WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 22.10.2020

עיקרי הדברים

  1. משרד המשפטים של ארה"ב בכתב אישום נגד 6 קציני מודיעין רוסיים בגין תקיפות סייבר בניהן: ההתערבות בבחירות בצרפת, תקיפת חברות רב לאומיות (NotPetya) שגרמה לנזק של 10 מיליארד דולר, מתקפת סייבר על המשחקים האולימפיים ועוד. 

  2. ה-NSA מזהירה מפני פעילות סייבר סינית המנצלת 25 חולשות.

  3. פרטים נוספים על מתקפת הסייבר בנמל באנדר עבאס באיראן.

  4. הצהרת ה-G7 על מתקפות כופרה: מנוצלות כדי לעקוף סנקציות ולממן נשק להשמדה המונית.

  5. התראות להתחזות לחברות (Squatting) הבאות: Paypal, Amazon, Apple, WhatsApp, Dropbox

  6. אנו ממליצים לעדכן בהקדם את המוצרים הבאים:  מוצרי מיקרוסופט (פירוט בדוח), גוגל כרום, מוצרי Cisco (402 מוצרים, פירוט בדוח), SonicOS של SonicWall, מוצרי ESXi, Workstation Pro/Player, Fusion, NSX-T ו-Cloud Foundation של VMWare, ואת -Adobe Magento 

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

Microsoft פרסמה עדכון אבטחה בהול לסגירת שתי חולשות
Oracle מפרסמת עדכון אבטחה קריטי לסגירת 402 חולשות במוצריה
חולשת אבטחה קריטית ב-SonicOS
עדכון ל-Chrome עקב חולשות ZeroDay  שמנוצלת בפועל
עדכון אבטחה קריטי למוצרי VMware
ה-NCSC מתריע מפני חולשה המאפשרת הרצת קוד מרוחק על שרתי Microsoft Sharepoint
עדכון אבטחה ל-Adobe Magento

התקפות ואיומים

דיווחי התחזות לחברות (Squatting) מהשבוע האחרון:
Cisco מתריעה מפני מתקפות המשמישות חולשה בראוטרים מתוצרתה
אביזרי IoT הופכים לחלק מה-Botnet של נוזקת Mirai
קמפיין TA551 ממשיך בהפצת הכלי IcedID
שלוש חולשות Zero-Click במכשירים מבוססי Linux
ה-NSA מזהירה מפני פעילות סייבר סינית המנצלת 25 חולשות

השבוע בכופרה

קבוצת הכופר Ryuk מנצלת את חולשת Zerologon לצורך ביצוע מתקפות ״בזק״
קבוצת התקיפה הפיננסית FIN11 ביצעה הסבה למתקפות כופר
הכופרות הנפוצות ביותר לרבעון השלישי של שנת 2020; כופרת STOP שולטת

סייבר בישראל

מערך הסייבר מתריע מפני קמפיין גניבת זהות בפייסבוק
משטרת ישראל עצרה 16 חשודים בגניבת מאות אלפי שקלים בהונאת סייבר
מה למד משרד האנרגיה ממתקפת הסייבר האיראנית על מתקני המים?

סייבר בעולם

מה קרה בנמל בנדר עבאס?
גוגל מפרסמת מאמר על התמודדות עם איומים מתפתחים
Symantec מפרסמת מחקר על כלי חדש המצוי בידי MuddyWater

סייבר ופרטיות - רגולציה ותקינה

משרד המשפטים של ארה"ב בכתב אישום נגד 6 פושעי סייבר בגין פריצות ענק, בהן NotPetya
קנס תקדימי בסך 20 מיליון ליש״ט הוטל על British Airways בעקבות פריצה למידע אישי
חששות ה-G7 ממתקפות כופרה: הצהרת הארגון בקשר לסכנות למערכת הפיננסית הגלובלית
הרשות להלבנת הון - סיכוני קורונה

כנסים

הציטוט השבועי

״אין עוד מדינה שעשתה שימוש התקפי ביכולות הסייבר שלה בזדון או בחוסר באחריות כפי שעשתה רוסיה, אשר גרמה לנזק חסר תקדים, והכל על מנת להשיג יתרונות טקטיים קטנים ובכדי להכעיס.״ 

ג'ון דמרס, סגן פרקליט המדינה  לענייני בטחון לאומי, הודעה לעיתונות של משרד המשפטים בארה"ב, 19.10.2020

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

חולשות חדשות

Microsoft פרסמה עדכון אבטחה בהול לסגירת שתי חולשות
לאחר שהחברה פרסמה לפני כשבוע את עדכון האבטחה הראשון שלה לחודש זה, התגלו במוצרי Windows שתי חולשות אבטחה, אשר בהינתן תנאים מסוימים מאפשרות הרצת קוד מרחוק: (א) CVE-2020-17022, CVSS 7.8 - פוגעת ב-Microsoft Codecs Library ומאפשרת הרצת קוד מרחוק. (ב) CVE-2020-17023, CVSS 7.8 - פוגעת ב-Microsoft Visual Studio Code ומאפשרת הרצת קוד זדוני, בכפוף לפתיחת קובץ JSON זדוני ע״י המשתמש.
אנו ממליצים על עדכון המוצרים באופן מיידי.

 

Oracle מפרסמת עדכון אבטחה קריטי לסגירת 402 חולשות במוצריה
העדכונים פותרים 402 חולשות, חלקן קריטיות, במוצרי החברה השונים ובאינטראקציה שהם מקיימים עם קוד צד שלישי. העדכונים הם מצטברים, ולפיכך התקנתם על גבי המוצר במצבו הנוכחי תוסיף  את עדכוני האבטחה החדשים בנוסף לאלה הקודמים. על פי הפרסום, ב-272 מתוך החולשות מנוצלת על ידי תוקפים, ושתיים מהחולשות מדורגות בציון 10 CVSS. אנו ממליצים לעבור על רשימת המוצרים המופיעה בקישור לעיל ולבצע את העדכונים הרלוונטיים.

חולשת אבטחה קריטית ב-SonicOS
חברת SonicWall פרסמה פתרונות ועצות להתמודדות עם חולשת אבטחה קריטית בממשק הגרפי, המיועד לעבודה עם מוצרי אבטחה. החולשה שנסגרה מאפשרת DOS (התקפת מניעת שירות), ובנסיבות מסוימות גם הרצת קוד מרחוק. החולשה (CVE-2020-5135, CVSS 9.4) תקפה לגרסאות 6.5.4.7, 6.5.1.12 ו-6.0.5.3 של המוצר.
אנו ממליצים למשתמשי התוכנה לבדוק את גרסת המוצר שברשותם ולעדכנה במידת הצורך.

 

עדכון ל-Chrome עקב חולשות ZeroDay  שמנוצלת בפועל 
עדכון האבטחה רלוונטי לגרסת ה-Desktop של הדפדפן למערכות ההפעלה Windows ,Mac ו-Linux, ואולם טיב ואופי הפגיעויות שנסגרו ישארו חשאיים עד שדי משתמשים יטמיעו את העדכון. הגרסה החדשה, 86.0.4240.111, סוגרת חמש פגיעויות אבטחה:
CVE-2020-15999 - ציון 7.5 CCVS
CVE-2020-16000 - ציון 8.8 CCVS
CVE-2020-16001 - ציון 8.8 CCVS
CVE-2020-16002 -ציון 8.8 CCVS
CVE-2020-16003 - ציון 6.5 CCVS
מגוגל נמסר כי החברה מודעת לכך שחולשה CVE-2020-15999 מנוצלת על ידי תוקפים עדכון האבטחה יופץ להתקנה במהלך הימים או השבועות הקרובים.

 

עדכון אבטחה קריטי למוצרי VMware
העדכון, שפורסם ב-20 באוקטובר, רלוונטי למוצרים ESXi, Workstation Pro/Player, Fusion, NSX-T ו-Cloud Foundation. אחד מהעדכונים הוא קריטי (CVE-2020-3992, CVSSv3 9.8), שכן הוא סוגר ב-VMware ESXi חולשה אשר עלולה לאפשר הרצת קוד מרוחק באמצעות ניצול שירות OpenSLP.
אנו ממליצים לעדכן את מוצרי VMware שברשותכם לגרסאות העדכניות ביותר.

 

ה-NCSC מתריע מפני חולשה המאפשרת הרצת קוד מרוחק על שרתי Microsoft Sharepoint
החולשה (CVE-2020-16952, CVSS 8.7) עלולה לאפשר לתוקף להריץ קטע קוד זדוני בהרשאות Admin מקומי, ובכך לפגוע בשרתים.
אנו ממליצים להטמיע את עדכוני התוכנה החודשיים של מיקרוסופט באופן שוטף, ובפרט את העדכון הסוגר חולשה זו.

עדכון אבטחה ל-Adobe Magento

העדכון שפורסם רלוונטי למוצרים Magento Commerce ו-Magento Open Source ופותר מספר חולשות, בהן שתיים המדורגות ברמת חומרה קריטית (CVE-2020-24407 ו-CVE-2020-24400) ועלולות להיות מנוצלות להתקפות מסוג SQL Injection, דלף מידע רגיש, XSS ועוד.
אנו ממליצים לבעלי המוצרים הללו לעדכנם לגרסתם האחרונה.

 

התקפות ואיומים

 דיווחי התחזות לחברות (Squatting) מהשבוע האחרון:

  • Paypal - הדומיין הראשון נרשם ב-17 באוקטובר, הדומיין האחרון נרשם ב-19 באוקטובר. בין שמות הדומיין: renewal-account-paypal[.]com, serviceintl-paypal[.]com.

  • Amazon - הדומיין הראשון נרשם ב-31 ביולי, הדומיין האחרון נרשם ב-19 באוקטובר. בין שמות הדומיין: signin-verify-amazon[.]com, myaccount-verify-amazon[.]com.

  • Apple - הדומיין הראשון נרשם ב-8 באוקטובר, הדומיין האחרון נרשם ב-15 באוקטובר. בין שמות הדומיין: summary-verify-apple[.]com, appleservice-billing[.]com.

  • WhatsApp - הדומיין הראשון נרשם ב-14 באוקטובר, הדומיין האחרון נרשם ב-16 באוקטובר. בין שמות הדומיין: wkatsapp[.]com, whotaspp[.]com.

  • Dropbox - הדומיין הראשון נרשם ב-18 באוקטובר, הדומיין האחרון נרשם ב-20 באוקטובר. בין שמות הדומיין: ssl-drpbox[.]cloud, ssl-dropbx[.]cloud.

את רשימת הדומיינים המלאה ניתן למצוא בקישורים המצורפים. אנו ממליצים להזין את כלל הדומיינים הזדוניים הנ״ל כמזהים (IOCs) במערכות ההגנה של הארגון.

Cisco מתריעה מפני מתקפות המשמישות חולשה בראוטרים מתוצרתה
החולשה (CVE-2020-3118, CVSS 8.8) פוגעת בנתבי החברה באמצעות ניצול האופן בו מנגנון הזיהוי של Cisco בודק את ההודעות המתקבלות בו. בכך, תוקף המחובר רשתית למכשירים הפגיעים יכול לשלוח פקטת CDP (פקטת פרוטוקול הזיהוי של Cisco) זדונית ולהריץ קוד מרחוק על אותו נתב. החולשה, שזוהתה בפברואר השנה ונסגרה זה מכבר בעדכונים שהוציאה החברה, פוגעת אך ורק ברכיבים הרצים על תוכנת Cisco IOS XR. באזהרה שהפיצה Cisco לחברות, נאמר כי בשל זיהויים של ניסיונות השמשה של החולשה, מומלץ לעדכן בדחיפות את המוצרים הפגיעים לגרסתם האחרונה.

אביזרי IoT הופכים לחלק מה-Botnet של נוזקת Mirai
חברת Palo Alto גילתה ארבעה וריאנטים של Mirai אשר הוחדרו לתוך מכשירי (Internet of Things (IoT. נוזקה זו הופכת מכשירים נגועים המתופעלים באמצעות Linux לחלק מ-Botnet (רשת בוטים) המבצעת התקפות נרחבות על רשתות. במקרה המדובר, התוקפים ניצלו חולשה הקיימת בפקודה Wget, המשמשת לקבלת תוכן משרתי Web, לשם התקנת וריאנטים של הנוזקה שמצרפים את המכשירים המותקפים אל ה-Botnet. מתקפה זו היא אחד האופנים בו האקרים מנצלים את העובדה שתחום אבטחת המידע ב-IoT עדיין בחיתוליו.
אנו ממליצים להקפיד לעדכן את ה-Firmware של מוצרי ה-IoT שברשותכם באופן שוטף ולעדכן את המזהים (IOCs) המופיעים בקישור, במערכות ההגנה הרלוונטיות בארגונכם. 

 

קמפיין TA551 ממשיך בהפצת הכלי IcedID
בראד דאנקן, חוקר מטעם ה-ISC של SANS, דיווח על המשך פעילותו של מערך (TA551 (Shathak, המפיץ את הכלי (IcedID (BokBot באמצעות מסמכים זדוניים בשיטת פישינג. אופן הפעולה של שרשרת התקיפה: (א) הקורבן מקבל אימייל פישינג אשר מכיל קובץ ZIP מוצפן ואת הסיסמה לפתיחתו. (ב) קובץ ה-ZIP מכיל קובץ וורד המפעיל Macro, שמפנה לכתובת המסתיימת ב-CAB. (ג) המחשב מודבק ב-Installer DLL, אשר מתקין את הכלי המרכזי בתקיפה, IcedID. ככל הנראה, הקמפיין פונה באופן ספציפי לדוברי אנגלית. מטבע הדברים, המתקפה ניתנת לסיכול, על ידי הימנעות מפתיחת קבצים או מלחיצה על לינקים המצויים באימיילים המגיעים ממקור זר. זאת ועוד, גם אם קובץ הוורד נפתח - כברירת מחדל המערכת אינה מריצה פקודות Macro. על כן, חשוב מאוד שלא לאפשר הרצת Macros כאשר קופץ חלון בו מופיעה בקשה לאפשר פעולה זו.

שלוש חולשות Zero-Click במכשירים מבוססי Linux
החולשות, שזוהו על ידי חוקרי אבטחה של חברת גוגל, מצויות בתוכנה של רכיב ה-Bluetooth הקיים במערכות ההפעלה Linux ומאפשרות למכשירים לא מאומתים המוצבים בקרבת מקום להריץ קוד על המערכת עם הרשאות Kernel. שלוש החולשות, אשר קיבלו את הכינוי BleedingTooth, נמצאות בפרויקט הקוד הפתוח BlueZ, המספק את יכולות הליבה והפרוטוקולים לציוד IoT ולמחשבים מבוססי Linux. חברת Intel, השותפה בפרויקט BlueZ, פרסמה אף היא התרעה בנושא, בה היא מציעה להטמיע את עדכוני ה-Kernel המצויים בקישור זה. הדגמה של המתקפה ניתן לראות כאן.
אנו ממליצים להתקין את עדכוני ה-Kernel בהקדם. 

ה-NSA מזהירה מפני פעילות סייבר סינית המנצלת 25 חולשות

במסמך שפרסמה הסוכנות מפורטות 25 החולשות הנפוצות ביותר, אשר שמשו גופים סיניים עוינים בתקיפותיהם האחרונות על ארגונים המחזיקים בקניין רוחני מעניין, מידע כלכלי, פוליטי וצבאי. עוד כולל המסמך המלצות לארגונים כיצד להימנע מן ההתקפות הללו וכיצד להתמודד עמן. מרשימת החולשות עולה כי מרביתן רלוונטיות למוצרי VPN ולמוצרי תקשורת אחרים המהוויים נקודות כניסה לרשת הארגונית. בכך הפכו המכשירים הללו ליעד התקיפה העיקרי של גורמים עוינים בעת האחרונה.
אנו ממליצים לבצע עדכוני תוכנה שוטפים בארגונכם, ובפרט בכל הנוגע למוצרי תקשורת ו-VPN.

 

השבוע בכופרה

קבוצת הכופר Ryuk מנצלת את חולשת Zerologon לצורך ביצוע מתקפות ״בזק״

ניצול החולשה הקריטית CVE-2020-1472 מאפשר לקבוצת התקיפה להטמיע מתקפת כופר בדומיין תוך פחות מ-5 שעות.

קבוצת התקיפה הפיננסית FIN11 ביצעה הסבה למתקפות כופר
הקבוצה, שזוהתה עוד ב-2016 ופעלה בעיקר באמצעות קמפייני פישינג נרחבים שכוונו נגד חברות פיננסיות, ביצעה ״הסבה״ למתקפות כופרה הכוללות, בין היתר, שימוש בכופרת Clop.

הכופרות הנפוצות ביותר לרבעון השלישי של שנת 2020; כופרת STOP שולטת

ניתוח הכופרות הרבעוני שפורסם על ידי חברת EMSISOFT מציג מספר נתונים מעניינים, בהם: (1) כופרת STOP מהווה כ-70% מכלל התקיפות, ואחריה Phobos ו-Dharma עם נתח של כ-9% כל אחת. (2) המדינה אשר נפלה קורבן למספר הגדול ביותר של מתקפות כופר היא הודו, עם 28.6% מכלל התקיפות.

סייבר בישראל

מערך הסייבר מתריע מפני קמפיין גניבת זהות בפייסבוק
הקמפיין, המופץ באמצעות הצ׳אט של הפייסבוק, זוהה ב-15 באוקטובר בשעות הערב בעקבות עשרות דיווחים של משתמשי הפלטפורמה. במסגרת המתקפה מופצת הודעה המכילה, כביכול, קישור לסרטון YouTube שכותרתו "is that you?״. לחיצה על הקישור מובילה לעמוד זדוני הנראה כמו דף כניסה לפייסבוק, ומטרתו לגרום למשתמש להזין פרטי התחברות.
בהתאם להנחיות מערך הסייבר, אנו ממליצים שלא ללחוץ על הקישור. עוד מומלץ למחוק את ההודעה מהצ׳אט.

מקור: Cybernet

משטרת ישראל עצרה 16 חשודים בגניבת מאות אלפי שקלים בהונאת סייבר
המשטרה דיווחה על המעצרים ב-Thread בטוויטר, בציינה כי הם בוצעו בעקבות חקירה של מחלק הסייבר ביחידה המרכזית של מחוז חוף. על פי הדיווח, החשודים פרצו למכשירי סלולר רבים, השתלטו דרכם על חשבונות הבנק של הקורבנות וגנבו מהם מאות אלפי שקלים. להסתרת הגניבה ניצלו התוקפים את הסגר, שכן שבמהלכו התקשו הקורבנות לעקוב אחר הוצאות חריגות. נכון לרגע זה לא ברור באילו פעולות נקטו החשודים לשם ההשתלטות על המכשירים הסלולריים.

מה למד משרד האנרגיה ממתקפת הסייבר האיראנית על מתקני המים?

בכתבתו של עמיר רפפורט מספרים תמיר שניידרמן, ראש מערך החירום, ביטחון המידע והסייבר במשרד האנרגיה, וליאור עטר, ראש יחידת הסייבר המגזרית של מערך החירום, ביטחון המידע והסייבר, מה למדו ממתקפת הסייבר שבוצעה על מתקני המים בישראל ב-24-25 באפריל 2020.
תמיר שניידרמן: "האירוע הזה הכניס אותנו לעולמות חדשים, תוך מחשבה על עולם האנרגיה גם בשנים 2030 ואפילו 2050, כאשר יהיו מתקני חשמל סולאריים בכל בית ורפת בישראל ונצטרך להגן עליהם. חשוב להבין, שאנחנו לא יודעים הכול. אין הגנה הרמטית, אבל ניצלנו את המומנטום להדק את החגורה, לשפר את המודעות של חברות וארגונים, שכן משק האנרגיה הוא אחד הכי מאוימים בסייבר." 
ליאור עטר הוסיף כי "היכולות של התקיפות לא היו מאוד גבוהות, אבל הן חשפו אזורים שלא היו 'מכוסים', לא תחת רגולציה ולא במודעות של הארגונים. אנחנו מבינים שיש במגזר האנרגיה מתקנים, שהם כמו המים, כלומר גם אם הפגיעה בכל אחת מהן לא תהיה חמורה – הנזק התודעתי כתוצאה מהשבתתם בהחלט יכול להיות חמור, ואנחנו לא רוצים לאפשר זאת. לכן, בחודשים האחרונים מצאנו את עצמנו מתרוצצים בין עשרות חברות חשמל, גז ודלק, קטנות כגדולות, הפעלנו קמפיינים של הסברה, ואנחנו עושים הכול כדי להעלות את רמת האבטחה."

סייבר בעולם

מה קרה בנמל בנדר עבאס?
בתחילת אוקטובר דיווח העיתון Times of Israel כי על פי מקורות לא מאומתים התרחשה מתקפת סייבר רחבת היקף כנגד תשתיות איראניות, בהן נמלים ומערכות בנקאות. בכירים איראניים התראיינו לסוכנות הידיעות הפרסית IRNA, בטוענם כי התקיפה הנוכחית לא הסבה נזקים, וכי איראן התמודדה עם תקיפות גדולות יותר בעבר. ממחקר שערכנו על האופן בו סוקר האירוע בעיתונות הפרסית, עולה כי למרות טענת הממשל האיראני על היעדר נזקים - על סמך אירועי עבר, ובכלל זה ההתקפה על הכור בנתנז, ניתן להסיק כי הכחשת הנזקים הינה מדיניותה הקבועה של הממשלה.

להלן תמצית הדיווחים האיראנים בנושא:
הדיווח הראשון הגיע מסוכנות הידיעות Tasnim News, ובו מדובר על מתקפה כנגד ארגון הנמלים והימאות האיראני. בדיווח זה נטען כי לא הייתה פגיעה בנמלים, ואולם בסוף הכתבה מצוין כי באותה שעה מסופקת לארגון תמיכה אונליין בכדי שלא לפגוע בתהליך פריקת וטעינת המכולות לספינות. דבר זה סותר את טענת היעדר הנזקים.
בדיווח ל-BBC בפרסית טען גורם מהמרכז לטיפול באירועי סייבר של איראן, כי למרות הנאמר במקורות זרים, אין סימנים למתקפה רחבת היקף על תשתיות ממשלתיות באיראן. מעניין לציין כי בשום אתר או חשבון מדיה חברתית של גורמי ממשל, כגון משרד הנשיא, משרד החוץ או הממשלה האיראנית, לא מופיע כל אזכור למתקפה.
בסיקור שביצעה סוכנות הידיעות Asriran לראיון שהעניק לתקשורת מפקד משמרות ההגנה, ע'אלם רצ'א ג'לאלי, מופיעה טענתו של המרואיין הבכיר כי כי לא התרחשה כל פגיעה בתשתיות, אלא רק ב״דברים היקפיים״ (במילותיו שלו). עוד עלה מהסיקור כי בניגוד לדיווחים של גורמי חוץ איראניים, ג׳לאלי לא קשר את ישראל או ארה״ב למתקפה.
לסיכום, בדיוק כפי שהתרחש באירוע הפגיעה בכור האיראני, נראה שגם ביחס לאירוע זה בוחר הממשל לנקוט בגישה מצנזרת, באופן שאינו מאפשר להעריך את שאירע בהתבסס על הנתונים המשוחררים לתקשורת.

 

גוגל מפרסמת מאמר על התמודדות עם איומים מתפתחים
המאמר, שפורסם על ידי קבוצת מחקר האיומים של החברה (TAG), מתמקד בהתמודדות עם איומים אלה בתקןפת הקורונה והבחירות לנשיאות בארה״ב. על פי הפרסום, TAG זיהתה ניסיונות תקיפה רבים כנגד גורמים בקמפיינים המעורבים בבחירות, כמו גם שימוש רב בשירותים לגיטימיים לצורך הסתרת פעילותם של מערכי תקיפה מתקדמים. נכון להיום, TAG לא זיהתה תקיפות שצלחו, אך היא מדגישה כי קיים קושי במעקב אחר איומים מסוג זה. זאת ועוד, קבוצת המחקר פרסמה כי היא חותרת להסרת מפלטפורמות גוגל השונות חשבונות המקושרים להפצת מיסאינפורמציה. המסקנה המרכזית העולה מן המאמר היא כי התמודדות עם APTs (איומים ממוקדים ומתמשכים) הופכת למורכבת יותר ויותר, וכי קבוצות התקיפה הופכות יותר ויותר נועזות בפעולותיהן.

Symantec מפרסמת מחקר על כלי חדש המצוי בידי MuddyWater
מערך התקיפה האיראני חוזר אל מרכז מחקר סייבר: בבלוג האבטחה של צוות המחקר Symantec Threat Hunting פורסם במהלך השבוע כי MuddyWater הפגינה ב-2020 פעילות אינטנסיבית, וכי מדגימות ״טריות״ שנלקחו מיעדים חדשים של הקבוצה עולה האפשרות שהיא מחדשת את מלאי כלי התקיפה שלה. באופן פרטני, הדגימות מצביעות על שימוש בכלי תקיפה חדש בשם PowGoop, המהווה Downloader, או ״ראש גשר״, להורדה בְּצוּרָה ושקטה של כלי התקיפה המרכזי. PowGoop נקשר בעיקר לכופרה Thanos, אשר בשבוע שעבר עלתה לכותרות בעקבות שימוש שעשתה בה MuddyWater כנגד חברות ישראליות, ללא אפשרות לשחרור הקבצים המוצפנים. עם זאת, הקשר בין הכלי לכופרה עודנו חלש, ומתבסס על כך שבמספר עמדות שבהן זוהתה פעילות מאומתת של הקבוצה האיראנית הופיע גם קובץ PowGoop. רק עם המשך פעילותה של MuddyWater יתברר אם מדובר בשינוי דרך פעולה, או במקרה חריג בלבד. 

סייבר ופרטיות - רגולציה ותקינה

כתב אישום מוגש נגד 6 תושבי רוסיה, קציני GRU, בגין פריצות ענק - בהן NotPetya

כתב האישום הוגש ב-19 באוקטובר במדינת פנסילבניה נגד ששה תושבים רוסים, כולם קצינים ביחידה 74455 של סוכנות הביון של צבא רוסיה (GRU). כתב האישום, ארה"ב נ. אנדריאנקו וכו', מייחס לנאשמים ביצוע פשעים מקוונים מאז 2015, אשר גרמו לנזקים פיננסיים בסך מיליארד דולר לפחות. נוסף על כך, הנאשמים חשודים, בין היתר, בביצוע הפריצה המכונה NotPetya, שאירעה ביוני 2017, בהתערבות בבחירות בצרפת באותה שנה, בפריצות סייבר שאירעו באולימפיאדת החורף ב-2018 ובפריצות שפגעו ברשת החשמל האוקראינית ב-2015 וב-2016. גיבוש כתב האישום ארך כשנתיים, והתבסס על שיתוף פעולה של גורמי ממשל בארה"ב עם ניו זילנד, אוקראינה, קוריאה הדרומית, גיאורגיה ובריטניה, ועם החברות גוגל, Cisco, פייסבוק וטוויטר.

 

היורופול השלים מבצע נגד תשתית שהלבינה עשרות מיליוני יורו עבור גורמי פשיעת סייבר ברחבי העולם

כך הודיע הארגון, לאחר שחשף במבצע תקדימי ומוצלח רשת פשיעה מקוונת המכונה QQAAZZ, אשר החל מ-2016 עסקה בהלבנת הון. במהלך פעילותם פתחו ​חברי QQAAZZ מאות חשבונות בנק, בעיקר במדינות אירופאיות, לשם קליטת כספים שהושגו באמצעות פשיעת סייבר עולמית. על מנת להקשות על איתור מקורם, הומרו הכספים למטבעות קריפטוגרפיים. מטה פשיעת הסייבר של היורופול, ה-EC3, שימש כרכז המבצע, בו השתתפו 15 מדינות אירופיות וארה"ב. במהלך המבצע נערכו בו-זמנית חיפושים בכ-40 נכסי מידע הממוקמים בחמש מדינות שונות, נעצרו עד 20 חשודים בפעילות בלתי-חוקית במסגרת QQAAZZ והוחרם ציוד ששימש לכריית מטבעות ביטקוין. קבוצת QQAAZZ פרסמה את שירותיה בעיקר בפורומים מקוונים של האקרים רוסיים. בין הגורמים שהשתמשו בשירותים מצויים האקרים בינלאומיים מפורסמים, אשר היו אחראים למתקפות סייבר ידועות, בהן Dridex, TrickBot ועוד.

קנס תקדימי בסך 20 מיליון ליש״ט הוטל על British Airways בעקבות פריצה למידע אישי

הקנס שהוטל על חב' British Airways - הגבוה ביותר שהוטל עד כה על ידי רגולטור הגנת המידע האישי בבריטניה (ICO - Information Commissioner's Office) - נזקף לחובת החברה בעקבות פריצה שהתרחשה ב-2018, בה נחשפו נתונים אישיים ופיננסיים של יותר מ-400,000 מלקוחותיה. בשל המצב הירוד של הגנת הסייבר והמידע האישי בארגון, הפריצה התגלתה רק כעבור חודשיים מרגע שאירעה. בחישוב גובה הקנס שקלל הרגולטור את מצבה הכלכלי הקשה של חברת התעופה בעקבות מגפת הקורונה, ועל כן הפחית משמעותית מן הסכום המקורי שהתכוון לגזור עליה, אשר עמד על 183 מיליון ליש״ט.

חששות ה-G7 ממתקפות כופרה: הצהרת הארגון בנוגע לסכנות המרחפות מעל המערכת הפיננסית הגלובלית

ב-13 באוקטובר פרסמו שרי הכלכלה של מדינות ה-G7 ונציבי בנקים מרכזיים במדינות אלה הצהרה בנושא תשלומים דיגיטליים, המלווה בנספח המכונה "נספח כופרה". שני הפרסומים מגיעים על רקע האיומים המתגברים על הסקטור הפיננסי העולמי, המשמש מטרה אטרקטיבית למתקפות כופרה, כמו גם על רקע דיווחיהם של מוסדות פיננסיים על עליה בתחכום המאפיין את המתקפות בחודשים האחרונים. הנספח עוסק באופן פרטני באיומים על גופים פיננסיים בכל רחבי העולם כתוצאה מהשימוש במתקפות כופרה. במתקפות אלה גלומות הן סכנה כלכלית והן סכנה לתפקודם התקין של המגזרים המותקפים, ונוסף על כך הן עלולות לשמש מקור למימון פעולות טרור. הצלחתן של מתקפות כופר מתמרצת פושעי סייבר להמשיך בביצוען ולהתמקד ביעדים הרווחיים ביותר, הלוא הם מוסדות פיננסיים. ב״נספח הכופרה״ קוראות מדינות ה-G7 לאימוץ הסטנדרטים שנקבעו על ידי ה-Financial Action Task Force לצמצום חשיפות במגזר הפיננסי. הנספח אף מפנה את הקוראים לכלים שבהם יכולות חברות להיעזר לשם התגוננות מפני מתקפות כופרה.

הרשות להלבנת הון מפרסמת מדריך המתמקד בסיכונים בתקופת הקורונה

ב-19 באוקטובר פרסמה הרשות לאיסור הלבנת הון ומימון טרור בישראל מדריך ל"מגמות בסיכוני הלבנת הון בעידן הקורונה ודרכי התמודדות אפשרויות״, המיועד לשימושם של ארגונים ישראליים בסקטור הפיננסי ושל גופים מפוקחים נוספים. מטרת המדריך היא לסייע בזיהוי חשיפות וסיכונים, ולהדגיש את החשיבות במעקב אחר פעילות חריגה ואסורה. עוד מבהיר המדריך את ציפיות הרגולטור לדיווחים אודות פעילות חריגה, בדגש מיוחד על דרכי התנהלות מומלצות בעידן הקורונה. במדריך מופיעה סקירה של מגמות שיש בהן משום תרומה להלבנת הון, המסתמנות בשעה זו בישראל ובעולם, בהן הונאות רפואיות, פישינג  וגניבת זהויות.

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: שרון פישר, אלי שמי, רוני עזורי, עמית מוזס, רז ראש, רם דודש, רונה פרומצ'נקו, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי וגיא פינקלשטיין.