עדכון שבועי 23.03.2023

 שימוע בנושא סיכוני סייבר במגזר הבריאות בארה״ב: דיון בנושא עלייה בכמות המתקפות וקידום חוק הסייבר בתשתיות הקריטיות

תקציר: ביום חמישי האחרון (ה-16 במרץ) העידו נציגים בכירים מטעם מערכת הבריאות האמריקנית בפני הוועדה לביטחון פנים ולענייני ממשל של הסנאט על סיכוני סייבר במגזר הבריאות במקרה של מתקפות כופרה. הדיון, שנערך בהובלת הסנטור גרי פיטרס, ראש ועדת הסנאט לביטחון פנים ועניינים ממשלתיים, נערך על רקע עלייה חדה במתקפות הסייבר על מערכת הבריאות, והעובדה שהיא מהווה יעד מבוקש ביותר להתקפות סייבר. לאורך הדיון המחוקקים דיברו על צעדים אפשריים שהקונגרס צריך לקדם כדי לשפר את אבטחת הסייבר של תעשיית הבריאות. כמו כן, לאורך הוועדה הודגשה חומרת האיום, הוצגו נתונים על מתקפות סייבר במערכת הבריאות לאורך השנה האחרונה ותואר בפירוט כיצד הן משפיעות על הטיפול בחולים ומסכנות מידע רפואי רגיש. בנוסף דנו באיום גבוה יותר של בתי חולים שנמצאים באזורים כפריים למתקפות כופרה פוטנציאליות בשל דלות משאבים והשקעה בסייבר.  

בפתיחת הדיון, סנאטור גרי פיטרס תיאר את חשיבות תעשיית הבריאות האמריקנית, שמונה 18 מיליון עובדים, ואת העובדה שהיא פגיעה יותר לתקיפות סייבר בשל הפוטנציאל הטכנולוגי הגבוה והרגישות הגבוהה של המידע המצוי במערכות. ההשלכות של מתקפת סייבר על בתי חולים, לטענת הסנטור, ״עלולות לגרום לשיבושים חמורים בפעילותם ולמנוע מהם לספק ביעילות טיפול קריטי ומציל חיים למטופליהם״. זאת בנוסף ל״איום על המידע האישי המטופלים והפרת הפרטיות שלהם״. בפתיחת הדיון הסנאטור הציג מתקפות סייבר מרכזיות שקרו לאחרונה בבתי חולים ברחבי ארה׳׳ב: השבתת בית חולים בפלורידה בשבוע שעבר, פטירה של פג בשל היעדר גישה למוניטורים בבית חולים באלבמה ועוד. לאחר מכן הוא תיאר את החשיבות של יישום חוק ׳דיווח תקריות סייבר לתשתיות קריטיות׳ שהוא יזם בתמיכה דו-מפלגתית. בבסיס החקיקה עומדת חובת דיווח על מתקפות כופרה מצדן של תשתיות קריטיות, כגון תעשיית הבריאות, ל-CISA (הסוכנות האמריקנית להגנת תשתיות וסייבר). לטענת הסנטור החוק חיוני בשל העובדה שהוא ״יאפשר למדינה פיקוח טוב יותר על התנהלות התשתיות הקריטיות במרחב הסייבר, יחזק את השקיפות ואת הנגשת המידע על איומי סייבר ויאפשר ל-CISA לסכל מתקפות סייבר אפשריות״. פיטרס הדגיש כיצד החוק שהוא יזם ״יבטיח שלממשלה הפדרלית יהיו את הכלים והמשאבים הדרושים כדי לעזור להפחית את ההשפעה של המתקפות אלו ולטפל בחולשות ברשת בצורה טובה יותר״. 

העדים בדיון הם בכירים בתעשיית הסייבר שתיארו, כל אחד מנקודת מבטו, את ההכרח ברגולציה ובמדיניות הגנת סייבר פדרלית, לרבות חקיקה, לצורך הפחתת מתקפות הסייבר על תעשיית הבריאות ויתר התשתיות הקריטיות. העדים ציינו שהחוק של סנטור פיטרס יעודד שקיפות והנגשה של הידע על איומי סייבר, נוסף על שיתוף פעולה של סוכנויות המודיעין השונות. שיתוף פעולה מסוג זה יהיה תחת האחריות של שלושה גופים: CISA (כמוביל לאומי ומוקד ידע טכני שמסייע למגזר הבריאות), HSCC (בתור הנציג של מגזר הבריאות) והתעשייה (בתור אחראים אופרטיביים). הממשלה, לטענתם של העדים, צריכה לעודד את התעשייה על ידי הענקת תמריצים, מתן גישה לטכנולוגיה להגנה מאיומים מתקדמים במחיר סביר ורפורמה בחקיקה כדי להתגונן מפני איומים בצורה הטובה ביותר, מבלי להעניש את קורבנות המתקפות. אחד העדים, Stirling Martin, המשיל את הצורך של התעשייה במטריית הגנת סייבר מצד הממשל בדומה להגנה על אזרחים מפני אסונות טבע: "התעשייה זקוקה לקבוצה אחת של נוהלי אבטחה מחייבים, בין אם מוגדרים על ידי סוכנויות פדרליות כמו NIST או CISA, חברות מובילות כמו HITRUST, או שיתופי פעולה כמו HSCC". מרטין ציין כי "זה יעלה את רמת האבטחה הכוללת של ארגוני שירותי בריאות על ידי עידוד שלהם לעמוד בנוהלי אבטחה מקובלים. לבסוף, בתגובה לאירועי סייבר, נחוצה תגובה דומה לאופן שבו FEMA מגיבה לאסון טבע, כאשר תמיכה מצד הממשלה יכולה לעזור לארגוני בריאות להתגבר על כל מתקפת סייבר". העדים ציינו לטובה את פרסום ׳המדריך ליישום מסגרת הגנת סייבר במגזר שירותי הבריאות ובריאות הציבור׳ שנכתב על ידי מועצת התיאום של מגזר הבריאות (HSCC) ומשרד הבריאות והשירותים האמריקני (HHS) בסיוע של מומחים מתעשיית הגנת הסייבר. הפרסום המשותף לתעשייה-ממשלה שואף לסייע לספקי בריאות וחברות ליישם את NIST CSF, מה שיאפשר לארגוני בריאות להעריך את נוהלי אבטחת הסייבר והסיכונים הנוכחיים שלהם, ולזהות פערים לתיקון.

​

​

​

​

​

​

​

​

​

​

​

​

​

​

העדה Kate Pierce סקרה בפני משתתפי הוועדה את איומי הסייבר המובילים עבור שירותי הבריאות בשנת 2022: פישינג, תוכנות כופר, פרצות נתונים והתקפות DDoS. "בעוד שהאיומים הללו היו נפוצים בכל רחבי התשתיות הקריטיות, בשנת 2022 המשיכה שירותי הבריאות להיות המגזר המוביל, עם 148 מתוך 649 התקפות הסייבר על תשתיות קריטיות ממוקדות לארגוני בריאות". בעדותה הוסיפה על איום ייחוס וחשיפה גבוהה יותר למתקפות סייבר בקרב בתי חולים קטנים ודלי משאבים שנמצאים לרוב באזורים כפריים. לטענתה, הקשיים של אותם מוסדות כוללים ״מגבלות תקציב, משאבים דלים ליישום הגנת סייבר והעסקת אנשי אבטחת מידע, קושי בגיוס כוח אדם מקצועי וחוב טכני (לפי ויקיפדיה, ׳חוב טכני׳ הוא ״עיקרון בפיתוח תוכנה, שמשקף את העלות המרומזת של תוספת עבודה. העלות הזו נוצרת כאשר בוחרים בפתרון קל ומיידי במקום בגישה טובה יותר שתדרוש זמן רב יותר״). 

סנאטור ג'קי רוזן הוסיפה נתונים בנושא מתקפות סייבר כשדיברה בדיון אמרה ש״מערכת הבריאות היא אחת מ-16 תשתיות קריטיות ואבטחת המידע שלהן הכרחית להבטחת הביטחון הלאומי של ארה״ב. ב-3 השנים האחרונות הוכפלה כמות פרצות נתונים במערכת הבריאות (Data Breaches) וחולשות אבטחה מופיעות חדשות לבקרים. לכן, נחוץ שיתוף פעולה בין הרשויות והמשך קידום החקיקה שתעודד ותייצר תמריצים להגנת סייבר במערכת הבריאות״.

רשימת העדים בדיון:

• Scott Dresen, senior vice president for information security and chief information security officer at Corewell Health. 

• Kate Pierce, senior virtual information security officer at Fortified Health Security.

• Greg Garcia, executive director for cyber security at the Healthcare and Public Health Sector Coordinating Council

• Stirling Martin, senior vice president and chief privacy and security officer at Epic Systems.

:קיצורים 

• Health Sector Coordinating Council (HSCC)

• U.S. Department of Health and Human Services (HHS)

• National Institute for Standards and Technology (NIST)

• Cybersecurity and Infrastructure Security Agency (CISA)

• Federal Emergency Management Agency (FEMA)

​

התגלתה פריצת אבטחה מידע שמשפיעה על מעריצי ה- NBA 

ה-NBA, ארגון ספורט ומדיה עולמי המנהל חמש ליגות ספורט מקצועיות, כולל ה-NBA, WNBA, ליגת הכדורסל אפריקה, ליגת ה-NBA G וליגת ה-NBA 2K, ארגון ה NBA הודיע במייל ללקוחותיו כי: ״לאחרונה נודע לנו שצד שלישי לא מורשה השיג גישה לשמך וכתובת הדוא"ל שלך והשיג עותק של מידע זה, שהוחזקו על ידי ספק שירות צד שלישי שעוזר לנו לתקשר באמצעות דואר אלקטרוני עם מעריצים ששיתפו איתנו מידע זה״. בנוסף, צוין כי המערכות שלהם לא נפרצו והזהירו ממתקפות פישיניג המתחזות ל NBA. על פי Bleeping Computer ה-NBA עובדת עם ספק השירותים של הצד השלישי כחלק מחקירה מתמשכת ושכרה את שירותיהם של מומחי אבטחת סייבר חיצוניים כדי לנתח את היקף ההשפעה.

דובר  NBA מסר ל- Bleeping Computer  כי  ״צד שלישי לא מורשה השיג גישה למערכות ה IT של ספק שירותי NBA לתקשורת סלולרית ואימייל וכתוצאה מכך , נלכדו עותקים של שמות וכתובות דוא“ל של כמה אוהדי NBA. אין כל השפעה על מערכות ה-NBA או על הנכסים המוחזקים בצורה מאובטחת ב-NBA. הליגה נקטה מיד בפעולה כדי להכיל את הנושא, לזהות את אלו שנפגעו וחישוב הצעדים הבאים״.

​

חברת Microsoft משתפת סקריפט הנותן מענה לפגם המאפשר עקיפה של מנגנון האבטחה של BitLocker ב-Windows Recovery Environment 

חברת Microsoft מקלה על משתמשיה לאבטח Images של WinRE נגד נסיונות לניצול חולשת CVE-2022-41099, CVSS: 4.6, המאפשרת לעקוף את מנגנון האבטחה של BitLocker אשר ניצול מוצלח של החולשה מאפשר לגורמים זדוניים בעלי גישה פיזית למכשירים פגיעים לגשת למידע מוצפן על ידי שימוש בטכניקה לא מורכבת. הסקריפט כתוב בשפת PowerShell הפופולארית של Microsoft וכל מה שנדרש מן המשתמש הוא להריצו עם הרשאות Administrator לאחר מכן הסקריפט יבצע מספר פעולות אשר יאבטחו את תמונת ה-WinRE הנוכחית. בנוסף Microsoft משתפים כי לא ניתן לנצל את החולשה עם מבוצע שימוש ב-TPM + PIN Number. את הסקריפט יש להתאים לגרסה של מערכת ההפעלה בה משתמשים ולארכיטקטורת המעבד. את הרסאות השונות ניתן למצוא כאן. צוות קונפידס ממליץ למשתמשים להוריד את הגרסה התואמת למכשירכם ולעדכנו.

​

הנוזקה Emotet חוזרת לאחר הפסקה ומופצת באמצעות OneNote

Emotet הינה נוזקה טרויאנית שהתגלתה לראשונה ב 2014 ואשר ידועה בשיטת הפצתה באמצעות צרופות במיילי פישינג. לאחר כשלושה חודשים של הפוגה, Emotet חוזרת כאשר השינוי העיקרי בגרסה זו הינה בסוג הצרופה המשמשת לכניסה ראשונית לקורבן. הצרופה מסוג  Microsoft OneNote מכילה מאקרו זדוני אשר נשלח מהבוטנט Epoch 4. בגרסה החדשה הזו של Emotet, מוצגת למשתמש הודעה מזוייפת המדמה הודעה מתוך ה OneNote שאומרת שהמסמך מוגן, ומבקשת מהמשתמש ללחוץ פעמיים על כפתור ה ״הצג״ על מנת להציג את תוכן המסמך. ע״י לחיצה על הכפתור, מופעל סקריפט זדוני אשר בהמשך מאחזר את המטען הבינארי של הנוזקה Emotet מאתר מרוחק, והוא נשמר כקובץ DLL שמורץ באמצעות regsvr32.exe (תהליך לגיטימי של Windows).
לאחר ההתקנה, הנוזקה מתקשרת עם שרת C2 מרוחק על מנת לקבל פקודות נוספות.
אנו בקונפידס ממליצים לגלות עירנות לצרופות אשר נשלחות באמצעות מיילים וברשתות החברתיות, וכמו כן לא לפתוח צרופות המתקבלות מגורמים לא מוכרים ובמיוחד קבצי Office.

​

מעל ל 1.6 מיליון דולר בקריפטו נגנבו מכספומטים של היצרנית General Bytes

יצרנית כספומטי הקריפטו General Bytes הודיעה כי תוקף לא ידוע הצליח לגנוב מטבעות קריפטו באמצעות ניצול חולשת zero-day בתוכנה של הכספומטים. על פי הודעת החברה התוקף הצליח להעלות אפליקציית ג׳אווה (Java) זדונית מרחוק תוך שימוש בממשק המשמש להעלה של סירטונים והפעלה שלהם במכשירים, בנוסף השרת אליו הועלה הקובץ הזדוני הוגדר להפעיל כול אפליקצייה שנמצאת בתיקיית ״deployment״ בשרת, באמצעות זה  הצליח התוקף לגשת למאגר המידע של החברה, לקרוא ולפענח מפתחות API המשמשים לגישה לכספים ובנוסף לשלוח כספים מארנקים, להוריד שמות משתמש וסיסמאות, לכבות אימות דו שלבי ולגשת ללוגים של פעולות טרמינל (terminal). כחלק מפעולות מיטיגציה שהחברה הוציאה בהודעה ללקוחות החברה, הם מתבקשים לשמור את שרתי אפליקציית הקריפטו שלהם (crypto application servers (CASs)) מאחורי הגנה של Firewall ו VPN וגם לבצע החלפת סיסמאות ומפתחות API. חברת General Bytes  ביצעה תיקון לחולשה והדגישה כי הם מבצעים בדיקות אבטחה משנת 2021 ואף בדיקה חולשה זו לא נמצאה. תקיפה זו הינה התקיפה השנייה על החברה כאשר התקיפה הראשונה התרחשה באוגוסט 2022 תוך ניצול חולשת zero-day אחרת בשרתי הכספומטים של החברה.

​

קבוצת תקיפה חדשה ״Bad Magic" נצפתה בין הקונפליקט של רוסיה-אוקראינה

תחת המלחמה המתמשכת בין רוסיה לאוקראינה, מוסדות ממשלתיים וארגוני תחבורה הממוקמים בדונטסק לוגאנסק וקרימרה הותקפו כחלק מקמפיין העושה שימוש במערכת תקיפה שלא נראה כמותה בעבר אשר נקראה על ידי חוקרי אבטחת מידע ״CommonMagic". חברת Kaspersky מפרסמת דו״ח חדש המפרט את פעילות הקבוצה אשר עומדת מאחורי המתקפות האלו, לה ניתן השם Bad Magic. פעילות הקבוצה זוהתה לראשונה באוקטובר 2022 ושרשרת ההתקפה של הקבוצה עושה שימוש במלכודות מתוחכמות שנועדו להעביר קורבנות אל לינקים זדוניים המחזיקים קובצי ZIP של התוקפים. קובצי ה-ZIP מכילים בתוכם מסמך הטעיה וקובץ LNK זדוני שמתחיל את שרשרת הפעולות הזדונית שמטרתה להתקין Backdoor במערכת של הקורבן בשם "PowerMagic". הדלת האחורית הכתוב בשפת PowerShell הפופולארית של Microsoft יוצרת חיבור עם שרת מרוחק ומריצה קוד שרירותי על העמדה ואת כל המידע שנאסף מעבירה אל שירותים כמו Dropbox ו-OneDrive. ״PowerMagic" משמש גם לפריסת מערכת התקיפה "CommonMagic" אשר מורכבת ממספר קבצים בינאריים שמטרתם לבצע מספר פעולות מורכבות תוך כדי התקשרות עם שרת ה-C2 של התוקפים. יש לציין שכל התעבורה בין שרת ה-C2 אל העמדה הנתקפת מוצפנת על מנת להימנע מזיהוי של פעולות התוקפים על ידי מערכות הגנה. כמו כן, המערכת עושה שימוש בתוספים ״Plugins", שניים מהם מבצעים צילום מסך כל שלוש שניות ואף אסיפת קבצים בעלי עניין מרכיבי USB המחוברים לעמדה הנתקפת. חברת Kaspersky לא מצאה עדויות לכך שהכלים או פעילות הקבוצה קשורה לכל קבוצת תקיפה או גורם זדוני כזה או אחר. הדגימה הראשונה של קבצי ה-ZIP שמונגשים לקורבנות זוהתה בספטמבר 2021 מה שמעיד על כך שקמפיין התקיפה הזה רץ ככל הנראה מתחת לראדאר במשך כשנה וחצי נכון לעכשיו. לפרטים נוספים ופירוט של פעולות הנוזקות וקבוצת התקיפה יש לגשת לדו״ח המלא של Kaspersky כאן.

BreachForums נסגר על ידי מנהל האתר

בהודעה שפורסמה על ידי Baphomet המנהל הנוכחי של BreachForums ב 21 לחודש נמסר על ידו  כי הפורום נסגר עם דגש על כך שזה לא הסוף, בנוסף בהודעה שפירסם נאמר על ידי Baphomet כי מה שעתיד לבוא יהיה טוב יותר לכולם. BreachForums הינו אתר פורום פופלרי בקרב האקרים שפועל ב dark-web ונראה שהורדת האתר נעשתה בעקבות חשד שרשויות אכיפת חוק הצליחו להשיג גישה להגדרות האתר, קוד המקור שלו ומידע על משתמשים זאת ככול הנראה בעקבות מעצר של Conor Brian Fitzpatrick  שפועל כאדמין של האתר. במהלך החודשים האחרונים הפופלריות של האתר עלתה בעקבות הסגירה של RaidForums בשנה שעברה דבר שגרם ל BreachForums להיות יעד פופולרי למכירה וקנייה של מידע גנוב ממגון חברות ואירגונים. עם הסגירה של BreachForums האקרים ככול הנראה יעבירו את פעולות הקנייה והמכירה לפורומים מחתרתיים או יבצעו שימוש בטלגרם שממשיכה להיות פלטפורמה פופולרית בשימוש של האקרים וקבוצות תקיפה.