top of page
WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 26.01.2023

עיקרי הדברים

  1. ישראל: על פי סקר של ״רשות ניירות ערך״ ברוב החברות המדווחות אין מדיניות סייבר, הדירקטוריון שלהן אינו מקבל דיווחים בנושא והן אינן ערוכות למשברי סייבר; הרשות להגנת הפרטיות: רמת הגנת המידע בבתי אבות ובהוסטלים בישראל אינה מספקת. 

  2. סייבר ובריאות: אילינוי: בית החולים St. Margaret’s Health מודיע על סגירתו הזמנית בעקבות קשיים כלכליים שנגרמו, בין היתר, ממתקפת סייבר; ענקית תיקי הבריאות האלקטרוניים NextGen חווה מתקפת כופרה; מחקר חושף עלייה בכמות הסיבוכים הרפואיים ובשיעורי התמותה בעקבות מתקפות סייבר על מגזר הבריאות; היועץ הבכיר להגנת סייבר של איגוד בתי החולים האמריקאי (AHA) מזהיר מפני כופרת Daixin. 

  3. ה-FBI מדווח כי קבוצות תקיפה צפון קוריאניות עומדות מאחורי גניבת מטבעות קריפטו בסך כ-100 מיליון דולר מ-Harmony ביוני אשתקד.

  4. ירידה דרסטית במספר קורבנות מתקפות הכופרה המסכימים לשלם לתוקפים דמי כופר. לצד זה, ClearSky חושפת שיטות סחיטה חדשות של קבוצות כופרה בניסיון לחלץ דמי כופר מקורבנותיהן, לרבות מנופי לחץ והפחדה של בעלי עניין; Yum! Brands, חברת מותגי המסעדות שבבעלותה KFC ו-Pizza Hut, חווה מתקפת כופרה המשפיעה על מאות מסעדות בבריטניה.

  5. אנו ממליצים לעדכן את המוצרים הבאים: מוצרים ישנים של Apple (חולשת Zero-day); המוצר vRealize Log Insight של VMware (קריטי); הדפדפן Google Chrome (גבוה); מוצרי Cisco (גבוה).

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני אבטחה של Cisco נותנים מענה לחולשות ברמה גבוהה בכמה ממוצריה
עדכוני אבטחה של Apple נותנים מענה לחולשת Zero-day המצויה במכשירים ישנים מתוצרת החברה ומנוצלת בפועל על ידי תוקפים
עדכון אבטחה לדפדפן Google Chrome נותן מענה ל-6 חולשות, שתיים מהן בדרגת חומרה גבוהה
עדכון אבטחה של VMware נותן מענה ל-4 חולשות שהתגלו במוצר VMware vRealize Log Insight, שתיים מהן קריטיות
חולשת ה-Zero-day שנמצאה במוצרי חומת האש של Fortinet נמצאה מנוצלת ברחבי הרשת
חולשה קריטית בחומת האש של חברת Sophos מנוצלת באופן פעיל

התקפות ואיומים

ארה״ב: סוכנויות פדרליות נפרצו באמצעות שימוש בתוכנות לגיטימיות לניטור וניהול מרחוק
נוזקה טרויאנית הנסחרת ברשת האפלה נמצאה בקובצי OneNote

השבוע בכופרה

Yum! Brands, חברת מותגי המסעדות שבבעלותה KFC ו-Pizza Hut, חווה מתקפת כופרה המשפיעה על מאות מסעדות בבריטניה
חברת המשחקים Riot Games חוותה מתקפת כופרה; קודי מקור של משחקים זלגו אל רשת

המלחמה במזרח אירופה

קבוצת הריגול Gamaredon המשויכת לקרמלין מנצלת את אפליקציית הטלגרם לתקיפת ארגונים פרטיים וממשלתיים באוקראינה
אוקראינה מפרסמת סקירה של התוקפנות הרוסית נגדה מאז פרוץ המלחמה: תיאום בין מתקפות סייבר, מבצעי השפעה ומבצעים קינטיים
סוכנות הידיעות הלאומית של אוקראינה (Ukrinform) חווה מתקפת סייבר; חשד כי מאחורי הפעולה עומדים גורמים רוסים

סייבר בעולם

צוות המחקר של Akamai Security מפרסם הוכחת היתכנות לניצול חולשה קריטית ב-CryptoAPI של Windows
אירוע דלף מידע משפיע על 35,000 לקוחות של PayPal
מידע של 37 מיליון לקוחות T-Mobile נחשף כאשר תוקף הצליח לגשת למאגרי המידע של החברה דרך אפליקציה צד ג׳
שירות השיווק במייל Mailchimp נפרץ; מידע על לקוחות החברה דלף
ה-CISA מוסיפה ל״קטלוג החולשות המנוצלות הידועות״ חולשה קריטית המשפיעה על מוצרי ManageEngine
ה-FBI מדווח כי קבוצות תקיפה צפון קוריאניות עומדות מאחורי גניבת מטבעות קריפטו בסך כ-100 מיליון דולר מ-Harmony ביוני אשתקד
ירידה דרסטית במספר קורבנות מתקפות הכופרה המסכימים לשלם לתוקפים דמי כופר
חברת ODIN Intelligence נפרצה: נחשפו קבצים המכילים מידע רגיש על פעילות משטרתית
ClearSky חושפת שיטות סחיטה חדשות של קבוצות כופרה בניסיון לחלץ דמי כופר מקורבנותיהן, לרבות מנופי לחץ והפחדה של בעלי עניין

סייבר בגופי הבריאות

מחקר חושף עלייה בכמות הסיבוכים הרפואיים ובשיעורי התמותה בעקבות מתקפות סייבר על מגזר הבריאות
היועץ הבכיר להגנת סייבר של איגוד בתי החולים האמריקאי (AHA) מזהיר מפני כופרת Daixin
ענקית תיקי הבריאות האלקטרוניים NextGen חווה מתקפת כופרה
קליפורניה: בית החולים St. Rose מודיע למטופליו כי איתר גישה בלתי מורשית למערכותיו; דיווחים על משא ומתן כושל עם התוקפים
אלבמה: 301 חולשות קריטיות התגלו בביקורת אבטחת מידע במרכז הרפואי של המחלקה האמריקאית לענייני ותיקים
אילינוי: בית החולים St. Margaret’s Health מודיע על סגירתו הזמנית בעקבות קשיים כלכליים שנגרמו, בין היתר, ממתקפת סייבר

סייבר בישראל

דוח של הרשות להגנת הפרטיות: רמת הגנת המידע בבתי אבות ובהוסטלים בישראל אינה מספקת

סייבר ופרטיות - רגולציה ותקינה

משרד האוצר האמריקאי הטיל סנקציות על המטבע הווירטואלי Bitzlato ששימש להלבנת כספים
"רשות ניירות ערך" מעדכנת את גילוי הדעת בנושא סייבר: חברות בישראל חייבות לתגבר משמעותית את אמצעיהן לניהול סיכוני סייבר
דוח חדש של ״הפורום הכלכלי העולמי״ (WEF) בנושא סייבר: קיימת הסכמה על כך שרגולציה ממזערת סיכונים

כנסים

 
 

הציטוט השבועי

״מה כל ההתלהמות מסייבר התקפי? כיוון שאף אחד מאזרחי מדינות המערב לא מפחד שיירו עליו טיל - אזרחים במערב מפחדים יותר לפרטיות שלהם.״ 

אל"מ (מיל.) דניאל רייזנר, בכנס בנושא סייבר התקפי באוניברסיטת רייכמן

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg

טוויטר

https://twitter.com/konfidas

4444.jpg

פייסבוק

https://www.facebook.com/konfidas

55555.jpg

חולשות חדשות

עדכוני אבטחה של Cisco נותנים מענה לחולשות ברמה גבוהה בכמה ממוצריה

אחת מהחולשות שנסגרות בעדכונים (CVE-2023-20010, CVSS 8.1) עלולה לאפשר לתוקף מרוחק לבצע מתקפת הזרקת SQL, והיא רלוונטית לשני המוצרים הבאים:

(Cisco Unified Communications Manager (Unified CM

(Cisco Unified Communications Manager Session Management Edition (Unified CM SME
עוד מתקנים העדכונים 4 חולשות (CVE-2022-20964, CVE-2022-20965, CVE-2022-20966, CVE-2022-20967) במוצר Cisco Identity Services Engine, העלולות לאפשר לתוקף שאינו מאומת להריץ קוד מרחוק (RCE) ולבצע מתקפת (Cross-site scripting (XSS.

עדכון נוסף רלוונטי לממשק הניהול של Cisco BroadWorks CommPilot Application Software וסוגר שתי חולשות (CVE-2022-20951, CVE-2022-20958) העלולות לאפשר הרצת קוד מרחוק (RCE).

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.


עדכוני אבטחה של Apple נותנים מענה לחולשת Zero-day המצויה במכשירים ישנים מתוצרת החברה ומנוצלת בפועל על ידי תוקפים

17 העדכונים שפורסמו רלוונטיים למערכות iOS 15.7.2 ו-iPadOS 15.7.2 המותקנות במכשירי iPhone ו-iPad ישנים, והם סוגרים חולשה (CVE-2022-42856, CVSS 8.8) מסוג Zero-day העלולה לאפשר הרצת קוד מרחוק (RCE) וגישה למידע רגיש. על מנת לנצל את החולשה, על הקורבן לגלוש לאתר זדוני, למשל על ידי הולכתו שולל באמצעות טכניקות הטעיה והנדסה חברתית. לאחר מכן יוכל התוקף לקבל שליטה מלאה על המכשיר ולפרוס בו נוזקות.

צוות קונפידס ממליץ לבעלי מכשירים פגיעים לעדכנם בהקדם לגרסאות האחרונות שפורסמו ולשמור על שגרת עדכונים שוטפת.

 

עדכון אבטחה לדפדפן Google Chrome נותן מענה ל-6 חולשות, שתיים מהן בדרגת חומרה גבוהה

שתי החולשות שרמת חומרתן גבוהה (CVE-2023-0471 ו-CVE-2023-0472, טרם ניתנו ציוני CVSS) עלולות לאפשר הרצת קוד מרחוק (RCE) על מערכת פגיעה. על מנת לנצל את החולשות, שמקורן בשגיאה לאחר שימוש ברכיב ה-WebTransport של הדפדפן, יש ליצור דף אינטרנט בעל מבנה זדוני, להערים על הקורבן לבקר בו באמצעות שיטות של הנדסה חברתית ולהפעיל שגיאת Use-After-Free בזכרון.

צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו לגרסה 109.0.5414.119 או לגרסאות מאוחרות יותר ולשמור על שגרת עדכונים שוטפת.

עדכון אבטחה של VMware נותן מענה ל-4 חולשות שהתגלו במוצר VMware vRealize Log Insight, שתיים מהן קריטיות 

החולשות, שרמת חומרתן נעה בין ״בינונית״ לקריטית״, עלולות לאפשר לתוקף להריץ פקודות מרחוק (RCE) על גבי אפליקציות שאינן מעודכנות. להלן פרטי החולשות:

  1. חולשה (CVE-2022-31706, CVSS 9.8) שמקורה במעבר בין ספריות מערכת ההפעלה ועלולה לאפשר לתוקף שאינו מאומת להחדיר למערכת הקורבן קבצים זדוניים שיאפשרו לו להריץ פקודות מרחוק.

  2. חולשה (CVE-2022-31704, CVSS 9.8) שמקורה בגישה למערכת ועלולה לאפשר לתוקף שאינו מאומת להחדיר למערכת הקורבן קבצים זדוניים שיאפשרו לו להריץ פקודות מרחוק.

  3. חולשה (CVE-2022-31710, CVSS 7.5) שמקורה בהרצת מערכת ההפעלה ועלולה לאפשר לתוקף שאינו מאומת לתזמן הרצה שגויה של נתוני מערכת שאינם מהימנים, אשר יובילו למניעת שירות (DDoS).

  4. חולשה (CVE-2022-31711, CVSS 5.3) שמקורה בגישה למידע ועלולה לאפשר לתוקף מרוחק לאסוף מידע רגיש על המערכת ועל האפליקציות הקיימות בה, ללא אישור מיוחד.

​צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.

חולשת ה-Zero-day שנמצאה במוצרי חומת האש של Fortinet נמצאה מנוצלת ברחבי הרשת 

חוקרי חברת Mandiant זיהו קבוצת תקיפה סינית המנצלת את החולשה הקריטית, שקיבלה מענה בעדכון האבטחה האחרון של Fortinet (ראו ״הסייבר״, 5.1.23 ו״הסייבר״, 19.1.23). החולשה, מסוג Heap-based Buffer Overflow, מצויה במנגנון ה-sslvpnd של המוצרים ועלולה לאפשר לתוקף מרוחק שאינו מאושר במערכת להריץ פקודות זדוניות. לדברי Mandiant, קבוצות תקיפה שונות מרבות להתמקד בחולשות מסוגים דומים במכשירי IPS\IDS, בחומות אש ועוד, משום שעם קבלת גישה למערכת הקורבן, אשר מחוברת לאינטרנט, מתאפשר ניצול של החולשות להרצת פקודות, לצד סיכויים נמוכים להתגלות על ידי מנגנוני הגנה.

צוות קונפידס ממליץ לארגונים ליישם את ההמלצות המופיעות בידיעון האבטחה שפורסם על ידי Fortinet ולהזין במערכות ההגנה שלהם את מזהי התקיפה (IOCs) המצויים בדוח של Mandiant

חולשה קריטית בחומת האש של חברת Sophos מנוצלת באופן פעיל 

החולשה (CVE-2022-3236, CVSS 9.8) עלולה לאפשר לתוקף להריץ קוד מרחוק (RCE), להתקין תוכנות, לשנות, לערוך ולמחוק נתונים וליצור משתמשים חדשים בעלי הרשאות אדמין במערכת פגיעה. ניצול החולשה באופן פעיל מהווה סיכון גדול במיוחד עבור ממשלות וארגונים גדולים, אך לדברי Sophos היא תוקנה בגרסאות רבות של המוצר, וניתן לסגור אותה על ידי הטמעת גרסאותיו העדכניות. עוד נמסר כי קיים Workaround לפתרון החולשה, למקרים בהם לא ניתן לבצע עדכון גרסה. פתרון זה מתבסס על כיבוי הגישה לפורטל ההתחברות מרשת WAN. 

צוות קונפידס ממליץ למשתמשי המוצר לעקוב אחר הנחיותיה של Sophos המופיעות כאן, על מנת לבחון אם החולשה קיימת במערכותיהם, ולעדכן את המוצר לגרסתו האחרונה. עוד מומלץ להטמיע עדכונים באופן שוטף.

התקפות ואיומים

ארה״ב: סוכנויות פדרליות נפרצו באמצעות שימוש בתוכנות לגיטימיות לניטור וניהול מרחוק 

הסוכנות להגנת סייבר ותשתיות (CISA), הסוכנות לביטחון לאומי (NSA) והמרכז הבין-מדינתי לשיתוף מידע ולמחקר (MS-ISAC) פרסמו מזכר משותף המזהיר מפני ניצול של תוכנות ניטור וניהול מרחוק לפריצה לסוכנויות פדרליות. באוקטובר אשתקד זיהתה ה-CISA קמפיין פישינג שכוון נגד עובדי ממשל, תוך התחזות ל-EINSTEIN, מערכת זיהוי החדירות (IDS) של רשות הניהול הפדרלית האזרחית (FCEB), המופעלת ומפוקחת על ידי ה-CISA. ככל הנראה, מאחורי הקמפיין עומד מניע כלכלי, וה-CISA קשרה אותו לקמפיין שדווח על ידי חברת Silent Push וכלל נוזקות טרויאניות והתחזות לחברות כמו Amazon ,PayPal ואחרות. לאחר יצירת קשר ראשוני עם עובדי הממשל ופיתויים להוריד לעמדתם תוכנת ניהול מרחוק, במקרה זה AnyDesk ו-ScreenConnect, ההאקרים התחברו למערכות המשתמשים והנחו אותם להיכנס אל חשבונות הבנק שלהם, תוך שהם נשארו מחוברים לתוכנת הניהול מרחוק. לאחר מכן, ההאקרים השתמשו בגישה שניתנה להם דרך התוכנה על מנת לשנות את הסכום בחשבונות הבנק של המשתמשים, כך שייראה כאילו מופיעה בהם יתרה שלא היו אמורים לקבל, ושאותה עליהם להחזיר, כביכול. סכום זה הועבר, בפועל, לידי ההאקרים. להלן כמה מהמלצות האבטחה לארגונים הכלולות במזכר שפורסם: 

  • ליישם שיטות עבודה מומלצות לחסימת הודעות פישינג. 

  • לבדוק כלי גישה מרחוק המצויים ברשת, על מנת לזהות תוכנות שליטה מרחוק הנמצאת בשימוש ו/או בעלות הרשאות .

  • להשתמש בתוכנת אבטחה לזיהוי טעינה בזיכרון המחשב של תוכנות שליטה מרחוק.

  • לעיין בעלון המידע שפרסם ה-NSA בנושא אכיפת מדיניות ביצוע של תוכנות חתומות.

  • לבצע תרגילי פישינג על מנת להעלות את מודעות המשתמשים בנוגע לסיכונים הגלומים בביקור באתרים חשודים, בלחיצה על קישורים ממקור שאינו מוכר ובפתיחת קבצים מצורפים המעוררים חשד. 

​צוות קונפידס ממליץ להטמיע במערכות ההגנה את מזהי התקיפה (IOCs) המופיעים בדוח שפורסם.

נוזקה טרויאנית הנסחרת ברשת האפלה נמצאה בקובצי OneNote 

צוות המחקר SpiderLabs של Trustwave גילה וקטור כניסה חדש המשמש האקרים ברחבי הרשת להפצת הטרויאני Formbook, הנמכר ברשת האפלה במתכונת ״נוזקה כשירות״ (Malware-as-a-Service, או MaaS) מאז 2016, וביכולתו לגנוב סיסמאות מדפדפנים ולבצע Keylogging וצילומי מסך. וקטור הכניסה שזוהה מבוסס על קובץ OneNote בעל הסיומת ״one.״ שמועבר כצרופת מייל, אשר עם הורדתה אל המחשב והפעלתה על ידי הקורבן מוצגת אזהרת אבטחה של המערכת. אם למרות האזהרה הקורבן מאשר את פתיחת הקובץ, מורץ קוד PowerShell דרך (Windows Script File (WSF, שמוריד מסמך פיתוי מדומיין זדוני וקובץ הפעלה המכיל את Formbook. על מנת לבלבל את מערכות ההגנה ולמנוע סריקה של הקובץ, שם הנוזקה והסיומת כתובים משמאל לימין.

צוות קונפידס ממליץ לצוותי אבטחה בארגונים להוסיף לרשימת ההחרגות קובצי OneNote הנשלחים כצרופה במייל, ולהזין במערכות ההגנה את מזהי התקיפה (IOCs) המצוים בדוח שפורסם

השבוע בכופרה

Yum! Brands, חברת מותגי המסעדות שבבעלותה KFC ו-Pizza Hut, חווה מתקפת כופרה המשפיעה על מאות מסעדות בבריטניה

ב-18 בינואר הודיעה החברה, שבבעלותה כמה מותגי מסעדות מפורסמים, כי חוותה מתקפה שהשפיעה על חלק ממערכות ה-IT שלה וגרמה להשבתה חלקית של שירותיה, באופן שגרם ל-300 מסעדות בבריטניה לסגור את דלתותיהן למשך יממה. לדבריה, עם זיהוי המתקפה פעלה החברה לבלימתה באמצעות ניטור משופר, העברת מספר מערכות למצב שאינו מקוון ופנייה לסיוע של מומחי אבטחת מידע. עוד הודיעה Yum! Brands כי דיווחה על האירוע לרשויות החוק וכי כעת היא פועלת לשחזור המערכות שניזוקו, דבר שלדבריה צפוי להסתיים בקרוב. למרות שבמהלך האירוע נגנב מידע מרשתותיה, החברה מדגישה כי לא נמצאו הוכחות לפגיעה בנתונים של לקוחות, וכי בשלב זה של החקירה נראה שלא נגרם נזק נוסף, מלבד השיבוש הזמני.

חברת המשחקים Riot Games חוותה מתקפת כופרה; קודי מקור של משחקים זלגו אל רשת

החברה, אשר בין היתר פיתחה את המשחקים League of Legends ו-Valorant, הודיעה ב-20 בינואר כי מוקדם יותר באותו שבוע מערכות בסביבת הפיתוח שלה נחשפו כתוצאה ממתקפת סייבר, לאחר שאחד מעובדיה נפל קורבן למתקפת הנדסה חברתית. עוד מסרה החברה שבעקבות התקרית יידחה הפרסום המתוכנן של עדכונים למשחקיה, ושמתכנתיה עובדים כעת על Hotfix לחלק מהתוכן שהיה אמור להיכלל בעדכונים. לדבריה, טרם התבררו פרטי האירוע המלאים, אך אין סימנים לחשיפת מידע אישי ממאגר השחקנים שלה, המונה יותר מ-200 מיליון שחקנים.

בהמשך, ב-24 בינואר צייצה החברה בחשבון הטוויטר שלה כי הצליחה לאשר שקוד המקור של תוכנות האנטי-צ׳יט שלה ושל המשחקים League of Legends ו-TFT הוזלגו מרשתותיה. עוד מסרה כי קיבלה במייל מכתב כופר, אך אין בכוונתה להיענות לדרישות התוקפים. לדברי Riot Games, הזלגת קוד המקור עשויה להביא לעלייה בכמות הצ׳יטים שיפורסמו למשחקיה, והיא עובדת ביחד עם יועצים חיצוניים ועם רשויות החוק על מנת להעריך את היקף ההשפעה של המתקפה. בתוך כך, זהות התוקף טרם פורסמה.

צוות קונפידס ממליץ לארגונים להגביר בקרב עובדיהם את המודעות לאיומים הקיימים במרחב הסייבר.

המלחמה במזרח אירופה

 

קבוצת הריגול Gamaredon המשויכת לקרמלין מנצלת את אפליקציית הטלגרם לתקיפת ארגונים פרטיים וממשלתיים באוקראינה

בשבועות האחרונים זיהה צוות המחקר של BlackBerry קמפיין של הקבוצה אשר במסגרתו נעשה שימוש במגוון טקטיקות, בהן מתקפות פישינג, הפצת נוזקות והנדסה חברתית, כל זאת על מנת להשיג גישה לרשתות הקורבנות, כשאפליקציית הטלגרם משמשת לתוקפים שרת C2 ושרת להזלגת מידע. בכך מסתמכת קבוצת התקיפה על תעבורת הרשת הלגיטימית של טלגרם, כדי להישאר ״מתחת לרדאר״. אין זו הפעם הראשונה בה Gamaredon נצפית תוקפת ארגונים אוקראינים: בנובמבר האחרון צוות המחקר של Talos דיווח על פעילות הקבוצה באוקראינה וחשף את שרשרת ההדבקה המלאה שלה.

 

אוקראינה מפרסמת סקירה של התוקפנות הרוסית נגדה מאז פרוץ המלחמה: תיאום בין מתקפות סייבר, מבצעי השפעה ומבצעים קינטיים

על פי הסקירה, שפורסמה ב-17 בינואר, רוסיה תיאמה בצורה מלאה כמעט בין התקפותיה הקינטיות לבין התקפותיה במרחב הסייבר ולפעולות התעמולה התקשורתית בהן נקטה. למשל, בסתיו ובחורף האחרונים, רוסיה ביצעה מתקפות סייבר רבות נגד תשתיות אנרגיה אוקראיניות והשלימה את השיבוש בהן באמצעות פגיעת טילים זמן קצר לאחר מכן, כאשר במקביל לפעולות אלה התקיימה באמצעי התקשורת תעמולה שבמסגרתה הואשמו הרשויות האוקראיניות ב״הפסקות החשמל המקריות״. בסקירה לעיל, מצויינות המלצות הנוגעות לחיזוי יעדי המתקפות הקינטיות על בסיס מתקפות הסייבר, שינוי ועדכון חוקים בינלאומיים בנושאי ״תוקפנות מדינית״, הקמת מסגרות שונות כנגד התקפות סייבר בינלאומיות וחיזוק החוק והאכיפה הבינלאומית כנגד גופים פרטיים וממשלתיים המשתפים פעולה כלכלית כנגד מדינות בעלות הד תוקפני. כמו כן, הסקירה מדגימה כיצד מימד הסייבר מהווה חלק אינטגרלי במלחמות בנות זמננו וכלי אפקטיבי לפתיחה במערכה, המטרים את השימוש בכלי נשק אחרים.

 

סוכנות הידיעות הלאומית של אוקראינה (Ukrinform) חווה מתקפת סייבר; חשד כי מאחורי הפעולה עומדים גורמים רוסים

במהלך המתקפה נעשה שימוש בנוזקת CaddyWiper דרך ה-Active Directory (באמצעות GPO). נוזקה זו מתמקדת במחיקת מידע, לרבות נתוני משתמשים, תוכניות, כוננים קשיחים ועוד, ובשיבוש הנגישות אליו. לאחר שב-17 בינואר פורסם פוסט אודות הפריצה בערוץ הטלגרם הרוסי CyberArmyofRussia_Reborn, החלה חקירה של ה-CERT-UA (צוות החירום האוקראיני לטיפול באירועי מחשב), שזיהה ובלם את המתקפה. לדברי הצוות, מאחורי הפעולה עומדת קבוצת התקיפה Sandworm (המכונה גם UAC-0082), המקושרת למנהל הראשי של המטה הכללי הרוסי (GRU, שירות הריגול הרוסי) ונמנית על הקבוצות העיקריות שתקפו את אוקראינה במהלך 2022, בין היתר באמצעות CaddyWiper, בתקיפות שכוונו נגד מגזר האנרגיה.

סייבר בעולם

 
 

צוות המחקר של Akamai Security מפרסם הוכחת היתכנות לניצול חולשה קריטית ב-CryptoAPI של Windows

החולשה (CVE-2022-34689, CVSS 7.5), שדווחה למיקרוסופט באוגוסט האחרון על ידי הסוכנות האמריקאית לביטחון לאומי (NSA), החולשה קיבלה מענה בעדכוני האבטחה שפרסמה החברה בחודש אוקטובר. לדברי מיקרוסופט, החולשה עלולה לאפשר לתוקפים להתחזות ליישות לגיטימית, ומקורה בהסתמכות על כך שמפתח ה-Cache של תעודות וחתימות דיגיטליות (שהוא מסוג MD5) אינו יכול ״להתנגש״, כלומר לא יכולים להיווצר שני מפתחות MD5 זהים לחלוטין משתי מחרוזות שונות לגמרי. ואולם, דבר זה הוכח בעבר כאפשרי, כאשר מתקפה המנצלת חולשה זו מתרחשת בשני שלבים: 1. מציאת תעודה לגיטימית, עריכתה והגשתה לקורבן. 2. יצירת תעודה נוספת, שמפתח ה-MD5 שלה מתנגש עם התעודה הלגיטימית שנערכה, ושימוש בתעודה שנייה זו על מנת להתחזות לתעודה הלגיטימית. הדבר עלול לאפשר להשפיע על האימות שמתבצע עבור חיבורי HTTPS ועל חתימות דיגיטליות של קבצים, כאשר ניתן, למשל, לנצל את החולשה לחתימת קובצי EXE זדוניים בחתימה מזויפת, על מנת שהקובץ ייראה כאילו מקורו מהימן, ולקורבן לא תהיה כל אינדיקציה לזדוניותו.

אירוע דלף מידע משפיע על 35,000 לקוחות של PayPal

PayPal, המספקת שירותי העברת כספים וביצוע תשלומים באינטרנט ברחבי העולם, הודיעה כי דלף המידע לא הגיע מתוך החברה, היות ולא נפרצה, והוא תוצאה של מתקפת חטיפת אישורים, שבעקבותיה הושגה גישה שאינה מורשית לחשבונות באמצעות צמדים של שם משתמש וסיסמה שהתקבלו מדליפות נתונים מאתרים שונים. באמצעות פרטים אלה בוצעה התחברות לחשבונות PayPal, ובכך הושגו פרטי לקוחות, בהם שמות מלאים, תאריכי לידה, כתובות, מספרי זהות, היסטוריית עסקאות, פרטי כרטיסי אשראי, חשבוניות PayPal ועוד. החברה זיהתה במהירות את החשבונות שנפרצו ונקטה בצעדים לאיפוס סיסמאותיהם, על מנת למנוע גישה שאינה מורשית אליהם ואל מידע אישי רגיש. כמו כן, החברה פרסמה המלצות להגנה על חשבונות PayPal:

  1. להימנע משימוש באותם צמדים של שם משתמש וסיסמה עבור פלטפורמות ושירותים שונים.

  2. במידה ומזוהה פעילות חריגה בחשבון, יש לשנות את הסיסמה ואת שאלות האבטחה המוגדרות בו ולהודיע על כך לחברה.

  3. להוסיף אימות דו-שלבי (2FA) בהגדרות החשבון.

  4. להימנע מחשיפת סיסמות, פרטי התחברות, קודי אימות חד-פעמיים או כל גורם אימות אחר במענה להודעות מייל או טקסט המתקבלות, לכאורה, מ-PayPal, שכן לדברי החברה היא לעולם לא תבקש מלקוחותיה מידע מסוג זה.

 

מידע של 37 מיליון לקוחות T-Mobile נחשף כאשר תוקף הצליח לגשת למאגרי המידע של החברה דרך אפליקציה צד ג׳ 

חברת התקשורת העולמית נפלה קורבן למתקפת סייבר שכתוצאה מכך נחשפו שמות לקוחות, כתובות לחיוב, כתובות מייל, מספרי טלפון, תאריכי לידה, מספרי משתמשים (ID) ועוד. לדברי T-Mobile לא נחשפו סיסמאות, פרטי רישיונות, מספרי PIN ונתונים חשובים נוספים. עוד נמסר כי חקירת האירוע נמשכת, אך עד כה טרם נמצאו עדויות לכך שמערכת התקשורת של החברה נפרצה.

שירות השיווק במייל Mailchimp נפרץ; מידע על לקוחות החברה דלף

האירוע חולק קווי דימיון עם פריצה נוספת שחוותה החברה, המספקת שירותי אוטומציה לשיווק במייל, באפריל 2022, מבחינת האופן בו החלו שני האירועים, וכן האופן בו התגלו: ב-11 בינואר נמצא פוסט בבלוג אנונימי ממנו עולה, ככל הנראה, שהמפרסם השתמש בכלי פנימי של החברה, שנועד לסייע ללקוחות בניהול חשבונותיהם. בשעה זו לא ידוע כמה זמן שהה התוקף במערכות החברה, אך לדבריה הוא חדר אליהן באמצעות הנדסה חברתית, כשקיבל מעובד Mailchimp פרטי כניסה ל-133 חשבונות משתמשים. בין החשבונות שנפרצו נמצא זה של חברת WooCommerce, ששלחה ללקוחותיה מכתב אודות האירוע, בו נכתב כי ייתכן ונחשף מידע אודותם, לרבות שמות, כתובות מייל ועוד, אך לא סיסמאות או מידע רגיש אחר. ארגון נוסף שהושפע מהפריצה הוא אתר הימורי הספורט FanDuel, שהעביר ללקוחותיו הודעת אזהרה בדבר האפשרות ששמותיהם וכתובות המייל שלהם נחשפו, תוך קריאה לשימת לב למתקפות פישינג במייל בעקבות דלף המידע.

ה-CISA מוסיפה ל״קטלוג החולשות המנוצלות הידועות״ חולשה קריטית המשפיעה על מוצרי ManageEngine

הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) הוסיפה לקטלוג שהיא מתחזקת חולשה (CVE-2022-47966) שמקורה במוצר צד ג׳ שאינו נתמך עוד (Apache Santuario), ואשר עלולה לאפשר לתוקפים להריץ קוד מרחוק (RCE) על מוצרי ManageEngine פגיעים (ראה ״הסייבר״ 19.01.23). ה-CISA ממליצה לכל ארגון לפעול לטיפול בחולשות המנוצלות, על מנת לצמצם את חשיפתו לתקיפות סייבר. 

ה-FBI מדווח כי קבוצות תקיפה צפון קוריאניות עומדות מאחורי גניבת מטבעות קריפטו בסך כ-100 מיליון דולר מ-Harmony ביוני אשתקד

על פי הדיווח, מאחורי האירוע עומדות שתי קבוצות תקיפה מקוריאה הצפונית, Lazarus ו-APT38 (ראו ״הסייבר״, 11.8.23), אשר ב-13 בינואר השנה השתמשו בפרוטוקול Railgun להלבנת יותר מ-60 מיליון דולר ממטבעות ה-Ethereum שנגנבו מחברת הקריפטו, בעוד שיתרת המטבעות הומרה לביטקוין. לדברי לשכת החקירות הפדרלית (FBI), נראה שמטרתן העיקרית של גניבות והלבנות מטבעות קריפטו על ידי קוריאה הצפונית היא לתמוך במאמצי המדינה לייצר טילים בליסטיים ונשק להשמדה המונית.

בתוך כך, באוקטובר האחרון צוות קונפידס זיהה ובלם בהצלחה ניסיון תקיפה של Lazarus נגד חברה ישראלית העוסקת בתחום המטבעות הדיגיטליים (ראו ״הסייבר״, 10.11.22), כאשר קבוצת התקיפה יצרה קשר עם אחד מעובדי החברה דרך לינקדאין והזדהתה כשותפה של חברת השקעות סינית. משם עברה הקבוצה להתכתב עם הקורבן בטלגרם ושלחה אליו קובץ pdf זדוני, במסווה של מצגת. בפועל, הקובץ הריץ ברקע קוד זדוני שאפשר לתוקפים להשיג מידע על עמדת העובד. מערכות ההגנה של חברת קונפידס הצליחו לזהות את התהליכים שנוצרו ברקע כתוצאה מהרצת הקוד, וצוות ההגנה שלה החל בפעולות להכלת האירוע ולחסימת גישתו הבלתי מאושרת של התוקף.


ירידה דרסטית במספר קורבנות מתקפות הכופרה המסכימים לשלם לתוקפים דמי כופר

על פי רשומת בלוג חדשה של חברת Coveware, במהלך 4 השנים האחרונות ירדו באופן דרמטי שיעורי ההיענות לתשלום כופר, מ-85% מהקורבנות ברבעון הראשון של 2019 ל-37% מהקורבנות ברבעון הרביעי של 2022. בראייה שנתית, בעוד שבמהלך 2019 כ-76% מהקורבנות שילמו דמי כופר, השיעור צנח ל-41% ב-2022. אחד מהגורמים המרכזיים לירידה הניכרת הוא העלייה בכמות המשאבים שארגונים משקיעים בנושאי אבטחה ותכנון תגובה לאירועי סייבר, כאשר ההיערכות המוגברת למתקפות כופרה והקשחת נהלי האבטחה בארגונים מגיעות, בין היתר, על רקע סיקור מקיף של מתקפות מסוג זה ברחבי העולם. חברות בעלות יכולות הגנה עצמית גבוהות אינן נופלות קורבן למתקפות בתדירות גבוהה, וארגונים שבהם תהליכי התגובה מתורגלים היטב נוטים לחוות השפעה פחותה באופן משמעותי בעת מתקפת כופרה. נתונים אלה, לצד הימצאותם של גיבויים נגישים וזמינים למידע המוצפן על ידי גורם זדוני, מקלים על הסירוב לדרישות כופר. גורם נוסף שהביא לירידה בתשלומי הכופר הוא שינוי האסטרטגיה של רשויות החוק, כדוגמת לשכת החקירות הפדרלית (FBI), מהתמקדות במעצרים בלבד לשימת דגש רב יותר על סיוע לקורבנות מתקפות. לדברי Coveware, תמורה זו הובילה לשינוי משמעותי בתוצאותיהן של מתקפות כופרה. במחקר המלא שפורסם מופיעים נתונים הממחישים את כלל הגורמים שתרמו לירידה הניכרת בכמות מתקפות הכופרה המוצלחות.

 

חברת ODIN Intelligence נפרצה: נחשפו קבצים המכילים מידע רגיש על פעילות משטרתית

במהלך הפריצה דלפו משרת פנימי של החברה, העוסקת במתן פתרונות תוכנה לרשויות אכיפת חוק, קבצים המכילים תוכניות טקטיות מפורטות על פשיטות משטרה קרובות, דוחות עם מידע על פשעים וחשודים, לרבות תכולת מכשיר הטלפון של חשוד, ועוד. על פי הודעה שהשאירו התוקפים באתר החברה, היא נפרצה משום שמייסדה, אריק מקונלי, התעלם מדוח של האתר Wired, בו נחשף כי אפליקציית הדגל של החברה, SweepWizard, המשמשת כוחות משטרה לתיאום פשיטות עם סוכנויות אכיפת חוק נוספות, אינה בטוחה ועשויה להביא לחשיפת תוכניות משטרתיות. בתוך כך, קבוצת התקיפה פרסמה את מפתחות ה-SSH של שרתי החברה המאוחסנים ב-AWS של ODIN Intelligence, ולטענתה אף הורידה ממערכות החברה מידע בנפח כמה GB ושיתפה אותו ברשת. טרם התקבלה תקובתו של מקונלי לדיווחים, אך הוא יידע את היועץ המשפטי של מדינת קליפורניה בדבר הפריצה. אירוע זה מעלה שאלות קשות בנוגע לרמת אבטחת המידע של החברה ושל אלפי אנשים, לרבות קורבנות פשיעה וחשודים שטרם גובש נגדם כתב אישום, אשר מידע אודותם דלף לציבור. בשלב זה אין נתונים רבים על הקבוצה העומדת מאחורי האירוע או על אופן ביצוע התקיפה, אך על סמך כיתוב שהופיע באתר החברה בעת הפריצה נראה ששם הקבוצה הוא All Cyber-Cops Are Bastards. זאת ועוד, מסקירת המידע שדלף, לרבות קוד המקור של האפליקציה האמורה, נראה שהוא לא עבר הצפנה.

ClearSky חושפת שיטות סחיטה חדשות של קבוצות כופרה בניסיון לחלץ דמי כופר מקורבנותיהן, לרבות מנופי לחץ והפחדה של בעלי עניין

על פי הפרסום, קבוצות התקיפה המוכרות LockBit 3.0 ו-Lorenz נצפו משתמשות בשיטות חדשות נגד ארגונים המסרבים לשלם דמי כופר במסגרת תקיפות כופרה, לרבות פרסום המשא ומתן המתנהל בין הצדדים באתרי ההדלפות של הקבוצות, לצד מידע על הקורבן עצמו, ויצירת קשר טלפוני עם החברה המותקפת, כמנוף לחץ ואמצעי הפחדה. זאת ועוד, LockBit 3.0 העלתה בעמוד הנחיתה של קורבן פיצ'ר מוחשך בו היא מתריעה, תוך כדי המגעים עם הקורבן, שצ'אט המשא ומתן יתפרסם במידה ולא יועבר לידיה הכופר. במקרה של אי-היענות לדרישות, נפתחת האפשרות לקרוא את השיחה במלואה. בדוח המלא של ClearSky ניתן למצוא דוגמאות לשיחות מסוג זה שהודלפו.

סייבר בגופי בריאות

מחקר חושף עלייה בכמות הסיבוכים הרפואיים ובשיעורי התמותה בעקבות מתקפות סייבר על מגזר הבריאות

במחקר החדש, שעקב אחר האופן בו מגזר הבריאות ומטופליו הושפעו ממתקפות כופרה מאז 2021, נמצא, בין היתר, שישנן עלייה מתמדת במספר מתקפות הכופרה על המגזר, וכן עלייה במספר החולים עליהם משפיעות המתקפות ובמספר הסיבוכים הרפואיים ובשיעורי התמותה כתוצאה ממתקפות אלה. כותבי המחקר מדגישים את החשיבות שבכתיבת ויישום נהלי המשכיות עסקית בארגונים, בגיבוש מדיניות סדורה לביצוע הערכת סיכונים, ביצירת תוכנית אבטחת סייבר יעילה, בזיהוי פערי אבטחה ובתגובה מהירה למתקפות כופרה. עוד חשפו תוצאות המחקר כי ישנה עלייה במספר הארגונים המשלמים דמי כופר, כאשר בשנים האחרונות עלה ממוצע התשלום מ-282,675 דולר ל-352,541 דולר.

היועץ הבכיר להגנת סייבר של איגוד בתי החולים האמריקאי (AHA) מזהיר מפני כופרת Daixin

לאחר שלשכת החקירות הפדרלית (FBI), הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) ומחלקת הבריאות ושירותי האנוש של ארצות הברית (HHS) פרסמו מזכר משותף המזהיר מפני הכופרה, שמפעיליה מרבים לתקוף ארגונים אמריקאים ממגזר הבריאות (ראו ״הסייבר״, 24.11.22), כעת ג׳ון ריגי, היועץ הבכיר של ה-AHA לנושאי הגנת סייבר, שוחח בנושא עם גורמים מובילים במערכת הבריאות האמריקאית במהלך דיון שהתקיים באוניברסיטת קליפורניה. לדברי ריגי, כופרת Daixin מהווה סיכון משמעותי למגזר הבריאות ולמטופלים, בין היתר בשל היותה חמקמקה ומתקדמת מבחינה טכנולוגית, והוא הדגיש את החשיבות העליונה שבהטמעת אימות דו-שלבי (2FA) בגישה מרחוק למערכות ארגונים, בעיקר בתחומי התשתיות הקריטיות ובקרב גורמים בשרשראות אספקה. לדבריו, נהלי אבטחה בסיסיים שאותם קורא הבית הלבן ליישם, ואשר עלויותיהם נמוכות מאוד, עשויים למנוע חלק ניכר ממתקפות הכופרה. עוד הוסיף ריגי כי מטרתן של מתקפות אלה אינה רק להשיג גישה לנתוני מטופלים או לשבש את פעולות הארגון לצורך תשלום כופר, אלא גם לפגוע בקניין רוחני ולהשיג מידע על פיתוחים רפואיים, דבר שבא לידי ביטוי ביתר שאת בפעולות ״תוקפניות״ מצד ממשלת סין, אשר שואפת להוביל בתחומי הצבא, הבריאות והטכנולוגיה הרפואית עד 2049. 

מכיוון שתוקפים ממשיכים להשתמש בשיטות ותיקות המתבססות על ניצול חולשות במכשור רפואי ועל מתקפות פישינג, ריגי קרא לפעול לזירוז תהליכי התיקון של מכשירים רפואיים, ובד בבד הנחה כל גורם במגזר הבריאות ללמוד ממתקפות עבר שצלחו. במקביל, הוא הדגיש את החשיבות שבשילוב תוכניות ארגונים לתגובה לאירועי סייבר בתוכניות ההיערכות לשעת חירום וההתאוששות מאסון, לתוכניות ההמשכיות העסקית ולנהלי ההשבתה, והוסיף כי חשוב לתרגל את תכניות ההמשכיות ולכלול בהן השפעות צד ג׳, על מנת לקבוע נהלי השבתה במקרה של פגיעה בשרשרת האספקה. ״סיכון סייבר בתחום הבריאות אינו רק בעיית IT, אלא סוגייה המשפיעה על כלל תפקודו של הארגון,״ אמר. ״מעל לכל, הדבר משפיע על יכולת בתי החולים ומערכות הבריאות לספק טיפול לחולים, דבר המסכן את בטיחותם.״

על קורבנותיה הבולטים של Daixin נמנים המרכז הרפואי OakBend, שבספטמבר האחרון (ראו ״הסייבר״, 12.1.23) חווה השבתה בת שבועות וגניבה והדלפה של מידע אישי ורפואי של מטופלים משרתיו הפנימיים, בית החולים Fitzgibbon שבמיזורי, שביוני אשתקד חווה דלף של מידע אישי ורפואי של מטופלים (ראו ״הסייבר״, 12.1.23), וכן חברת התעופה המלזית AirAsia, שחוותה דלף מידע בחודש נובמבר (ראו ״הסייבר״, 24.11.22).

ענקית תיקי הבריאות האלקטרוניים NextGen חווה מתקפת כופרהNextGen Healthcare האמריקאית, המייצרת תוכנה ומערכות לרישום רפואי אלקטרוני בהיקף של מיליארדי דולרים עבור מאות בתי חולים ומרפאות בארצות הברית, בבריטניה, בהודו ובקנדה, מסרה כי היא מגיבה למתקפת סייבר, לאחר שב-17 בינואר קבוצת הכופרה ALPHV (הידועה גם כ-BlackCat) הוסיפה את שמה לרשימת קורבנותיה שבאתר ההדלפות שלה, לצד שני ארגונים נוספים; Fresh Del Monte ו-PharmaCare Services. מן החברה נמסר שהיא עובדת עם מומחי אבטחת סייבר לחקירה וטיפול באירוע. ״הכלנו מיד את האיום, אבטחנו את הרשת שלנו וחזרנו לפעילות רגילה," אמר דובר מטעם NextGen, והוסיף כי "טרם חשפנו ראיות כלשהן לגישה לנתוני לקוחות״.

ALPHV, האחראית על יותר מ-100 תקיפות מאז הופעתה בשנת 2021, תוקפת ארגונים בפרופיל גבוה, ובין היתר פרצה לרשתות של מכללות ואוניברסיטאות ברחבי ארצות הברית, של ענקית משחקי הווידאו היפנית Bandai Namco (ראו ״הסייבר״, 14.7.22), של חברת ייצור הצעצועים Jakks Pacific, של שתי חברות נפט גרמניות (ראו ״הסייבר״, 3.2.22) ושל מותג האופנה האיטלקי Moncler (ראו ״הסייבר״, 20.1.22). בשנה שעברה דיווחה לשכת החקירות הפדרלית (FBI) כי ALPHV היא הכופרה הראשונה שהצליחה להשתמש ב-Rust, שפת תכנות הנחשבת בעיני רבים למאובטחת ביותר. "שחקני איום הקשורים ל-BlackCat מבקשים, לרוב, תשלומי כופר בסך כמה מיליוני דולרים בביטקוין וב-Monero, אך בפועל הם קיבלו תשלומי כופר הנמוכים מסכום הדרישה הראשונית שלהם," נמסר מטעם ה-FBI. עוד נאמר כי "רבים מהמפתחים וממלביני ההון של BlackCat/ALPHV מקושרים ל-DarkSide/BlackMatter, מה שמצביע על כך שיש להם רשתות נרחבות וניסיון בפעולות כופרה".


קליפורניה: בית החולים St. Rose מודיע למטופליו כי איתר גישה בלתי מורשית למערכותיו; דיווחים על משא ומתן כושל עם התוקפים 

בית החולים שבהייווארד, קליפורניה, הודיע למטופליו שב-29 בנובמבר אותרה במערכות המחשוב שלו פעילות חשודה, שבעקבותיה פתח בחקירה שממנה עלה כי גורמים בלתי מורשים השיגו גישה לרשת הארגון ולמידע אישי של מטופלים, לרבות שמות, מספרי תעודות זהות, תאריכי לידה, כתובות מייל וכתובות מגורים. טרם פורסם מספרם של המטופלים שמידע אישי שלהם נחשף, ולמרות שבית החולים מצהיר כי אינו מודע לשימוש לרעה בנתונים, האתר DataBreaches מדווח כי קבוצת הכופרה BianLian פרסמה מידע שהשיגה ממערכות המוסד. עוד דווח כי התנהל בין הצדדים משא ומתן שעלה על שרטון, למרות שהוצעה ״הנחה ענקית״ בדמי הכופר.

אלבמה: 301 חולשות קריטיות התגלו בביקורת אבטחת מידע במרכז הרפואי של המחלקה האמריקאית לענייני ותיקים

הממצאים עלו בביקורת שנתית שהזמין משרד המפקח הכללי של המרכז הרפואי (OIG) שבעיר טסקלוסה על תוכנית ונהלי אבטחת המידע של המוסד, במטרה לוודא ציות לחוק הפדרלי למודרניזציה של אבטחת מידע (FISMA) מ-2014. הביקורות האמורות במתקני הארגון, המבוצעות בהתאם להנחיות המכון הלאומי לתקנים וטכנולוגיה (NIST), החלו ב-2020 ביוזמת משרד המפקח הכללי של הארגון, והן נערכות במתקנים שנבחרו לצורך מדגם שנתי או בכאלה שהפגינו בעבר ביצועים נמוכים בתחום. בביקורת האחרונה נמצאו ליקויים בבקרות ניהול האבטחה, הקונפיגורציה (ניהול חולשות, עדכוני מערכת, פגמים בתוכנות וסריקות מסדי נתונים), הגישה (סגמנטציית הרשת, למשל) ושמירת הטמפרטורה, ובכן בניהול וניטור לוגים. בין היתר, נמצא כי חולשות שהתגלו בעבר לא טופלו כראוי. בסיום הביקורת הגיש ה-OIG את ההמלצות הבאות: 

  1. להטמיע תהליך אפקטיבי לניהול חולשות, על מנת לטפל באלה שזוהו במהלך הבדיקה.

  2. לוודא את תיקון החולשות בתוך מסגרות זמן שנקבעו.

  3. לוודא שכל מסדי הנתונים במתקן נסרקים מדי פרק זמן קבוע.

  4. להטמיע מנגנונים משופרים על מנת להבטיח את עדכניותן של תוכניות הפעולה הרלוונטיות לכלל סיכוני האבטחה.

  5. לוודא שרשתות הכוללות ציוד רפואי מחולקות לתת-רשתות, לצורך הפחתת סיכונים.

  6. להטמיע יכולת לשמירת לוגים של מסד הנתונים עבור תיעוד וניתוח.

  7. לוודא שבחדרי תקשורת הכוללים ציוד תשתית קיימים בקרי טמפרטורה.

אילינוי: בית החולים St. Margaret’s Health מודיע על סגירתו הזמנית בעקבות קשיים כלכליים שנגרמו, בין היתר, ממתקפת סייבר

לדברי המרכז הרפואי, סגירתו החל מהשבוע הבא תגרום לצמצום אספקת שירותי הבריאות במחוז עמק אילינוי, המונה כ-10,000 אנשים. במכתב שהפיץ שבית החולים לעובדיו נטען כי הוא אינו מצליח למצוא מקור מימון חדש לפעילותו, כשאת אחד הגורמים למצוקה הוא תולה במתקפת הסייבר שחווה לפני כשנה. לדברי הארגון, מתקפה זו בצירוף מחסור חמור בכוח אדם אילצו אותו לשכור עובדי קבלן בעלות גבוהה, דבר שהסתכם בקשיים כלכליים חמורים. ראש העיר פרו, בה מצוי בית החולים, הביע דאגה רבה לבריאותם של התושבים עם השבתת פעילות המוסד.

סייבר בישראל

 

דוח של הרשות להגנת הפרטיות: רמת הגנת המידע בבתי אבות ובהוסטלים בישראל אינה מספקת

הדוח, העוסק ב״פיקוח רוחב בבתי אבות והוסטלים״, מבוסס על ממצאים שעלו מבדיקתם של 31 מוסדות, לפי ארבעה קריטריונים של הגנת הפרטיות: בקרה ארגונית, ניהול מאגרי מידע, אבטחת מידע ושימוש בשירותי מיקור חוץ, כאשר הממצאים השליליים בלטו במיוחד בתחומי השימוש בשירותי מיקור חוץ והבקרה הארגונית. מכיוון שבתי אבות והוסטלים עוסקים בעיקר במתן שירותי סיעוד וטיפול, עליהם להחזיק במידע רפואי אישי של האוכלוסייה המטופלת, ולאחסנו באופן העומד ברגולציות הרלוונטיות. סיכום הממצאים:

  1. רק 16% מהגופים עמדו בקריטריוני הבקרה הארגונית.

  2. רק 23% מהגופים הפגינו רמה גבוהה של עמידה בדרישות אבטחת המידע.

  3. ב-97% מהגופים נהלי אבטחת המידע לא כללו את כל הדרישות המתחייבות מהתקנות.

  4. ב-74% מהגופים לא נמצא תיעוד אודות הדרכות בנושא פרטיות מידע לעובדים בעלי גישה למאגרי מידע או למערכות המאגר.

  5. ב-84% מהגופים לא גובש נוהל עבודה סדור לטיפול באירועי אבטחת מידע.

  6. ב-74% מהגופים לא נקבע בנוהל האבטחה כי יש לגשת למאגרי המידע באמצעות שימוש בסיסמאות חזקות.

סייבר ופרטיות - רגולציה ותקינה

 

משרד האוצר האמריקאי הטיל סנקציות על המטבע הווירטואלי Bitzlato ששימש להלבנת כספים 

הרשות לאכיפת פשעים פיננסיים (FinCEN) במחלקת האוצר של ארצות הברית (USDT) הוציאה צו המזהה באופן רשמי את בורסת המטבעות הוירטואליים Bitzlato כ"דאגה עיקרית בנוגע להלבנת הון" בהקשר של מימון רוסי שאינו חוקי. פושעי סייבר מרבים להשתמש במטבעות וירטואליים להלבנת כספים ולטשטוש הכנסותיהם מפעילות סייבר בלתי חוקית, וזו אינה הפעם הראשונה בה ה-USDT מגיב לכך בהטלת סנקציות (ראו ״הסייבר״, 11.08.22). על פי המשרד, Bitzlato אפשרה ביצוע עסקאות של קבוצות כופרה המזוהות עם רוסיה, לרבות Conti, קבוצת ״כופרה כשירות״ (Ransomware-as-a-Service או RaaS) העומדת בקשרים עם הממשל הרוסי ועם שווקים ברשת האפלה המזוהים עם רוסיה. עוד נטען כי בין השנים 2019 ל-2021 קיבלה Bitzlato כמעט חצי מיליארד דולר מפעילות בלתי חוקית, דבר שהיווה כמעט 50% מכלל עסקאותיה באותה תקופה. במסיבת עיתונאים אמר סגן שר האוצר האמריקאי וולי אדיימו כי ״בתקופה שבה רוסיה מנהלת מלחמה אכזרית ולא צודקת באוקראינה, וכאשר היא מבקשת לעקוף סנקציות ובקרות שלטוניות כדי למלא את קופתה ולתמוך באלימות שלה, איננו סובלניים כלפי ארגוניים פליליים המעשירים את האינטרסים הזדוניים של רוסיה״. לדבריו, Bitzlato מאיימת על ביטחונה הלאומי של ארצות הברית, על שלמות המגזרים הפיננסיים האמריקאיים והבינלאומיים ועל עסקים ומוסדות ברחבי העולם, ועל כן ה-USDT יאסור על העברת כספים ל-Bitzlato או ממנה, או מכל חשבון או ארנק המקושרים אליה. בכך מבקש המשרד להעביר מסר כי יפעל נגד כל ארגון פיננסי המספק שירותי נכסים וירטואליים ומתאפיין בבקרות רופפות בנוגע להלבנת הון, למימון טרור או למימון בלתי חוקי אחר.

"רשות ניירות ערך" מעדכנת את גילוי הדעת בנושא סייבר: חברות בישראל חייבות לתגבר משמעותית את אמצעיהן לניהול סיכוני סייבר

העדכון שפרסמה הרשות ב-25 בינואר לגילוי הדעת שהופץ לראשונה באוקטובר 2018 נובע, בין היתר, מביקורת שערך הארגון בקרב כ-70 גופים מפוקחים ("תאגידים מדווחים") במהלך 2022, במטרה לבחון בקרבם תהליכי גילוי ודיווח על סיכוני סייבר. על סמך הממצאים, הרשות קבעה 4 תחומים שבהם מחויבות חברות להקפיד על עמידה בדרישות חדשות: הגברת מעורבות הדירקטוריון בניהול סיכוני סייבר (למשל, על ידי קבלת דיווחים תקופתיים על מצב הגנת הסייבר בחברה וקיום דיונים בנושא), הערכה וניהול של סיכוני סייבר לפי מתודולוגיה סדורה ושיתוף ההערכות עם הדירקטוריון, גילוי נאות בנוגע לסיכוני סייבר אליהם חשופה החברה והיערכות מוקדמת למתקפות סייבר, לרבות גיבוש נהלי אבטחת מידע, הטמעת תהליכי עבודה מוסדרים מראש לטיפול באירוע ודיווח על אירועי סייבר "משמעותיים" לציבור המשקיעים. 

דוח חדש של ״הפורום הכלכלי העולמי״ (WEF) בנושא סייבר: קיימת הסכמה על כך שרגולציה ממזערת סיכונים

בדוח החדש של ה-WEF, שהתפרסם בסמוך לסיומו של הכנס השנתי של הארגון, אשר התקיים בדאבוס שבשווייץ, מוצגים ממצאי מחקר שנערך במהלך 2022 בנוגע להיבטים שונים של הגנת ואבטחת מידע ושל ניהול סיכוני סייבר במישור הגלובלי. בשונה מממצאי הדוח שפורסם אשתקד, המחקר הנוכחי - שנערך בקרב 117 אנשי עסקים ואנשי מקצוע בתחום מ-32 מדינות שונות - מעלה כי משתתפי הסקר רואים ברגולציה בתחומי הגנת הסייבר ופרטיות המידע אמצעי יעיל להפחתת סיכוני סייבר. מחברי הדוח מעריכים כי "חקיקה בנושאי הגנת סייבר הפכה לגורם בולט יותר בתחום הציות ובשיחות ברמת הדירקטוריון באזורים רבים [בעולם]. למרות האתגרים הקשורים לציות, אנשי סייבר מכירים בכך שרגולציה מעודדת [נקיטת אמצעים להגנת סייבר ופרטיות]." להלן טבלה המציגה את מדרג ההסכמה של הנשאלים בדבר האפקטיביות של רגולציית סייבר והגנת פרטיות:  

(מקור: דוח הפורום הכלכלי העולמי,  Global Cybersecurity Outlook, ינואר 2023)

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.

 
bottom of page