עדכון שבועי 24.03.2022

עדכון אבטחה נותן מענה לחולשה קריטית בקונטיינרים של CRI-O

החולשה (CVE-2022-0811), שהתגלתה על ידי חוקרים מחברת CrowdStrike, עלולה לאפשר לתוקף בעל גישה ליצירת Pod בסביבת Kubernetes המשתמשת ב-CRI-O לפגוע בפרמטר הליבה kernel.core_pattern, על מנת לקבל גישה לרכיבים נוספים באותו ה-Cluster ולהריץ קוד עם הרשאות גבוהות על כל Node המצוי באותו ה-Cluster.

צוות קונפידס ממליץ למשתמשי המוצרים הרלוונטיים לעדכנם לגרסאותיהם האחרונות, או לפעול על פי המדריך שפרסמה החברה למעקף של החולשה, המצוי כאן.

​

עדכוני אבטחה למוצרי Adobe נותנים מענה לעשרות חולשות, בהן קריטיות 

העדכונים רלוונטיים למוצרים Acrobat ו-Reader במערכות ההפעלה OS X ו-Windows, וסוגרים חולשות רבות מסוג Use After Free, הנובעות מניהול שגוי של הקצאת הזיכרון במערכת. חולשות אלה עלולות לאפשר לתוקף להריץ קוד מרחוק ובכך להשיג אחיזה בעמדה. זאת ועוד, העדכון נותן מענה לכמה חולשות מסוג Out-of-bounds Write, הנובעות אף הן מניהול שגוי זיכרון המערכת, ועלולות לאפשר לתוקף לכתוב מחוץ לאזור המוקצה לאפליקציה, מה שעשוי להוביל להשחתת מידע, לקריסת עמדת הקצה ולהשתלטות עליה באמצעות הרצת קוד מרחוק.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.

​

עדכון אבטחה נותן מענה לחולשה קריטית בתוכנת EdgeRover של  Western Digital

עדכון האבטחה רלוונטי לאפליקציה EdgeRover במערכות ההפעלה Windows ו-Mac, המשמשת לניהול קבצי מדיה על מחשבי הקצה של המשתמשים. החולשה (CVE-2022-22998, CVSS. 9.1) עלולה להוות פתח למתקפת Directory Traversal, המאפשרת גישה לתיקיות וקבצים שאינם אמורים להיות נגישים, ובכך עלולה לאפשר העלאת הרשאות ומתקפת מניעת שירות (DDoS).

צוות קונפידס ממליץ למשתמשי המוצר לשדרגו לגרסתו האחרונה.

​

עדכון אבטחה נותן מענה לחולשות ב-WordPress, בהן אחת ברמת חומרה גבוהה 

העדכון לגרסה 5.9.2 של המוצר מתקן 3 חולשות שנמצאו בגרסאות 5.9.0 ו-5.9.1, בהן אחת ברמת חומרה גבוהה ושתיים ברמת חומרה בינונית. החולשה החמורה מבין השלוש (CVSS 8.0) הינה מסוג Cross-site scripting ועלולה לאפשר לתוקף להעלות קוד זדוני ישירות לאתר WordPress, ובכך להשיג עליו שליטה. לשם ניצול חולשה זו, מספיק שיהיו בידי התוקף הרשאות ברמת Contributor. כל שאר גרסאות WordPress מ-3.7 ומעלה עודכנו אוטומטית.

צוות קונפידס ממליץ למשתמשי הפלטפורמה לבחון את העדכונים ולהטמיעם במערכותיהם בהקדם.

​

עדכון אבטחה ל-Drupal נותן מענה לחולשה בספריית Guzzle

בעקבות חולשה (CVE-2022-24775) שהשפיעה על גרסאות 1.8.3, 2.0.0 ו-2.1.0 של ספריית Guzzle, המנהלת בקשות HTTP, ב-21 במרץ פורסם עדכון לתוכנת בניית ותחזוקת האתרים Drupal, העושה שימוש בספרייה האמורה. העדכון רלוונטי לגרסאות 9.2 ו-9.3 של Drupal, כאשר חולשה במוצר פגיע עלולה לאפשר לתוקף להשתלט על אתר ה-Drupal. זאת ועוד, ב-23 במרץ חוקר האבטחה מילאד קראימי פרסם באתר Packet Storm כי איתר חולשה בגרסה 7x-1.0-beta8 של Drupal. חולשה זו מאפשרת לתוקף להשתיל קוד JavaScript בתוך Avatar ובכך לבצע מתקפה מסוג XSS . נכון לשעה זו לא התקבלה התייחסות רשמית של החברה לחולשה.

צוות קונפידס ממליץ למשתמשי Drupal ולמשתמשי Guzzle לעדכן את המוצרים לגרסאותיהם האחרונות.

​

עדכון אבטחה ל-OpenShift Container Platform נותן מענה לחולשה המאפשרת הרצת קוד

המוצר של חברת Red Hat, המספק תמיכה לאפליקציית Kubernetes המצויה בשימוש רחב בסביבות ענן, מעודכן כעת בשל חולשה (CVE-2022-0811) שמקורה ב-Kernel ומאפשרת הרצת קוד על עמדה פגיעה.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהתאם להנחיות היצרן. 

SolarWinds ללקוחותיה: הסירו שרתי Web Help Desk החשופים לאינטרנט

בהודעה מטעם החברה נמסר כי בעקבות פניה של לקוח שחווה ניסיון תקיפה על שרת ה- Web Help Desk 12.7.5 שברשותו נפתחה בנושא חקירה, שטרם עלה בידה לשחזר את השתלשלות המקרה. נכון לשעה זו, SolarWinds ממליצה לכלל הלקוחות שהטמיעו את השרת האמור לחסום אליו גישה אינטרנטית, עד לסיום החקירה. במקרים בהם לא ניתן לחסום את הגישה החיצונית לשרת, המלצת החברה היא לוודא כי מותקנת על שרת ה-WHD תוכנת EDR המנטרת וחוסמת פעילות זדונית. 

​

ערכת כלים חדשה מאפשרת ביצוע מתקפות פישינג

הערכה, שפורסמה באתר GitHub, נועדה לפישינג המתמקד ביצירת חלון הרשמה לאתר באמצעות חשבונות Google ,Facebook ופלטפורמות אחרות. במתקפה החדשה, שקיבלה את השם BitB) Browser in the Browser), התוקפים יוצרים חלון חיבור אמין למראה על ידי שימוש בתבניות מוכנות מראש. לצורך כך, פורסמה ערכה המאפשרת לפתוח חלון דפדפן נוסף בתוך החלון הקיים, בדומה לחיבור רגיל לאתר. היתרון הגלום בדבר הוא שבאמצעות ערכת הכלים התוקף יכול לזייף גם את כתובת ה-URL המופיעה בחלון, ובכך להפוך את בדיקת ה-URL של החלון ללא אמינה. למעשה, ערכת הכלים מנצלת את ״ריחוף״ העכבר מעל ל-URL ומשתמשת בהזנת קוד נוסף שמתעלם מה-URL המוצג ב״ריחוף״ ומפנה את המשתמש לאתרו של התוקף בעת לחיצה. כלומר, ה-URL המוצג בחלון עשוי להיות לגיטימי לחלוטין, אך בעת לחיצה עליו תתבצע הפניה לאתר אחר. הקורבן, שאינו מזהה את התרמית, עלול להזין את פרטי הכניסה שלו בחלון המזויף, ובכך להעבירם לידי גורמים זדוניים. מבדיקה שערך לערכה החדשה קובה גרצקי, יוצר כלי הפישינג Evilginx, עולה כי היא עובדת היטב עם המערכת שברשותו, ומכאן שיהיה ניתן להתאימה למעקף מנגנוני אימות דו-שלבי (2FA) במהלך מתקפות פישינג.

​

רשויות מקומיות בצרפת מותקפות על ידי פרצת דלת אחורית חדשה

רשויות בתחומי הבנייה והנדל״ן ובענפים אחרים מאוימות על ידי קמפיין מייל זדוני המכיל מסמך Word שמתחזה למסמך הכולל מידע בנוגע לרגולציה האירופית הכללית להגנה על מידע (GDPR). המתקפה החלה עת אחד הקורבנות פתח את מסמך ה-Word ואיפשר הפעלת מאקרו (הרצת קוד מתוך המסמך על מנת לבצע פעולות). הדבר הביא להרצת פקודה להורדת קובץ תמונה (ship3.jpg) שהכיל קוד, אשר בתורו הוריד, התקין ועדכן את התוכנה Chocolatey, המשמשת להורדה והתקנה של תוכנות, סקריפטים ועוד. בשלב הבא, הסקריפט השתמש ב-Chocolatey לשם התקנת Python, לרבות החבילה PySocks, מה שאיפשר לתוקף להעביר תעבורה דרך PySocks. לאחר מכן הסקריפט הוריד תמונה נוספת (jpg.7), שהכילה אף היא קוד חבוי ששמר קובץ סקריפט Python בשם ​​MicrosoftSecurityUpdate.py. קובץ זה משמש כ-Backdoor בידי התוקפים, ואף שומר את הקובץ MicrosoftSecurityUpdate.bat, המכיל סקריפט להפעלת הקובץ MicrosoftSecurityUpdate.py בסביבת ה-Python שהותקנה במחשב. לדברי חברת Proofpoint, האלמנטים שמייחדים את המתקפה ממתקפות פישינג אחרות הם השימוש ב-Chocolatey ככלי להעברת והתקנת Python במחשב כפעולות לגיטימיות, השימוש שנעשה לאחר מכן בכלי Python - שנראה כפעולה מאושרת, והשימוש בסטגנוגרפיה ל״החבאת״ קוד זדוני בתמונות ובפקודות Macro, דבר שאינו שכיח במתקפות פישינג. ייחוד נוסף של המתקפה הוא השימוש ב-schtasks.exe כאמצעי להפעלת קבצים במחשב, דבר אשר לדברי Proofpoint לא נצפה על ידה קודם לכן. בשלב זה טרם יוחסה הפעולה לקבוצת תקיפה מסוימת, וטרם התבררה מטרתה, אך הצלחת המתקפה מאפשרת לתוקף לבצע מספר רב של פעולות זדוניות, בהן גניבת מידע, שליטה על המחשב המותקף והתקנת תוכנות או קבצים נוספים.

צוות קונפידס ממליץ לבחון תמיד מיילים שמתקבלים בתיבת הדואר האלקטרוני ולהתייחס אליהם בחשדנות, במיוחד כשמדובר בהודעות עם קבצים מצורפים.

​

יצירת אמון על בסיס ״קשר אישי״ וגניבת כלל החסכונות: נוכלי הקריפטו ממשיכים לגבות קורבנות נוספים ברחבי העולם

Sha zhu pan הינו סגנון הונאת סייבר המתבסס על ״יצירת קשר אישי״ עם קורבנות דרך אפליקציות היכרויות כדוגמת Tinder ,Facebook Dating ואחרות, ושכנועם להתקין במכשירם אפליקציות מסחר שונות בתחומי המטבעות הקריפטוגרפיים, תוך הבטחת שווא לתשואות כספיות משמעותיות. לרוב, נוכלי הקריפטו שולחים לקורבנות קישור המעביר אותם לדף הורדה תמים למראה של האפליקציה מדוברת. בפועל, האפליקציות המותקנות הן תוכנות המאפשרות לתוקף להקפיא את הכספים המושקעים ולהוציא את הקורבנות משימוש באפליקציות.

​

​

​

​

​

​

​

​

​

 (מקור: 21.3.22 ,TheHackerNews.com)

​

קבוצת תקיפה דרום קוריאנית מטרגטת מלונות יוקרה בסין

הקמפיין אותר על ידי צוות מחקר האיומים של חברת Trellix, שהתבסס על מחקר מקדים שפירסמה Zscaler, בו יוחסו הפעולות לקבוצת ה-APT המכונה DarkHotel. שיטת התקיפה של הקבוצה התמקדה בדיוג חברי הנהלה בדרגים בכירים במטרה לקבל גישה לחשבון בעל הרשאות גבוהות, כאשר בדצמבר האחרון קיבלו 17 בתי מלון באזור מקאו מייל מזויף שהתחזה לכזה אשר נשלח מטעם משרד התיירות הממשלתי. המייל הכיל מסר מניפולטיבי שגרם לנמענים לפתוח קובץ Excel שצורף אליו, ואשר עם פתיחתו (ובתנאי שאושר שימוש במאקרו על ידי משתמש הקצה) הופעל קוד זדוני שבשלב הראשון אפשר איסוף נתונים רגישים מהמחשבים הנגועים, ובשלב מתקדם יותר התיר פתיחה של חיבור לשרת שליטה ובקרה מרחוק (C&C).

​

קבוצת התקיפה $LAPSU טוענת שפרצה לשירות Okta על מנת לפגוע בלקוחות החברה

הקבוצה, אשר עומדת מאחורי מספר תקיפות גדולות שבוצעו לאחרונה, בהן תקיפת משרד הבריאות הברזילאי, חברת NVIDIA וחברת Samsung (ראו ה״סייבר״ 16.12, ״הסייבר״ 3.3, ״הסייבר״ 10.3 ו-״הסייבר״ 17.3), הודיעה השבוע כי הצליחה לחדור למערכותיה של Okta, המספקת שירות גישה לאפליקציות ולשירותים שונים תוך הזדהות מול הפלטפורמה של Okta בלבד. 

התקיפה התבצעה באמצעות השתלטות על עמדת קצה של עובד תמיכה טכנית בחברה, אך לדברי $LAPSU מערכותיה של Okta אינן יעד התקיפה, אלא לקוחותיה. מכיוון שהשירות שמספקת Okta מוגדר כשירות קריטי בכל ארגון, החלה בהלה ברשת עם היוודע דבר הפריצה, כביכול, נוכח האפשרות שבוצעה חדירה לרשתותיהם של לקוחות החברה. בעדכון שפרסמה Okta לאחר חקירה ראשונית, דווח כי ממצאים פורנזיים מעידים על כניסה חשודה לחשבון מסוג Support Engineers בין התאריכים 16-21 בינואר, כאשר לגורם החודר היתה גישה ישירה למחשבו של העובד באותו פרק זמן. להערכת Okta, צילומי מסך פנימיים שפורסמו בקבוצת הטלגרם של $LAPSU נלקחו באותם תאריכים שצוינו בדוח הפורנזי. עוד הוסיפה החברה כי היקף ההרשאות שהיו בידי המשתמש ש״נפרץ״ לא כללו מחיקת והוספת משתמשים או הורדת מידע אודות לקוחות. 

לעדכונה של Okta הגיבה קבוצת התקיפה בפוסט בחשבון הטלגרם שלה, בו היא משתלחת בחברה ומנסה לפגוע בתדמיתה המקצועית בתחום אבטחת המידע. בתגובתה מציינת $LAPSU את סוג המחשב אליו השיגה גישה וטוענת כי אפשר לה גישה ללא פחות מ-8,600 ערוצים שונים בפלטפורמת ההתכתבויות Slack. ב״הטרלה״ נוספת טענה הקבוצה כי שמירת סיסמאות התחברות לסביבת AWS בתוך קבוצת Slack אינה פתרון טוב ואינו מתאים לחברה שעוסקת באבטחת מידע. עוד טענה $LAPSU כי הפגיעה בלקוחות Okta טרם הסתיימה, וכי בהתאם להרשאות המשתמש שנפרץ (שינוי סיסמאות ואמצעי אימות נוספים) היא תממש את פוטנציאל התקיפה בקרב לקוחות נוספים.

ב-23 במרץ פרסמה Okta עדכון נוסף, לפיו בסיכום חקירתה ניתן להעריך שכ-2.5% מכלל לקוחותיה עשויים היו להיפגע במהלך התקיפה. לפיכך, החברה יצרה קשר ישיר עם הלקוחות הרלוונטיים, על מנת להסביר להם את הנזק הפוטנציאלי ואת הפעולות שניתן לבצע להמשך פעילותם התקינה. זאת ועוד, החברה קיימה וובינר בנושא בכדי להפיג חששות בקרב קהל לקוחותיה ולנסות ולתקן את הפגיעה בתדמיתה. 

צוות קונפידס ממליץ לכלל הקוראים ליישם את המלצות החברה להגדרה נכונה של השירות ולבצע חקירה ידנית בתיעוד האירועים בסביבה, כדי לוודא שאינם נמנים על לקוחות החברה שנפגעו באירוע.

​

חסרת מעצורים: $LAPSU תוקפת את מיקרוסופט ומדליפה קודי מקור של מגוון מוצרים

כנופיית פשע הסייבר הודיעה השבוע כי פרצה לשרת Azure DevOps של החברה והצליחה להדליף ממנו קוד מקור של מספר פרויקטים. על מנת לבסס את טענתה, $LAPSU פרסמה בעמוד הטלגרם שלה צילום מסך המעיד על הימצאותה בתוך שרתים פנימיים של החברה, וכן קובץ טורנט בגודל 9GB, שהכיל קוד מקור לגיטימי, כתובות מייל ודוקומנטיות שלדברי הקבוצה שימשו למטרות פנימיות ביותר מ-250 פרויקטים של מיקרוסופט. לטענת $LAPSU, הדלף מכיל 90% מקוד המקור של Bing וכ-45% מקודי המקור של Bing Maps ושל Cortana. בתוך כך, לידי מגזין אבטחת המידע BleepingComputer הגיע מידע לפיו ברשות התוקפים נמצא קובץ דחוס במשקל 37GB, המכיל קודי מקור שהודלפו מן החברה, ובעיקר תוכן הנוגע לתחום ה-Web, אך לא מידע על מוצרי החברה הראשיים, כגון Windows Server ,Windows ו-Microsoft Office. מנגד, מיקרוסופט טוענת שרק חלק מהמידע נחשף למתקפה, וכי לא נחשפו מידע או קוד של לקוחותיה. זאת ועוד, ממצאי החקירה שערכה החברה מצביעים על חשיפת חשבון שדרכו בוצעה המתקפה. בגילוי פומבי של מיקרוסופט נמסר כי צוות התגובה שלה הכיל את הפגיעה ומנע מהתוקפים להמשיך בדלף המידע, וכי הקוד שדלף אינו מהווה סיכון אבטחתי למשתמשי הפלטפורמות שנחשפו. עוד פרסמה מיקרוסופט מגוון המלצות למניעת מתקפות דומות בעתיד, בהן חיזוק האימות הדו-שלבי (MFA), העלאת המודעות למתקפות הנדסה חברתית וניטור מדויק והקשחה של סביבת הענן הארגונית. ההמלצות נגזרו מתהליך הפקת הלקחים שביצעה החברה לאחר המתקפה.

​

$LAPSU: מבט מקרוב על קבוצת התקיפה

הקבוצה, שהופיעה לראשונה בזירה בדצמבר 2021 כאשר ניסתה לסחוט את משרד הבריאות הברזילאי, עלתה לאחרונה רשמית לכותרות, לאחר שפרסמה צילומי מסך של כלים פנימיים מתוך מערכותיהם של מספר תאגידי ענק, בהם NVIDIA, Samsung ו-Vodafone. על פי מקורות שהגיעו למגזין האבטחה Krebs On Security, נראה ש-$LAPSU מגייסת ״עובדים״ באמצעות פלטפורמות מדיה חברתית מאז נובמבר 2021, לכל לפחות. לדברי אליסון ניקסון, קצינת המחקר הראשית של Unit 221B, קבוצת $LAPSU היא כנראה הראשונה המבהירה לעולם שיש שלל מטרות פגיעות במגזרים שאינם רגילים להיות במוקד מתקפות מסוג זה. 

לפי מיקרוסופט, תחילה התמקדה הקבוצה ופגעה בחשבונות פרטיים של אנשים לקבלת גישה אליהם, על מנת להסתייע בהם לחיפוש פרצות שיאפשרו גישה למערכות ארגוניות. בשלבים מתקדמים יותר השתמשה הקבוצה גם ב-SIM swap בניסיון לגשת לחשבונות מפתח בארגוני יעד. בתקיפה מסוג זה משחדים או מרמים עובדי חברת סלולר להעביר את מספר הטלפון הנייד של אדם המהווה מטרה למכשירו של התוקף. דבר זה מאפשר לתוקף ליירט כל סיסמה חד-פעמית שנשלחת אל הקורבן באמצעות SMS או שיחת טלפון, ולאחר מכן לאפס את הסיסמאות של כל חשבון מקוון המאפשר זאת באמצעות קישור שנשלח ב-SMS.

עוד נדון על ידי Krebs on Security מי שמכונה WhiteDoxbin ומוביל את $LAPSU,לכאורה. WhiteDoxbin אינו מפורסם בכתבה בשמו האמיתי בשל היותו קטין בן 17, רכש בשנה שעברה את Doxbin, אתר אינטרנט ותיק מבוסס-טקסט, שבו כל אדם יכול לפרסם מידע אישי או למצוא נתונים אישיים של מאות אלפים, שדלפו זה מכבר לרשת. ואולם, WhiteDoxbin לא הצליח לשמור על תפקוד האתר, והחברים בו הביעו אי-שביעות רצון מהאופן בו ניהל אותו. אי לכך, בינואר 2022, נכנע WhiteDoxbin, ויתר על השליטה באתר ומכר את הפורום בחזרה לבעליו הקודמים, בהפסד כספי ניכר. ואולם רגע לפני שעשה זאת, הוא הדליף לציבור את כל מערך הנתונים של Doxbin (לרבות דוקסים פרטיים שטרם פורסמו והיו מצויים באתר כטיוטות) בעמוד טלגרם שפתח. בפרסום המלא ניתן למצוא מידע מקיף נוסף על דרכי הפעולה של הקבוצה. 

​

מתקפות EDoS: ממניעת שירות לחסימת שירות באמצעות יצירת חיובים ללקוחות

מתקפות ה-DoS/DDoS, או מניעת השירות, מוכרות לכל העוסקים בתחום אבטחת הסייבר. אלא שהתקדמות העולם בכיוון שירותי הענן, הצופנים בחובם שלל יתרונות, בהם גמישות והתאמת המשאבים לארגון, המשכיות עסקית, חיסכון כספי ועוד - אך טבעי שגורמי איום בתחום הסייבר יכוונו את תקיפותיהם לשירותים אלה. מתקפת EDoS, אם כן, מנצלת את יתרונות הענן כמשאב זמין, גמיש ומהיר, על מנת לשבש או למנוע את זמינותם של שירותים, של תשתיות התומכות ביישומים ושל מערכות ורשתות של ארגונים, והיא מכוונת בעיקר לשירותי ענן מסוג ״תשתית כשירות״ (IaaS). תקיפת EDoS צולחת כאשר מתאפשר לתוקף להשתלט על משאב בענן ולהתקין עליו תוכנה זדונית המחברת אותו לשרת מרוחק (C&C), שדרכו הוא שולח בקשות המגדילות את משאבי הענן של הלקוח. מתקפה זו קשה לזיהוי, מפני שבזמן שמשאבי הענן מתרחבים, שירותי הענן אינם נפגעים. מלבד זאת, התוקפים משתמשים בכתובות IP מזויפות, המקשות על גילוי המתקפה בשיטות המסורתיות של ניתוח רשת (מלבד כתובות IP בעלות מוניטין שלילי) והאירוע נתפס כהגדלה רגילה במערכת הענן. במודל ה-IaaS, הלקוח מחויב על פי השימוש שעשה במשאבי הענן. לכן, מטרת התוקפים היא לייצר חיובים עצומים ללקוח, עד למצב בו חשבונו יהפוך לבלתי אפשרי לתשלום, או שהשירות ייפסק. בדומה למתקפת DDoS, גם כאן המטרה היא לפגוע בעסקים ולגרום להם להפסדים כספיים.

ה-FBI: נוזקת AvosLocker פוגעת בארגונים בסקטורים קריטיים בארה״ב

AvosLocker היא נוזקה בה משתמשים שותפים (Affiliates) של קבוצת התקיפה על פי מודל של ״כופרה כשירות״ (RaaS). דוח של לשכת החקירות הפדרלית של ארצות הברית שפורסם ב-17 במרץ מזהיר ארגונים מפני הכופרה, שלאחרונה פגעה במספר קורבנות אמריקאיים ממגזרי הפיננסים, התעשייה והממשל. לדברי ה-FBI, הקבוצה העומדת מאחורי הנוזקה טוענת שהיא מנהלת עם קורבנותיה משא ומתן ישיר בנוגע לתשלום הכופר שהיא דורשת, וכי היא מאחסנת את המידע שנגנב מהקורבנות ומפרסמת אותו במידה שדמי הכופר אינם משולמים. עוד נמסר כי AvosLocker מצפינה קבצים על מחשב הקורבן ומוסיפה לשמם את הסיומת "avos.", וכי מפעיליה מעדיפה תשלום באמצעות המטבע הדיגיטלי Monero. במידה והקורבן מעדיף לשלם בביטקוין, הקבוצה וגובה עמלה בגובה 10-25%. דוח ה-FBI כולל גם מזהי תקיפה (IOCs) ודרכי מיטיגציה, על מנת לסייע לארגונים להתמודד עם האיום.

​

Emsisoft פרסמה כלי פענוח לנפגעי הנוזקה Diavol על מנת לסייע להם בשחזור קבצים מוצפנים

בינואר האחרון הוכרז באופן רשמי על קשר בין TrickBot, מרשתות הבוטנט הגדולות בעולם, לבין הכופרה Diavol. נוזקת TrickBot הינה נוזקה טרויאנית פופולרית המשמשת לגניבה מידע פיננסי. מאז הופיעה במרחב הסייבר ב-2016 היא משודרגת באופן שיטתי וכיום מצויה בידי קבוצת התקיפה העומדת מאחוריה רשת בוטים המונה יותר ממיליון מחשבים. ברשת זו עושה TrickBot שימוש למטרות זדוניות, בעיקר על ידי קבוצות תקיפה אחרות באמצעות מודל ה״נוזקות כשירות״ (MaaS), הממנף את רשת הבוטים להפצה של נוזקות נוספות, בהן גם Conti ו-Ryuk. בעוד שניתוח גרסה ישנה של הנוזקה שביצעו חוקרי IBM X-Force מחזק את הקשר בין Diavol ל-TrickBot, חוקרי Fortinet שניתחו גרסה חדשה של הנוזקה והשוו בין השתיים גילו מידע חיוני אודות Diavol ואופן פיתוחה, אשר הוביל אותם אל ההשערה לפיה ייתכן ומאחורי רשת הבוטים הזדונית עומדת כנופיית הסייבר Wizard Spider. המפענח החינמי שפותח על ידי Emsisoft ופורסם כעת לצד מדריך רשמי לשימוש בו, אינו מבטיח שהנתונים המפוענחים יהיו זהים לגמרי לקבצים המקוריים, מכיוון שהנוזקה אינה שומרת מידע על הקבצים שהוצפנו. לדברי מפתחי Emsisoft, על מנת שייצור המפתח יצלח - יש להעלות אל המפענח זוג קבצי דגימה: אחד שהוצפן על ידי הנוזקה ואחד מקורי שלא עבר הצפנה, תוך שמירה על שמות הקבצים המקוריים. זאת ועוד, על הקובץ להיות בגודל מינימלי של 20KB, ורצוי שיהיה גדול אף יותר, עקב מגבלות טכניות שאינן מאפשרות לכלי לפענח קבצים גדולים יותר מקובץ הדגימה.

שירותי חברת הדלק הרומנית Rompetrol הושבתו עקב מתקפת כופרה של Hive, הדורשת דמי כופר בסך 2 מיליון דולר

במקביל לידיעה שפורסמה בחשבון הפייסבוק של חברת הבת של KMG העולמית, בה נמסר כי היא חווה מתקפת סייבר קשה, מגזין אבטחת המידע BleepingComputer דיווח כי נרשמה השבתה זמנית של אתר החברה ושל שירות ה-Fill&Go שלה, לניהול ומעקב אחר ציי רכב. בהמשך מסרה Rompetrol כי החזירה את שירות ה-Fill&Go לפעילות תקינה, וכי שירותי המייל שלה לא נפגעו כתוצאה מהמתקפה. זאת ועוד, ממידע ממקור אנונימי שהגיע לידי מערכת BleepingComputer עולה שהתוקפים הצליחו להגיע לרשת ה-IT הפנימית של מזקקת הדלק של החברה, ואולם מ-Rompetrol נמסר שהמזקקה ושירותיה לא נפגעו במתקפה. בתוך כך, קבוצת התקיפה Hive דורשת תשלום דמי כופר בגובה 2 מיליון דולר בעבור מסירת מפתח הצפנה ואי-פרסום המידע שנגנב מהחברה, לכאורה. 

הודלף לרשת קוד המקור העדכני של הכופרה Conti

בהמשך לדיווחינו בשבועות הקודמים אודות הדלפות של מידע רב מתוך התכתבויות בין חברי קבוצת התקיפה הרוסית (ראו ״הסייבר״, 3.3.22, ״הסייבר״, 10.3.22 ו-״הסייבר״, 17.3.22), השבוע פרסם החוקר האוקראיני ויטלי קרמז את קוד המקור העדכני של גרסה v3, בה עושה כיום Conti שימוש.  בתמונה המצורפת, ניתן לראות את פונקציית ההצפנה מתוך קוד המקור של הקבוצה.

​

​

​

​

​

​

​

​

​

​

​

​

 (מקור: BleepingComputer, 21.3.22)