשים האוסרים על מכירת תוכנות העלולות לשמש משטרים רודניים לצרכי ריגול, ניטור או פגיעה בזכויות אדם. הכללים ייכנסו לתוקף בעוד 90 יום, והם אוסרים על ייצוא והעברה של "פריטי אבטחת סייבר" למדינות ״המעוררות דאגה לביטחון לאומי״ או מחזיקות בנשק להשמדה המונית שאינן מחזיקות ברישיון מטעם המשרד האמריקאי לביטחון ותעשייה.

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: שרון פישר, רחל ביניאשוילי, רז ראש, רם לוי, דבּ האוסן-כוריאל, שי שבתאי,  אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, סער אביבי, רוני עזורי, עמית מוזס וגיא פינקלשטיין.