WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 27.01.2022

עיקרי הדברים

  1. מיקרוסופט מזהירה: חבילת האפליקציות Office 365 מנוצלת לקמפיין פישינג המכוון נגד מאות ארגונים ברחבי העולם.

  2. אינדונזיה: הבנק הלאומי הותקף בכופרה על ידי קבוצת התקיפה Conti.

  3. בלארוס: אקטיביסטים ביצעו מתקפת כופרה נגד מערכת הרכבות במדינה ובמקום כסף - דרשו שחרור אסירים. 

  4. ארה״ב: המשרד לביטחון המולדת מזהיר מפני תקיפות סייבר שמקורן ברוסיה. אוקראינה: נתונים חדשים (בהמשך לדיווח משבוע שעבר) אודות תקיפת משרדי הממשלה וחברות באמצעות נוזקת WhisperGate. 

  5. אנו ממליצים לעדכן את המוצרים הבאים: מוצרי F5 (קריטי); מוצרי Apple (גבוה); פלטפורמת Drupal (גבוה); McAfee Agent (גבוה); ליבת Linux (גבוה). 

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני אבטחה ל-Drupal נותנים מענה לחולשות ברמת חומרה גבוהה
עדכון אבטחה לסוכן של McAfee נותן מענה לשתי חולשות ברמת חומרה גבוהה
עדכון אבטחה למוצרי F5 נותן מענה לעשרות חולשות
דלתות אחוריות התגלו ב-Add-ons מוכרים ב-WordPress
מיקרוסופט: בגרסה החדשה של Excel תנוטרל הרצת קוד מאקרו כברירת מחדל
חולשה חדשה ברמת חומרה גבוהה אותרה בליבה (Kernel) של Linux
עדכוני אבטחה למגוון מוצרים של Apple נותנים מענה לחולשות ברמת חומרה גבוהה

התקפות ואיומים

קבוצת תקיפה סינית פרסמה Rootkit חדש המכונה MoonBounce
נחשפה חנות למכירת פרטי גישה לאתרים
קמפיין פישינג שולח מיילים זדוניים מטעם חברת הספנות Maersk
מתקפת ריגול חדשה של קבוצת התקיפה Molerats מתמקדת במשתמשים במזרח התיכון
האתר Open Subtitles נפרץ ושילם דמי כופר לתוקף
חברת האבטחה Detectify מנעה חטיפת DNS פשוטה
Check Point חושפת שיטת גניבה חדשה ממשקיעים בעולם הקריפטו
פגם ברכיב השליטה Polkit מאפשר קבלת הרשאות Root במערכות Linux ודמויות Unix
שימוש ב-VPN בימי קורונה: ההשלכות והפתרון
חוקרי Proofpoint גילו מכווץ נוזקות חדש
אתר של תחנת רדיו הונג קונגית נפרץ והפיץ נוזקה התוקפת את מערכת ההפעלה macOS
חבילת האפליקציות Office 365 מנוצלת לקמפיין פישינג המכוון נגד מאות ארגונים ברחבי העולם
נוזקה חדשה הכתובה בשפת Golang התגלתה על ידי חוקרי מעבדות ​​AT&T Alien

השבוע בכופרה

אינדונזיה: הבנק הלאומי הותקף בכופרה על ידי קבוצת התקיפה Conti
חברת אבטחת המידע Mandiant מנתחת את כופרות AVADDON
יפן: בית חולים נאלץ להפסיק את פעילותו למשך חודשיים בעקבות מתקפת כופרה
התוכנה הזדונית TrickBot משתמשת בטכניקה חדשה להזרקת קוד לאתרי אינטרנט
Ragnar Locker תוקפת בכופרה את Airspan הישראלית-בריטית ומדליפה מסמכים רגישים

סייבר בישראל

2021 שוברת שיאים: 8.8 מיליארד דולר גויסו לתעשיית הסייבר הישראלית
מערך הסייבר הלאומי מציג: מילון מונחי סייבר לאזרח

סייבר בעולם

קנדה: מרכז הסייבר קורא להעלאת מודעות ולנקיטת אמצעים כנגד איומי סייבר

עוד בקנדה: משרד החוץ חווה מתקפת סייבר
ממשלת בריטניה מפרסמת כלי חדש לסריקת חולשות
ה-NSA ממליצה על קונפיגורציות אבטחה ל-Adobe Acrobat Reader
חברת הסייבר Proofpoint מצטרפת לקואליציה הלאומית לאבטחת טכנולוגיה
אוקראינה: נתונים חדשים אודות תקיפת משרדי הממשלה וחברות באמצעות נוזקת WhisperGate
בלארוס: אקטיביסטים ביצעו מתקפת כופרה נגד מערכת הרכבות במדינה ובמקום כסף - דרשו שחרור אסירים
2021: עלייה של 35% בנוזקות המתמקדות ב-Linux
כופרה חדשה של LockBit משמשת לתקיפת VMware ESXi ו-Linux
ארה״ב: המשרד לביטחון המולדת מזהיר מפני תקיפות סייבר שמקורן ברוסיה
מטבעות קריפטו: היורופול מנתח את האבולוציה של הפשיעה הפיננסית בתחום
ביזור פיננסי משחק תפקיד משמעותי בהלבנת כספים
מרכז לחוסן במרחב הסייבר יוקם בנמל לוס אנג׳לס

סייבר ופרטיות - רגולציה ותקינה

הפרלמנט של האיחוד האירופי מאמץ גרסה מעודכנת של הצעת החוק בנוגע לשירותים דיגיטליים
התזכיר הנשיאותי לקידום הגנת סייבר מוגברת של רשויות פדרליות ביטחוניות: הרחבת סמכויות הסייבר של הסוכנות לביטחון הלאומי
הצעת חוק לתיקון מס' 14 חוק הגנת הפרטיות עברה בקריאה ראשונה
הרשויות ברוסיה עצרו 4 חשודים המבוקשים בארה״ב בגין פשעי סייבר
הרשות להגנת הפרטיות משיקה סדרה של לומדות לטובת העלאת המודעות הציבורית לנושא
הוועדה לניירות ערך ובורסות של ארה״ב שוקלת החלת כללי הגנת סייבר על ספקי צד ג'
הצעת חוק חדשה בסנאט האמריקאי מקדמת הטלת חובות בתחום הגנת הסייבר על מערכות לוויין

סייבר וביטוח

פס"ד לטובת Merck: חברות ביטוח אינן יכולות להחריג מתקפות סייבר כ"מעשי מלחמה" באופן גורף  

כנסים

 
 

הציטוט השבועי

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכוני אבטחה ל-Drupal נותנים מענה לחולשות ברמת חומרה גבוהה

העדכון סוגר חולשות העלולות לאפשר לתוקף לבצע מתקפות מסוג XSS ולהשיג שליטה על מערכת פגיעה. העדכון רלוונטי לגרסאות המוצר הבאות:
Drupal 9.3 - כל הגרסאות הקודמות לגרסה 9.3.3

Drupal 9.2 - כל הגרסאות הקודמות לגרסה 9.2.11

Drupal 7 - כל הגרסאות הקודמות לגרסה 7.86

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה ולעקוב אחר עדכוני אבטחה נוספים שיפרסם היצרן.

עדכון אבטחה לסוכן של McAfee נותן מענה לשתי חולשות ברמת חומרה גבוהה

ניצול החולשות (CVSS 6.9-7.8) עשוי לאפשר לתוקף להזריק קוד מרחוק ולקבל הרשאות גבוהה בעמדת הקורבן.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה, MA 5.7.5.

עדכון אבטחה למוצרי F5 נותן מענה לעשרות חולשות

העדכון הראשון של חברת ציוד התקשורת לשנת 2022 סוגר חולשות במוצרים NGINX ,F5 BIG-IP ואחרים, בין החמורות שבהן חולשה (CVE-2022-23008, CVSS 8.7) המאפשרת הזרקת קוד מרחוק ללא הזדהות, וחולשה אחרת (CVE-2022-23009, CVSS 8.0) המאפשרת למשתמש בעל הרשאות אדמין שהתחבר למערכת בצורה לגיטימית לדלג בין מערכות ניהול בסביבת F5 BIG-IQ גם ללא הרשאות למערכות אליהן הוא עובר.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסתם האחרונה.

דלתות אחוריות התגלו ב-Add-ons מוכרים ב-WordPress

ה-Backdoors נמצאו על ידי חוקרי אבטחת מידע מחברת Jetpack ברבים מה-Add-ons של חברת AccessPress. תחילה, בניתוח של Add-on ספציפי המכונה Access Keys התגלתה דלת אחורית (CVE-2021-24867) כחלק מקוד ה-Add-on עצמו. בבדיקה שערכו החוקרים לאחר מכן התגלה כי הקוד מצוי ברוב ה-Plugins וה-Themes של אותה חברה, ומופיע כחלק מה-Add-ons המורדים ישירות מאתרה, כלומר הקוד אינו קיים כאשר מבצעים את ההורדה דרך ה-Add-ons של WordPress. מבירור שנערך מול הספק ו-WordPress נחשף כי AccessPress נפרצה במהלך המחצית השנייה של ספטמבר 2021, וכי התוקפים טמנו את הקוד הזדוני בכל ה-Add-ons שהופיעו באתרה. עם גילוי הדבר, AccessPress הסירה מידית את אפשרות ההורדה של ה-Add-ons הנגועים.

צוות קונפידס ממליץ למשתמשי WordPress לבדוק ולוודא שאינם עושים שימוש באחד מה-Plugins המופיעים בקישור זה.

מיקרוסופט: בגרסה החדשה של Excel תנוטרל הרצת קוד מאקרו כברירת מחדל 

החל מגרסה 4.0 של התוכנה,  משתמשים שבכל זאת יבקשו להריץ את הקוד יצטרכו להפעילו באופן ידני. הגדרה זו נועדה להגן על משתמשי תוכנת ה-Excel, שעד כה היו חשופים לתקיפות רבות בהן נעשה שימוש בקבצים שהכילו קוד מאקרו זדוני אשר הורץ כברירת מחדל על עמדת הקורבן.

חולשה חדשה ברמת חומרה גבוהה אותרה בליבה (Kernel) של Linux

החולשה (CVE-2022-0185), שנמצאה על ידי החוקרים וויליאם ליו וג׳יימי היל-דניאל, רלוונטית לגרסה 5.1 של מערכת ההפעלה ועלולה לאפשר לתוקף לבצע מתקפת מניעת שירות (DDoS) על ידי הקרסת מערכת ההפעלה, או להריץ קוד זדוני מרחוק. ניתן לבצע מיטיגציה לחולשה על ידי עדכון ליבת המוצר לגרסה 5.2 או על ידי הרצת הפקודה הבאה:

sysctl -w kernel.unprivileged_userns_clone = 0 

צוות קונפידס ממליץ למשתמשי גרסה 5.1 של Linux לבצע את פעולות המיטיגציה בהקדם.

עדכוני אבטחה למגוון מוצרים של Apple נותנים מענה לחולשות ברמת חומרה גבוהה

העדכונים נותנים מענה למספר רב של חולשות אשר, בין היתר, עלולות לאפשר לתוקף להריץ קוד מרחוק עם הרשאות גבוהות, לגשת למידע המצוי בעמדת הקורבן ולהתקין עליה באגים הגורמים ל-Buffer Overflow. העדכונים זמינים עבור המערכות הבאות:
Safari 15.3 עבור macOS Big Sur ו-macOS Catalina
macOS Catalina ,macOS Big Sur ו-macOS Monterey
Apple TV 4K ו-HD
iOS 15.3 ו-iPadOS 15.3
watchOS 8.4
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.

התקפות ואיומים

קבוצת תקיפה סינית פרסמה Rootkit חדש המכונה MoonBounce

חוקרים מחברת Kaspersky זיהו בסוף השנה את נוזקת ה-Rootkit, המתבייתת על ה-UEFI במחשב. נוזקות מסוג זה הינן תופעה חדשה ונדירה מאוד, אשר תועדה לראשונה ב-2018, במקרה של נוזקת LoJax. הנוזקה החדשה פועלת מתוך זיכרון ה-SPI שמולחם אל לוח האם, ממנו נטענת בדרך כלל קושחת המחשב. מאחר והנוזקה נמצאת כה קרוב ללוח האם ומופעלת עם כל הפעלה של המחשב, כמעט בלתי אפשרי להיפטר ממנה, ואפילו החלפת הכונן הקשיח והתקנה מחדש של מערכת ההפעלה יהיו חסרות תועלת. MoonBounce מצליחה לשנות את רצף הפעולות המתרחשות בעת הפעלת המחשב ולהכניס בין שלבי ההפעלה את פעולות הנוזקה, אשר פונה אל כתובת של שרת C&C המקודדת בה. מכתובת זו מורידה MoonBounce את שאר חלקי הנוזקה, או נוזקות אחרות. זאת ועוד, מכיוון ש-MoonBounce פועלת מתוך זיכרון המחשב ותוקפת כמעט מבלי להותיר עקבות, קשה מאוד להתחקות אחריה. נכון לשעה זו טרם התברר לחוקרים כיצד ה-UEFI נדבק בנוזקה, אך ניתן להתמגן מפני נוזקות כמו MoonBounce על ידי עדכון תדיר של קושחת ה-UEFI ובאמצעות הפעלה של מערכות הגנה כמו Boot Guard.

נחשפה חנות למכירת פרטי גישה לאתרים

מגזין אבטחת המידע Krebs on Security חשף את החנות, המכונה Accountz Club, בה מוצעים לעברייני סייבר מוצרים רבים, בהם גם פרטי כרטיסי אשראי גנובים, זהויות גנובות ושירותי ספאם. לדברי בעלי החנות, למרות שכרגע מלאי פרטי הגישה שבידיהם נמוך, הם פועלים במרץ להגדלתו ולהרחבת מגוון השירותים שיוצעו ללקוחותיהם.

קמפיין פישינג שולח מיילים זדוניים מטעם חברת הספנות Maersk

המיילים שנשלחים במסגרת הקמפיין מכילים, לכאורה, מידע אודות משלוח, שינויים בשעות ההובלה או הודעות לגבי תשלום נדרש, שנראות זהות להודעות לגיטימיות שהחברה שולחת. למרות שהמיילים עושים שימוש בשם החברה, כתובת המייל בה נעשה שימוש שונה מהדומיין של Maersk. הקמפיין כולל שימוש בנוזקה הטרויאנית STRRAT, המאפשרת גישה והשתלטות מרחוק על עמדת הקורבן, איסוף סיסמאות מדפדפנים וממוצרי מייל ואגירת הקשות המקלדת של המשתמש. בקמפיינים ישנים של הנוזקה, שנצפו עוד באמצע 2020, נעשה שימוש בקובץ Dropper - קובץ Excel המכיל מאקרו, שבעת פתיחתו מורד ה-Payload הסופי של המתקפה. ואולם, בקמפיין הנוכחי מצורפים למיילים קבצי ZIP שכבר מכילים את ה-Payload הסופי. ביצוע Unzipping לתיקייה חושף קובץ בעל הסיומת ״jar.״, שבעת פתיחתו באמצעות Jar Explorer מורצת הנוזקה. הנוזקה שומרת על Persistence בעמדת קורבן על ידי הוספה ושינוי ערכים בקבצי ה-Registry ב-Windows, כך שתופעל בעת העלאת המחשב. אחת מהטכניקות בהן משתמשת STRRAT היא שינוי הסיומות של קבצי הקורבן שנמצאים בתיקיות הבית ל-"crimson.", ככל הנראה על מנת ליצור את הרושם שהקבצים הוצפנו במהלך מתקפת כופר. בפועל, לעומת זאת, לא מתבצעת כל הצפנה ולא מופיעה כל דרישת כופר. ניתן לשער כי פעולה זו נעשית לשם הפחדה או הסחת הדעת ממטרתה האמיתית של הנוזקה.

מתקפת ריגול חדשה של קבוצת התקיפה Molerats מתמקדת במשתמשים במזרח התיכון

בדצמבר האחרון גילה צוות המחקר של ThreatLabz קבצי MS Office שהכילו קוד  מאקרו זדוני והועלו למאגרי מידע כמו VirusTotal ממדינות במזרח התיכון. הקבצים הוסוו ככאלה השייכים לסכסוך הישראל-פלסטיני, דבר המאפיין את פעולותיה של Molerats, קבוצה המונעת ממניעים פוליטיים ומורכבת מדוברי ערבית, שנצפתה לראשונה ב-2012. בקמפיין הנוכחי, שלדברי החוקרים החל כבר ביולי אשתקד, התוקפים השתמשו בפלטפורמות ענן כגון Dropbox ו-Google Drive כתשתית לתקיפותיהם. קורבנות הקמפיין הם בעיקר אנשי מפתח במגזר הבנקאות הפלסטיני, אנשים בעלי זיקה למפלגות פוליטיות פלסטיניות ופעילי זכויות אדם ועיתונאים בטורקיה. 

                           (מקור: Zscaler, מתאריך ה-20.1.22)

האתר Open Subtitles נפרץ ושילם דמי כופר לתוקף

מאגר הכתוביות הגדול בעולם הודיע כי באוגוסט אשתקד קיבל פנייה בטלגרם מתוקף שטען, ואף הציג הוכחות, לכך שביכולתו לגשת לטבלת ה-Users במאגר ה-SQL של אתר החברה, על ידי ניצול חולשת SQL Injection. לאחר שהתוקף הזליג מהטבלה שמות משתמשים, מיילים וסיסמאות, הוא דרש תשלום בביטקוין בתמורה למחיקת המידע שברשותו. לדברי Open Subtitles, האתר הוקם בשנת 2006 עם מעט מאוד ידע באבטחת מידע, ובמאגריו נשמרו סיסמאות בקידוד MD5 ללא Salting. פירוש הדבר הוא שמשתמשים שבחרו בסיסמאות ארוכות (בנות 10 תווים לפחות) שכללו אותיות גדולות, אותיות קטנות, מספרים ותווים מיוחדים - היו מוגנים, להבדיל ממרבית המשתמשים, שבחרו בסיסמאות קלות לפענוח. עוד הוסיפו בעלי האתר כי פרטי כרטיסי אשראי אינם נשמרים במאגרי המידע של החברה, ואף הצהירו ששילמו לתוקף, אשר בתמורה הציג בפניהם הוכחה לכך שמחק את כל המידע שהצליח להדליף מהאתר. לאחר מכן סייע התוקף לסגירת החולשה שניצל. התקיפה התאפשרה עקב שימוש בסיסמה חלשה במשתמש SuperAdmin וגישה של התוקף לסקריפט שהיה נגיש רק למשתמשים פריבילגיים, אשר באמצעותו התאפשר ביצוע המתקפה. החברה ממליצה למשתמשי האתר לשנות את סיסמאותיהם, ובמידה ונעשה שימוש באותה סיסמה באתרים אחרים - לשנותה בכל פלטפורמה רלוונטית.

חברת האבטחה Detectify מנעה חטיפת DNS פשוטה

ברשומת בלוג טכנית ומפורטת שפרסמה השבוע החברה מוסבר כיצד עובדת התקפת DNS Hijacking ומסופקת דוגמה לאופן בו זיהתה Detectify מתקפה אפשרית על מדינה ריבונית. שירות DNS מאפשר לתרגם כתובות IP איתן המחשב מתקשר לכתובות שמיות, כדי שאדם מן השורה יוכל לעבוד ברשת בצורה קלה יותר. כחלק מפרוטוקול ה-DNS, רוכשי השירות משתמשים בדומיינים ככתובות שאליהן ניתן לגלוש באינטרנט ואשר רשומות תחת Zone מסוים שהוא ה-Top Level Domain. למשל, במקרה של Konfidas.com, קונפידנס הוא הדומיין שנמצא תחת ה-Top Level Domain הידוע ״com.". גם לדומיין וגם ל-Zone, או לאזור, יש תוקף: בעל הדומיין רוכש את זכות השימוש בו לתקופה מסוימת, שבסיומה תהיה לו הזכות להמשיך את השימוש בדומיין. אם יבחר שלא לחדשו, שם הדומיין יועמד למכירה מחדש. במקרה שנתנה Detectify כדוגמה, מדינת קונגו, המחזיקה באזור "cd.", לא זיהתה כי זכותה להשתמש בו עומדת לפוג. החברה, אשר זיהתה זאת, דיווחה על כך לרשויות הקונגולזיות ובכך מנעה חטיפת DNS.

Check Point חושפת שיטת גניבה חדשה ממשקיעים בעולם הקריפטו 

ממחקר שביצעה החברה עולה כי סקאמרים אימצו שיטת גניבה חדשה המתבססת על יצירת חוזים חכמים, שהינם קוד ייעודי הכתוב בשפת Solidity. כל מטבע חכם מסוג Etherium מבוסס על חוזים חכמים, כאשר הקוד עצמו מוטמע ברשת הבלוקצ׳יין וכל אדם יכול לצפות בו. אלא שהחוזים החכמים שהסקאמרים מקימים כוללים את האפשרות לשנות את עמלת החיוב עבור השימוש בחוזה באופן שמקשה על המשתמש לגלות שבוצע בה שינוי. כך, למעשה, הסקאמרים מפרסמים במדיה החברתית ״מטבע דיגיטלי עם עתיד מזהיר״, ולאחר שהמשתמשים מתחילים להשקיע בו - הם משנים את עמלת הגביה של המטבע ל-99%. כתוצאה מכך מתרסק ערך המטבע והנוכלים גונבים את כספי המשקיעים.

פגם ברכיב השליטה Polkit מאפשר קבלת הרשאות Root במערכות Linux ודמויות Unix

חולשת אבטחה (CVE-2021-4034) הקיימת מזה 12 שנים נחשפה לאחרונה ברכיב pkexec, המהווה חלק משמעותי בתוסף Polkit שמותקן כברירת מחדל בכל הפצת Linux מוכרת, כגון CentOS ,Debian ,Ubunti ו-Fedora. החולשה מאפשרת לכל משתמש חסר הרשאות לקבל הרשאות Root מלאות ל-Host החשוף לה (הרשאות Root הן הרשאות גבוהות המאפשרות גישה לכל הפקודות והתיקיות במערכות ההפעלה הפגיעות). החולשה, המכונה PwnKit, קיימת בכל גרסאות התוסף החל משנת 2009. מערך הסייבר הלאומי פרסם התראה מפני החולשה וממליץ לבעלי המוצר לבצע עדכוני תוכנה בהקדם האפשרי.

שימוש ב-VPN בימי קורונה: ההשלכות והפתרון

בעקבות מגפת הקורונה נוצר מצב מורכב, שהתבטא בצורך מידי לחבר עובדים לרשתות הארגוניות על מנת לאפשר עבודה מהבית. הפתרון המהיר לבעיה היה שימוש ב-VPN, שבמקור נועד לחבר מרחוק אל הרשת הארגונית כמות קטנה של מחשבי הארגון, ולא תוכנן לחיבור מחשבים אישיים של עובדים הניגשים לרשת הארגונית ולאפליקציות בענן. אי לכך, פתרון זה אינו נותן מענה נכון ומאובטח לשימושים הנעשים בו כיום, בין היתר משום שגישת עובדים לרשת הארגונית באמצעות מחשבים אישיים, שאליהם אין לצוות ה-IT הארגוני גישה, מערפלת את מצב האבטחה של העמדה, של התוכנות המותקנות בה ושל הרשת. כתוצאה מכך, משטח התקיפה גדל. בעיה נוספת היא שחיבור ל-VPN מעניק לעובד גישה לכל משאבי הרשת, ללא הגבלה. לכן, למשל, במקרה בו פרטי המשתמש נגנבים, הנזק הפוטנציאלי גדול מאוד. זאת ועוד, השימוש ב-VPN כולל העברת תקשורת דרך תעלה, מה שמאט את קצב העברת הנתונים מנקודה לנקודה ומעכב את שגרת העבודה. הפתרון המוצע במאמר לבעיות העולות מהשימוש המאסיבי ב-VPN הוא הטמעת מבנה מסוג ZTNA - Zero Trust Network Access, אשר מאפשר למשתמש גישה מוגבלת מאוד למשאבים, תוך אימות רב-שלבי (MFA), אישור מראש של המכשיר וביצוע Security Posture Check - בדיקת אבטחה לעמדת המשתמש. לאחר ביצוע בדיקות אלה ואחרות, חלקן בזמן אמת, המשתמש ניגש למשאבים באופן ישיר, תוך הצפנה מקצה לקצה, ועל כן הקישוריות בין המשתמש לאפליקציה עולה, לצד שמירה על אבטחת המשתמש והרשת הארגונית.

 

חוקרי Proofpoint גילו מכווץ נוזקות חדש

החוקרים זיהו תוכנה זדונית אותה כינו DTPacker, אשר לרוב משמשת לכיווץ קבצים המכילים סוסים טרויאניים בהם ניתן להשתמש לגניבת מידע ולטעינת קטעי קוד עוקבים לתוכנת הכיווץ, ממש כמו תוכנות כופר, כל זאת באמצעות גישה מרחוק. לאחר שחוקרי Proofpoint פענחו את הקוד בו משתמשת DTPacker, הם גילו שהמכווץ משתמש בסיסמה קבועה ומעניינת, המכילה את שמו של נשיא ארצות הברית לשעבר, דונלד טראמפ. זאת ועוד, משך מספר שבועות השתמשה גרסת ההורדה של המכווץ במיקומי הורדה שנקשרו למועדון הכדורגל האנגלי ליברפול. בקמפיינים רבים שנצפו בכיכובה של הנוזקה, וקטור הכניסה הראשוני למערכת הקורבן היה מייל, אשר לרוב הכיל קובץ מצורף זדוני בדמותו של מסמך או קובץ הפעלה דחוס. עם הלחיצה על הקובץ, הורד אל העמדה באופן אוטומטי קובץ DLL המכיל את הנוזקה, שהתקינה עצמה על העמדה. השרטוט הבא מתאר את אופן הפעולה של הנוזקה:

                                                               (מקור: Proofpoint, מתאריך ה-24.1.22)

אתר של תחנת רדיו הונג קונגית נפרץ והפיץ נוזקה התוקפת את מערכת ההפעלה macOS

הפצת הנוזקה התבססה על טקטיקה המכונה Watering Hole, שאם להשתמש באנלוגיה פועלת כמו הרעלה של אספקת המים המרכזית של כפר, מתוך הנחה שעד שתושביו יבינו שדבר מה אינו כשורה - כבר יהיה מאוחר מדי. וכך, בתקיפת תחנת הרדיו הפרו-דמוקרטית D100 שבהונג קונג השתמשו התוקפים בנוזקת DazzleSpy שיצרו, ובשרשרת הדבקה הפועלת על בסיס עיקרון דומה. ב-11 בנובמבר 2021 פרסמה Google TAG פוסט בנוגע לקמפיין תקיפה העושה שימוש בטקטיקה המדוברת להפצת נוזקה המנצלת חולשה בדפדפן Safari של Apple. כעת, חוקרי אבטחת מידע של חברת האנטי-וירוס ESET, אשר החלו לחקור את הקמפיין כשבוע לפני הפרסום הרשמי של Google, חושפים פרטים נוספים על מטרות התקיפה ועל הנוזקה שבה נעשה שימוש. לדברי פליקס איימה מחברת SEKOIA, אחד האתרים שאותו ניצלו התוקפים להפצת הנוזקה הוא האתר הפיקטיבי Liberate Hong Kong, הפועל נגד פעילים פרו-דמוקרטים באותו אזור מנהלי מיוחד של סין. אתר זה נרשם בדומיין fightforhk[.]com באוקטובר האחרון אך הוא אינו נגיש יותר, דבר המחזק את הטענה לפיה הוא אינו לגיטימי. בתוך כך, חוקרי אבטחת המידע של ESET מצאו אתר אחר, לגיטימי הפעם, שנפרץ והפיץ את הנוזקה, המנצלת את אותה חולשה בדיוק באפליקציית Safari. אתר זה היה שייך לתחנת הרדיו, הרשומה תחת הדומיין bc.d100[.]net. לשתי דרכי ההפצה של האיום היה מכנה משותף: משיכת קהל הונג קונגי בעל נטייה פרו-דמוקרטית, אשר אליו, ככל הנראה, כיוונו התוקפים. אל אתרה של D100 הוזרק קוד HTML, אשר הפיץ את הנוזקה לגולשים באמצעות iframe שמשך דף HTML מרוחק מדומיין זדוני המצוי בבעלות התוקפים, כמופיע בתמונה הבאה:
 

 

(מקור: ESET, מתאריך ה-25.1.22)


הדף הזדוני שהונגש מהדומיין amnestyhk[.]org בודק בבקשות ה-HTTP המתקבלות בו את סוג מערכת ההפעלה של הגולש. במידה ומדובר ב-macOS 10.15.2 או בגרסה חדשה יותר, הוא ממשיך אל השלב הבא בשרשרת ההדבקה, בו דף HTML נוסף שמונגש אל הגולשים טוען קובץ JavaScript בשם mac.js, המכיל את מטען הנוזקה שמנצלת את החולשה (CVE-2021-1789, CVSS 8.8) ב-Safari. חולשה זו מאפשרת לקוד Web זדוני המעוצב היטב לרוץ על עמדה נתקפת. לאחר השגת אחיזה ראשונית בעמדת הקורבן, הנוזקה מנצלת חולשה נוספת (CVE-2021-30869, CVSS 7.8) לצורך האדרת הרשאות והגברת אחיזה. מקורה של חולשה זו בליבה (Kernel) של מערכת ההפעלה macOS, והיא מאפשרת הרצת קוד בהרשאה גבוהה (Root) ומתירה לנוזקת הריגול לבצע כל פעולה שתרצה במערכת. ניתוח מלא של הנוזקה ויכולות נוספות שזוהו בפעילותה ניתן למצוא בניתוחה המלא, המופיע כאן.

חבילת האפליקציות Office 365 מנוצלת לקמפיין פישינג המכוון נגד מאות ארגונים ברחבי העולם

הקמפיין מופץ באמצעות שיטות של הנדסה חברתית, ומטרתו להשיג הרשאות לביצוע פעולות שונות בתיבות המייל של המשתמשים. מתקפת הפישינג רחבת ההיקף מתבצעת בכמה שלבים, באופן החורג מטקטיקות הפישינג המסורתיות וכולל צירוף של מכשיר המופעל על ידי התוקף לרשת הארגון, לשם הפצת הקמפיין. בשלב הראשון של התקיפה נצפו גניבת שמות משתמשים וסיסמאות מארגוני יעד באוסטרליה, בסינגפור, באינדונזיה, בתאילנד ובמקומות אחרים. בשלב השני, אשר צלח בעיקר במקרה של קורבנות אשר לא יישמו אימות רב-גורמי (MFA), שהינו נדבך חיוני לאבטחת זהות בהתחברות למערכות, השתמשו התוקפים בחשבונות שנפגעו לשם הרחבת דריסת הרגל שלהם בארגון ולמעבר לרשת באמצעות דואר זבל יוצא, כל זאת על ידי רישום מכשיר (BYOD) בסיוע שמות משתמשים וסיסמאות שנגנבו לאחרונה. צירוף מכשירים שאינם מנוהלים זוכה לעתים קרובות להתעלמות מצד צוותי אבטחה, מה שהופך את המערכת למטרה קלה לתקיפה ומאפשר ביצוע תנועות רוחביות ברשת הארגון ללא הפרעה, לרבות קפיצה בין גבולות רשת והשגת גישה קבועה אליה לביצוע התקפות רחבות יותר. 

מערך הסייבר הלאומי ממליץ למנהלי תשתיות Office 365 שלא לאפשר למשתמשים לבצע פעולות שונות בתיבות המייל שלהם.

נוזקה חדשה הכתובה בשפת Golang התגלתה על ידי חוקרי מעבדות ​​AT&T Alien

Golang (הידועה גם בשם Go) היא שפת תכנות בקוד פתוח שתוכננה על ידי Google ופורסמה לראשונה ב-2007. מלבד העובדה שהיא מקלה על מפתחים לפתח תוכנות, סיבה נוספת לפופולריות הגוברת שלה נעוצה בקלות הקומפילציה של הקוד עבור מערכות שונות. מנגד, אותה תכונה בדיוק מקלה על תוקפים להפיץ תוכנות זדוניות הכתובות בשפה זו במספר מערכות הפעלה. הנוזקה החדשה, המכונה BotenaGo, תוקפת מיליוני ראוטרים ומוצרי IoT ברחבי העולם, וכוללת יותר מ-30 פונקציות לניצול חולשות שונות. תחילה היא יוצרת דלת אחורית, ואז מחכה לקבלת מטרה לתקיפה ממפעיל מרוחק דרך פורט 19412 או מודול רלוונטי אחר הפועל על אותו מחשב. טרם התברר מיהו שחקן האיום העומד מאחורי התוכנה הזדונית וכמה מכשירים נגועים בה. על אופן הפעולה של הנוזקה ניתן ללמוד מניתוח שפירסמה AT&T.

השבוע בכופרה

אינדונזיה: הבנק הלאומי הותקף על ידי קבוצת התקיפה Conti

הבנק, שחווה מתקפת כופרה בחודש דצמבר, הודיע על כך ב-20 בינואר, והוסיף כי ביצע פעולות מקדימות וכי שירותיו הציבוריים לא נפגעו. עוד נמסר כי המוסד פעל לשחזור מידע שנגנב, אשר לדבריו כלל נתוני עובדים שאינם מהווים מידע קריטי. בתוך כך, מציוץ בחשבון הטוויטר של החברה הסינגפורית DarkTracer, המספקת פלטפורמה לניטור מתקפות ונוזקות ברשת, עולה כי קבוצת התקיפה Conti הוסיפה את בנק אינדונזיה לרשימת הקורבנות המופיעה באתרה הרשמי. למרות שעל פי ההערכה הראשונית נראה היה כי המתקפה הגיעה ל-16 מחשבים בלבד, נכון ל-24 בינואר כבר עמד מספרם על 247, והיקף המידע שהודלף האמיר ל-76GB. קבוצת התקיפה Conti נקשרה עד כה לכ-500 מתקפות על חברות וארגונים ברחבי העולם, וגופים כגון הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) ולשכת החקירות הפדרלית (FBI) מזהירים מפניה בקביעות, על מנת להגביר את המודעות לפעולותיה ולמזער את נזקיה ככל האפשר.

חברת אבטחת המידע Mandiant מנתחת את כופרות AVADDON

כנופיית ה-(RaaS (Ransom-as-a-Service הידועה, שפעלה מיוני 2020 עד יוני 2021, שחררה עם היעלמותה מהזירה יותר מ-3,000 מפתחות הצפנה עבור קורבנותיה. ואולם מאז שהושבתה, נצפו קבוצות תקיפה שונות העושות שימוש בכלים ובשיטות הדומים לאלה שבהם השתמשה AVADDON. נכון לשעה זו טרם ברור אם מדובר במקריות גרידא, אך בינתיים מחקר חדש של Mandiant מנתח את שיטות הפעולה של הכנופייה, החל מבחירת יעד התקיפה ועד להפעלת כלי ההצפנה.  

יפן: בית חולים נאלץ להפסיק את פעילותו למשך חודשיים בעקבות מתקפת כופרה

בחודש אוקטובר האחרון סבל בית החולים הנדה שבטוקושימה, ממתקפת כופרה אשר חסמה את גישתו של צוות בית החולים לכ-85,000 רשומות רפואיות של מטופליו. לשם השבת יכולת הגישה לרשומות דרשו התוקפים תשלום דמי כופר ואיימו כי במידה והסכום הנדרש לא ישולם - הנתונים יודלפו. בעקבות האירוע הפסיק בית החולים לקלוט מאושפזים חדשים, ורק בתחילת ינואר התחדשו הבדיקות הרפואיות במתכונתן המלאה. לדברי טושיה מרוזאסה, מנכ״לית המוסד הרפואי, בית החולים יצר מסמכים רפואיים חדשים מנייר עבור מטופלים שטופלו במקום בעבר, בתהליך שהצריך את תשאולם בנוגע לטיפולים קודמים שקיבלו, לצד איסוף מידע רב ככל הניתן מבתי מרקחת סמוכים אודות תרופות שנרשמו למטופלים. כמו כן, בית החולים נאלץ לבדוק האם ציוד חיצוני  שהיה מחובר לשרת הארגון הושפע גם הוא ממתקפת הכופרה. עד כה לא ברור אם המידע המצוי על שרת בית החולים, לרבות תיעוד רפואי, נפגע בעקבות האירוע. בתוך כך, צוות המוסד מתכנן להקים פאנל מומחים לדיון באמצעים למניעת מתקפות כופרה בעתיד, ויאסושי סוטו, הרופא המפקח על פעולות בית החולים, הורה לכתוב על דפי נייר את נתוני המטופלים, נוסף על הרישום האלקטרוני. מאיסאו איטבאשי, ראש מערך המחקר במועצה היפנית למדיניות ציבורית, הדגיש את החשיבות שבנקיטת צעדים בסיסיים למניעת מתקפות מסוג זה, בהם פתיחת מיילים נכנסים רק לאחר אימות זהות השולח.

התוכנה הזדונית TrickBot משתמשת בטכניקה חדשה להזרקת קוד לאתרי אינטרנט

על פי פרסום של חוקרי חברת IBM, כנופיית תוקפי הסייבר המפעילה, בין היתר, את הסוס הטרויאני TrickBot, הסלימה את פעילותה, והזרקת התוכנות הזדוניות שהיא מבצעת מצוידת כעת בהגנה נוספת, שמטרתה למנוע את גילויה ולחמוק מבקרות אבטחה. במרבית המקרים, ההגנות הנוספות יושמו על זריקות המשמשות בהונאות בנקאות מקוונת, שהיוו את עיקר פעילותה של TrickBot מאז הוקמה לאחר ״מותו״ של הסוס הטרויאני Dyre. במסגרת המתקפות משתמשים התוקפים בהזרקות קוד זדוני, המוביל את המשתמש לחשוף את פרטי הבנק שלו, כאשר מנגנוני ההגנה החדשים של הנוזקה כוללים שימוש בשרת חיצוני המבצע הזרקות ייעודיות לדפדפן הקורבן בזמן אמת, במקום להשתמש בקבצי קונפיגורציה זדוניים הממוקמים על עמדת הקורבן עצמה. כשעמדה נגועה, היא שולחת לשרת התוקף, בפרוטוקול מאובטח, פרטים על הדפדפן בו משתמש הקורבן ועל העמוד בו הוא נמצא באותו רגע, מה שמאפשר לתוקף להזריק קוד זדוני המתאים לאותה סביבה. בעת ההזרקה התוקף נכנס, למעשה, לתקשורת המתקיימת בין האתר למשתמש, ויכול להביא את הקורבן לחשיפת פרטיו באופן שיאפשר לתוקף לתעד אותם, ולאחר מכן להתחזות לקורבן ולבצע בשמו פעולות בנקאיות. דרך נוספת בה משתמשים התוקפים על מנת להימנע מגילויים היא הוספת סקריפט ששולל מחוקרים את האפשרות לבצע Debugging לקוד. במקרה בו ניסיון כזה מזוהה על ידי הנוזקה, הקוד שלה מביא להעמסת זיכרון ולהקרסת העמוד, מה שמעכב את החקירה. במאמר מופיעות המלצות כלליות לאופנים בהם ניתן להימנע מתקיפות מסוג זה, בהם שימוש באמצעים להגנה על סביבת המייל, הגבלת גישה של משתמשים למשאבים ברשת, שימוש באימות רב-גורמי (MFA), ניטור שוטף של העמדה ועוד.

Ragnar Locker תוקפת בכופרה את Airspan הישראלית-בריטית ומדליפה מסמכים רגישים

לפי דיווח בערוץ הטלגרם של ״חדשות אבט״מ וסייבר״, מאתר ההדלפות של קבוצת הכופרה עולה כי יצרנית ציוד התקשורת הסלולרית, המעסיקה מאות עובדים בישראל, סירבה לדרישות הכופר. אי לכך, Ragnar Locker פרסמה מידע רגיש בהיקף של מאות GB, אשר נגנב מהרשת הארגונית של החברה. בין המידע שהודלף מצויים מסמכים ממרכז הפיתוח בישראל, תכניות עבודה, צילומי דרכונים, תרשימי רשת, ומסמכי NDA וחוזי התקשרות עם עשרות חברות וארגונים.

סייבר בישראל

 
 

2021 שוברת שיאים: 8.8 מיליארד דולר גויסו לתעשיית הסייבר הישראלית

לדברי מערך הסייבר הלאומי, בשנה הקודמת נרשם גידול של פי שלושה בסכום הגיוס לתעשיית הגנת הסייבר המקומית, 4 חברות סייבר ישראליות הונפקו ו-11 נוספו למועדון חדי הקרן היוקרתי בתחום הסייבר, עליו נמנות חברות ששוויין עולה על מיליארד דולר. עוד עולה מנתוני המערך ש-1 מכל 3 חברות המוגדרות כ״חד קרן״ בתחום הסייבר בעולם היא חברה ישראלית, ושבשנה האחרונה ההשקעה בארץ ביחס לעולם הייתה במגמת עלייה. לדברי רועי ירום, ראש מרכז ההתעצמות במערך הסייבר הלאומי, "תעשיית הסייבר סיימה שנה מדהימה נוספת בה היא מדגימה שהיא לא רק מנוע ראשון במעלה של צמיחה כלכלית בישראל אלא גם עמוד תווך של אקוסיסטם חדשנות הסייבר העולמי״. 

מערך הסייבר הלאומי מציג: מילון מונחי סייבר לאזרח

במדריך שהכין המערך עבור הציבור הרחב ניתן למצוא מונחים מתחום הסייבר הנפוצים במדיה, ומטרתו לסייע להסביר מושגים מסובכים בשפה פשוטה למי שאינו מתחום אבטחת המידע. במילון המלא ניתן לעיין כאן.

סייבר בעולם

 

קנדה: מרכז הסייבר קורא להעלאת מודעות ולנקיטת אמצעים כנגד איומי סייבר 

המרכז הקנדי מעודד את קהילת הסייבר המקומית להגביר את המודעות ואת אמצעי ההגנה במרחב, בדגש על איומים הפועלים בחסות ממשלת רוסיה ומתמקדים בתשתיות קריטיות ובטכנולוגיות OT/IT. המרכז קורא למגני סייבר לבצע את הפעולות הבאות:

  • לבודד את התשתיות הקריטיות, השירותים הקריטיים והרשת הארגונית/פנימית מהאינטרנט במידה והם עשויות להוות מטרה לתוקפים, ולערוך בדיקות ידניות להבטחת זמינותן ופעילותן של פונקציות קריטיות במצב בו רשת הארגון אינה זמינה או אינה מהימנה.

  • להגביר את הערנות הארגונית, לבצע ניטור על רשתות הארגון תוך התמקדות בהמלצות הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), לוודא שאנשי הגנת הסייבר וה-IT של הארגון מתמקדים בזיהוי ובהערכה של התנהגות חריגה ו/או בלתי צפויה ברשת הארגון ולהפעיל את האופציה לשמירת לוגים, כך שבמקרה של התנהגות חריגה ברשת תתאפשר חקירה מעמיקה ומיטבית של האירוע.

  • להקפיד על ניהול והפצת פאטצ׳ים לתיקון חולשות במערכות הארגון, תוך התמקדות בהמלצות ה-CISA, לגבות את המידע הארגוני ולבדוק את תקינות הגיבויים, להטמיע מנגנון אימות רב-שלבי (MFA) לשם התחברות למערכות הארגון ולפרוס מערכת להגנה על נקודות קצה (כגון אנטי-וירוס).

  • לדאוג להמצאותה של תכנית להתמודדות עם אירוע סייבר.

  • לעדכן את מרכז הסייבר הקנדי בכל מקרה בו נצפתה פעולה חשודה או זדונית.

עוד בקנדה: משרד החוץ חווה מתקפת סייבר

בהודעה רשמית שיצאה מטעם הממשלה אושר כי המשרד חווה מתקפה אשר הובילה להשבתת מספר שירותים מקוונים. עוד הודגש כי השירותים הקריטיים של המשרד עדיין פעילים, וכי אין אינדיקציה לכך שמשרדי ממשלה נוספים הושפעו מהאירוע. ההודעה לא כללה התייחסות למקור התקיפה, אך על פי ההערכות מדובר בגורם תקיפה רוסי, שכן המתקפה התרחשה בסמוך לפרסום אזהרה של המרכז הקנדי לאבטחת סייבר, שהגיעה רקע המתיחות הגוברת בין רוסיה לאוקראינה וקראה למפעילי תשתיות קריטיות לנקוט בפעולות הגנה נגד איום סייבר רוסי ידוע.

ממשלת בריטניה מפרסמת כלי חדש לסריקת חולשות

הכלי, המכונה Scanning Made Easy, או SME, פותח במסגרת פרויקט חדש בו משתפים פעולה מרכז הסייבר הלאומי של בריטניה (NCSC) ו-i100, קבוצה של חברות מהמגזר הציבורי והפרטי, שעובדות ביחד עם מרכז הסייבר כדי "להפגיש בין מומחיות התעשייה ומומחיות הממשלה, באופן שיעזור לכולנו להפיק לקחים, לזהות חולשות מערכתיות ולהפחית את ההשפעה העתידית של מתקפות סייבר". הכלי החדש מורכב מאוסף של סקריפטים של Nmap, שהינו כלי מיפוי רשת סטנדרטי בתעשייה, הנמצא בפיתוח פעיל מזה יותר מ-20 שנה. אוסף הסקריפטים נועד לסייע לבעלי ומנהלי מערכות למצוא בהן חולשות וחשיפות ספציפיות והוא יפורסם ב-GitHub. לטענת ה-NCSC, מטרת הפרויקט היא לתת מענה לשימוש בסקריפטים שאינם מתאימים להפעלה, או שאינם בהכרח בטוחים. עם הפעלתו של SME, נפרס סקריפט הבודק חולשות ספציפיות שעלולות להשפיע על אבטחת הארגון ומופק דוח המפרט את פרטי החולשות, עם קישור להמלצת ה- Best practice של הספק לאופן הטיפול בהן.  בתוך כך, ה-NCSC פרסם את הסקריפט הראשון של SME, על מנת לאפשר למנהלי תוכנת שרת הדואר האלקטרוני Exim לטפל באוסף של 21 נקודות תורפה המכונות 21Nails, שניתן לנצלן להשתלטות על שרתים ולגישה לתעבורת מייל. 

ה-NSA ממליצה על קונפיגורציות אבטחה ל-Adobe Acrobat Reader

ב-20 בינואר פרסמה הסוכנות לביטחון לאומי של ארצות הברית דוח המלצות טכני להגדרת קונפיגורציה חדשה לתוכנה הפופולרית עבור סביבת Windows. הדוח מתייחס לסוגייה ארוכת השנים של תוקפי סייבר המשתמשים בקבצי PDF זדוניים על מנת לפגוע ברשתות קורבנותיהם. באופן ספציפי, הדוח מפרט את הגדרות התצורה המומלצות ל-Adobe Reader, על מנת לסייע למנהלי מערכות למזער את הסיכון הגלום בתוכן בר-הפעלה ובפעילות זדונית אחרת בסביבת Windows. עוד ממליצה ה-NSA ליישם תוכנות אבטחה מודרניות עבור Sandboxing ובקרת גישה, תצורות אותן ניתן להטמיע ברשתות לשם הגבלת וקטור הגישה הנפוץ. עוד כולל הדוח הדרכה בנוגע לפונקציית הצפייה הבסיסית בקבצי PDF ולשימושים מורכבים יותר, כגון שיתוף נתונים. ה-NSA קוראת למנהלי מערכות לעיין בקפידה במסמך, כדי לבחור באפשרויות תצורה שתהיה להן השפעה מינימלית על השימוש, תוך הענקת הגנה מקסימלית לארגון.

חברת הסייבר Proofpoint מצטרפת לקואליציה הלאומית לאבטחת טכנולוגיה

החברה, המגנה על אלפי לקוחות, הצטרפה לקואליציה כחתם לאומי, על מנת לתמוך במאמציהם של מנהלי אבטחת מידע בחברות שונות לשיפור תקני אבטחה לאומיים ולהעלאת המודעות לנושאי סייבר. Proofpoint תסייע בהובלת כנסים, אירועים ופגישות של הקואליציה עם מנהלי אבטחת מידע ובעלי עניין רלוונטיים אחרים. הקואליציה הלאומית לאבטחת טכנולוגיה הינה ארגון ללא מטרות רווח המשמש כקול ההסברה המוביל עבור מנהלי אבטחת מידע. באמצעות דיאלוג, חינוך ויחסי ממשל, הוא מאחד מחזיקי עניין במגזר הציבורי והפרטי כאחד סביב מדיניות המשפרת את הסטנדרטים והמודעות לאבטחת הסייבר הלאומית. היוזמות העיקריות שהוציאה אל הפועל הקואליציה כוללות אימוץ תקן לאומי להודעות על פגיעה במידע, הקמת תקן פרטיות נתונים פדרלי, טיפול במחסור בכוח אדם מקצועי באבטחת סייבר, הגנה על תשתיות קריטיות וחיזוק השותפות הציבורית-פרטית.

אוקראינה: נתונים חדשים אודות תקיפת משרדי הממשלה וחברות באמצעות נוזקת WhisperGateבהמשך לתקיפות עליהן דיווחנו בשבוע שעבר (ראו "הסייבר", 20.1.2022), חוקרים מחברת Talos חשפו השבוע כי התוקפים, שהסבו נזק רב לקורבנותיהם, שהו במערכות הארגונים מספר חודשים בטרם תקפו אותן באמצעות שימוש בפרטי משתמשים וסיסמאות גנובים. לרוב, הדבר מאפיין מאמצי תקיפה מתמידים (APT). עוד נמצא כי במהלך המתקפות נוצלה חולשת ה-Log4j בספריית ה-Apache לשם לקבלת שליטה על חלק מהמערכות שנפגעו. בתוך כך, חוקרי מערך הסייבר האוקראיני (CERT-UA) גילו כי ההשתלטות על האתרים שנפגעו בוצעה מתוך רשת ה-Tor וכי התוקפים השתמשו בנוזקה המכונה BootPatch. תוכנה זו כתובה בשפת C ומסוגלת לשכתב מחדש את הסקטורים בכוננים הקשיחים ולהציג במקומם הודעת כופר. עוד התגלה כי הרצת הנוזקות על המחשבים ברשתות הפנימיות של הארגונים שנתקפו בוצעה על ידי שימוש באוסף הכלים Impacket, ובעיקר ב-wmiexec וב-smbexec, המאפשרים לתוקף להתחבר מרחוק למכונות מבוססות Windows ולבצע הרצת פקודות. 

             (מקור: CERT-UA, מתאריך ה-26.1.22)

בלארוס: אקטיביסטים של קבוצת התקיפה Cyber Partisans נוטלים אחריות על מתקפת הסייבר שפגעה במסילות הרכבת במדינה

עם התגברות המתיחות במזרח אירופה, ב-24 בינואר הודיעה קבוצת האקטיביסטים כי שיבשה רשתות ומאגרי מידע הקשורים למערכת הרכבות הלאומית של בלארוס. קבוצה זו נמנית על התחייה הניכרת לאחרונה של פעילים המשתמשים באמצעים דיגיטליים לצרכי מחאה. בתוך כך, Cyber Partisans משתמשת בערוצי הטוויטר והטלגרם שלה לקידום החבלה הדיגיטלית שביצעה, לכאורה, ולהצגת דרישותיה. ״יש לנו מפתחות הצפנה, ואנו מוכנים להחזיר את מערכות הרכבת הבלארוסית למצבה הרגיל. התנאים שלנו: שחרור 50 האסירים הפוליטיים הזקוקים מאוד לסיוע רפואי ומניעת נוכחות של חיילים רוסים בשטח בלארוס.״ כך מסרה הקבוצה, והוסיפה כי "הצפינה חלק מהשרתים, ממסדי הנתונים ומתחנות העבודה של [רכבת בלארוס] כדי לשבש את פעילותה", אך לא תקפה מערכות אוטומציה ואבטחה בשל היבטי בטיחות. לרכבות הבלארוסיות תפקיד מרכזי בהעברת מטענים, כשהשירות עצמו מדווח על העברתן של יותר מ-1.2 מיליון מכולות ברחבי המדינה בשנת 2021, ואולם מדיווחים חדשותיים עולה כי מערכת הרכבות משמשת את הרוסים לבניית כוחות והעברת ציוד צבאי לאזורים שליד אוקראינה. שירות הרכבות הבלארוסי אישר את קיומם של קשיים טכניים והודיע לנוסעים כי משאבים מקוונים ומערכות הקשורות להנפקת כרטיסים אלקטרוניים אינם פעילים, אך בפועל טרם התברר במלואו אופיו המדויק של השיבוש וכמה זמן הוא צפוי להימשך. קבוצת Cyber Partisans הגיחה אל התודעה הציבורית בקיץ שעבר, לאחר שביצעה סדרה של מתקפות סייבר אשר כללו גניבה ופרסום של רשומות ומסמכים הנוגעים להתעללות ולשחיתות בחסות הממשלה, זאת בניסיון, לכאורה, להפיל את הדיקטטור הבלארוסי אלכסנדר לוקשנקו. דובר מטעם הקבוצה מסר כי היא מורכבת מ-15 אנשים, אשר מעטים מהם מבצעים פריצות למערכות, בעוד האחרים מספקים להם תמיכה. 


2021: עלייה של 35% בנוזקות המתמקדות ב-Linux

התוכנות הזדוניות המתמקדות במערכת ההפעלה הנפוצה נפרסות לרוב במכשירי IoT, כאשר על על פי סקירת האיומים הנוכחית של CrowdStrike, שלוש משפחות של נוזקות,  XorDDoS ,Mirai ו-Mozi, היוו אשתקד 22% מכלל תוכנות ה-Linux הזדוניות. עלייה משמעותי במיוחד רשמה נוזקת Mozi, עם נוכחות של פי עשרה בדגימות שנעשו ב-2021, בהשוואה לשנת 2020. מטרתן העיקרית של נוזקות אלה היא לסכן מכשירים פגיעים המחוברים לאינטרנט, להעלות אותם למאגר של רשתות בוטים ולהשתמש בהם לביצוע מתקפות מניעת שירות מבוזרות (DDoS). בימינו, מרבית תשתיות הענן ושרתי האינטרנט מופעלים באמצעות Linux, אך גם מכשירים ניידים ומכשירי IoT עושים שימוש במערכת ההפעלה הפופולרית, המציעה שרידות, תכונות אבטחה נרחבות, מגוון אמצעי הפצה התומכים במספר עיצובי חומרה, ביצועים מעולים בכל דרישות חומרה ועוד. ואולם, אך לצד היתרונות הללו, השימוש הנרחב במוצר יוצר הזדמנות עצומה עבור גורמי איום: יותר מ-30 מיליארד מכשירי IoT צפויים להיות מחוברים לאינטרנט עד סוף 2025, מה שמהווה מרחב תקיפה פוטנציאלי גדול מאוד ומושך תוקפי סייבר השואפים ליצור רשתות מאסיביות של בוטים. רשתות בוטים משמשות לעתים קרובות להתקפות DDoS, ליצירת דואר זבל, להשגת שליטה מרחוק, לביצוע פעילויות עתירות מעבד ועוד. אירוע הבוטנט של Mirai משנת 2016 משמש תזכורת לאופן בו ניתן לשבש שירותי אינטרנט קריטיים באמצעות מספר גדול של מכשירים המבצעים מתקפת DDoS, ולהשפיע על ארגונים ומשתמשים כאחד. Linux היא אחת ממערכות ההפעלה העיקריות עבור יישומים קריטיים בבתי עסק רבים, ומכיוון שניתן למצוא שרתים מסוג זה On-premises ובעננים פרטיים וציבוריים, אבטחתם מצריכה פתרון המספק הגנה בזמן אמת ונראות לכל מארח Linux, ללא קשר למיקומו. פלטפורמת CrowdStrike Falcon מגנה על עומסי עבודה של Linux (כולל קונטיינרים הפועלים בכל הסביבות, מעננים ציבוריים ופרטיים ועד למרכזי נתונים מקומיים והיברידיים), מפני תוכנות זדוניות ואיומים מתוחכמים. באמצעות למידת מכונה, בינה מלאכותית, אינדיקטורים מבוססי התנהגות התקפית (IOA) וחסימת Hash מותאמת אישית, פלטפורמת Falcon מספקת נראות והקשר מלאים לכל התקפה על עומסי עבודה של Linux.

כופרה חדשה של LockBit משמשת לתקיפת VMware ESXi ו-Linux

חברת Trend Micro גילתה וריאנט חדש של הכופרה בו משתמשת קבוצת התקיפה הידועה, ואשר נועד להצפנת המערכות. באופן כללי, תופעת כנופיות כופרה המכוונות להצפנת מערכות Linux נמצאת במגמת עלייה, לאור השימוש הגבוה במערכת הפעלה זו.
צוות קונפידס ממליץ לחברות המשתמשות ב-VMware ESXi וב-Linux לוודא שמערכת ההפעלה שברשותן מעודכנת, ולהטמיע פתרונות EDR שיאפשרו גילוי ומניעת הדבקה.

ארה״ב: המשרד לביטחון המולדת מזהיר מפני תקיפות סייבר שמקורן ברוסיה

אזהרת ה-DHS מגיעה על רקע החשש שהובע בעלון מודיעיני רוסי אשר הגיע לידי גופי הבטחון האמריקאיים, לפיו עלול להיווצר איום לטווח הארוך על ביטחונה של רוסיה כתוצאה מתגובה של ארצות הברית או של נאט״ו לפלישה רוסית אפשרית לאוקראינה. במסיבת עיתונאים שהתקיימה בשבוע שעבר אמר הנשיא ג׳ו ביידן כי במידה ורוסיה תבצע תקיפות סייבר באוקראינה, ארצות הברית תוכל להגיב לכך באמצעות פעילות משלה במרחב הקיברנטי.

מטבעות קריפטו: היורופול מנתח את האבולוציה של הפשיעה הפיננסית בתחוםעולם המטבעות הדיגיטליים מהווה, מחד גיסא, יוזמה טכנית ופיננסית מהמעלה הראשונה, בעלת פוטנציאל עצום לכלכלה העולמית, אך מאידך הוא מנוצל גם למטרות חיוביות פחות, בהן הלבנת כספים, הונאות והנגשת אמצעי תשלום עבור סחורות בלתי חוקיות. בתוך כך, האופנים בהם פושעים משתמשים במטבעות הדיגיטליים הולכים ומתפתחים במישורים נוספים ובתצורות שונות של פשע מאורגן, אחד מהם הוא דרישת דמי כופר במטבעות קריפטוגרפיים במסגרת מתקפות סייבר, על מנת להשאיר את זהות התוקפים אנונימית ככל הניתן. בעקבות התפתחויות אלה ואחרות פרסם ארגון היורפול ניתוח של השימוש הפלילי הנעשה במטבעות דיגיטליים, זאת במטרה לסייע לרשויות החוק בהבנת הזירה המשתנה והאתגרים הניצבים בפניהן באכיפת החוקים הנוגעים לשימוש במטבעות אלו. 


ביזור פיננסי משחק תפקיד משמעותי בהלבנת כספים

DeFi, או ביזור פיננסי, הוא מושג המתייחס למערכות שמהוות אלטרנטיבת קוד פתוח לכל שירות פיננסי שהוא, לרבות חסכונות, הלוואות מסחר וביטוחים. המערכת מופעלת על ידי אפליקציות נגישות לכל, הבנויות על רשת של בלוקצ׳יין. תיאורטית, כל שירות פיננסי המוצע כיום על ידי מוסדות פיננסיים יכול להיות מוצע על בסיס DeFi, ובכך להחליף תשתיות מסורתיות ולהעביר את הכוח למשתמשים ומשקיעים פרטיים. מסקירה כללית שפרסמה חברת Chainalysis אודות הפשיעה במרחב המטבעות הדיגיטליים עולה כי הלבנת כספים במערכות ביזור פיננסי משחקת תפקיד נרחב בעולם הפשיעה, לצד כמה שירותים מרכזיים אחרים שאינם מבוזרים, ואשר עדיין מחזיקים בתפקיד משמעותי בזירה. פושעים המשתמשים במטבעות קריפטוגרפיים הינם לרוב בעלי מטרה משותפת: העברת כספים שאינם חוקיים לשירות בו יהיו מוגנים מפני רשויות החוק, עד שיומרו לבסוף לכסף נזיל. מסיבה זו, הלבנת כספים היא העבירה הנפוצה ביותר בעולם המטבעות הדיגיטליים. הלבנת הכספים במגזר זה הינה מרוכזת ביותר, ונראה כי מיליארדי דולרים המועברים מדי שנה מכתובות המשויכות לפשיעה מעובדים בקבוצה קטנה להפתיע של שירותים פיננסיים, שעל פי היסטוריית העסקאות שנעשו בהם נראה כי רובם הוקמו במטרה לספק שירותי הלבנת כספים. ואולם, על ידי איתור שירותים אלה והשבתתם, רשויות החוק יכולות להנחית מכה קשה על עולם הפשיעה, כפי שאירע אשתקד, כאשר ממשלת ארצות הברית הטילה סנקציות על שני שירותים שלקחו חלק מרכזי בהלבנת כספים. השירותים, Suex ו-Chatex, הסכימו לקבל כספים מקבוצות תקיפה שהנהיגו פעילות פלילית במרחב הסייבר, ממבצעי הונאות ומפושעים נוספים במרחב. בתוך כך, מסתמנת עלייה של כ-30% ביחס לשנה הקודמת בכמות הכספים שהולבנו באמצעות מטבעות דיגיטליים. את הניתוח המלא, המסקר את הפעילות העניפה במרחב, זה ניתן לקרוא כאן.

(מקור: Chainalysis, מתאריך ה-26.1.22)

מרכז לחוסן במרחב הסייבר יוקם בנמל לוס אנג׳לס

את הקמת ה-Cyber Resilience Center מובילה חברת IBM, העתידה לשמש כמקור מרכזי לשיתוף מידע אודות התקפות, מודיעין סייבר ואיומים בקרב ספקי הנמל (מפעילי טרמינל ורכבת, מובילי סחורות ועוד). במקרה של מתקפה על קבוצות הקשורות לפעילות הנמל, המרכז אף ישמש כמשאב ייעוץ שיסייע להן לשוב לשגרה. זאת ועוד, כחלק מפעילותו השוטפת יקיים המרכז סימולציות הנהלה ותרגולי אבטחת מידע שנתיים.

סייבר ופרטיות - רגולציה ותקינה

 

הפרלמנט של האיחוד האירופי מאמץ גרסה מעודכנת של הצעת החוק בנוגע לשירותים דיגיטליים

ה-Digital Services Act, שמטרתו להגן על צרכנים אירופיים המשתמשים בפלטפורמות דיגיטליות לרכישת מוצרים ושירותים, אומץ על ידי הפרלמנט ב-20 בינואר, וקובע עקרונות ואמצעים שבבסיסם הצורך להבטיח את אמון הצרכנים בכלכלה הדיגיטלית של האיחוד, תוך כיבוד זכויות היסוד של המשתמשים. החוק מקדם סביבה דיגיטלית תחרותית באירופה, ושואף לקבוע סטנדרטים רגולטוריים ברמה העולמית. כריסטל שאלדמוסה, המחוקקת המובילה באיחוד האירופי בנושא בו דנה הצעת החוק, אמרה במהלך דיון שהתקיים ב-25 בינואר כי "חוק השירותים הדיגיטליים יכול להפוך כעת לתקן הזהב החדש של רגולציה דיגיטלית, לא רק באירופה אלא ברחבי העולם".

התזכיר הנשיאותי לקידום הגנת סייבר מוגברת של רשויות פדרליות ביטחוניות: הרחבת סמכויות הסייבר של הסוכנות לביטחון הלאומי

ב-19 בינואר פרסם הבית הלבן תזכיר נשיאותי בנושא, המעמיק את החובות שנקבעו בצו נשיאותי מחודש מאי 2021. שני הצווים מציינים את איומי הסייבר ההולכים וגוברים על הרשויות הפדרליות בארצות הברית, ודורשים רמה גבוהה יותר של שיתוף מידע בתוך הממשל הפדרלי. הצו החדש אף מרחיב את סמכויות ה-NSA (ראו גם "הנשיא ג׳ו ביידן פרסם מזכר תקדימי לגורמי ביטחון לאומי בארה"ב: הגברה משמעותית של דרישות הגנת הסייבר במערכות ביטחון לאומי", "הסייבר", 20.1.2022). למשל, גופים פדרליים מחוייבים כעת לדווח ל-NSA על התרחשותם של אירועי סייבר, בעוד שה-NSA מופקדת על ניהולם של אירועים כאלה במערכות ביטחוניות פדרליות כ-National Manager. עוד מוסמכת ה-NSA להנחות גופים באופן מחייב. על סמכויות ה-NSA בתחום אבטחת הרשתות כחלק מהגנת הסייבר הכללית אמר הגנרל פול נקסוני, ראש פיקוד הסייבר של ארצות הברית וראש ה-NSA, כי "כגוף המוביל את המדינה בקריפטוגרפיה [ויכולות ההצפנה], ה-NSA תמלא תפקיד משמעותי בהבטחת יכולת פעולה הדדית בתחום ההצפנות בין משתמשי מערכת אבטחה לאומית, באמצעות סטנדרטים קריפטוגרפיים". בהמשך לתזכיר החדש, משרד הניהול והתקציב של הבית הלבן (OMB), יפרסם בקרוב אסטרטגיה פדרלית להגנת סייבר, שתכלול אמצעי הגנה נוספים.


הצעת חוק לתיקון מס' 14 חוק הגנת הפרטיות עברה בקריאה ראשונה 

השבוע עברה בקריאה ראשונה הצעת החוק לתיקון מס' 14 של חוק הגנת הפרטיות, התשמ"א - 1981 (להלן "החוק"). לתיקון המוצע (הצעת חוק הגנת הפרטיות [תיקון מס’ 14], תשפ”ב-2021) שלוש מטרות עיקריות: 1. שיפור יכולות הפיקוח והאכיפה של הרשות להגנת הפרטיות, על מנת לקיים בצורה משביעת רצון את יעדי החוק; 2. צמצום חובת הרישום של מאגרי מידע והתמקדות במאגרים גדולים (הכוללים נתונים של יותר מ-100,000 נושאי מידע), שחשיפתם עלולה לסכן באופן משמעותי נושאי מידע; 3. התאמת הגדרות מונחים הנוגעים להגנת מידע אישי המופיעים בחוק להתפתחויות טכנולוגיות, חברתיות ומשקיות (כולל הגדרת המושג "מידע" ו"מידע רגיש"). ההצעה גם מחייבת את בעל המאגר להיצמד באופן יותר ממוקד לשימושים במידע ששוקפו מראש לנושאי המידע. ההסבר הנלווה להצעה מתייחס לצורך לקרב את ההגדרות והתפיסות הישראליות לדיני הגנת המידע של האיחוד האירופי, ובמיוחד ל-GDPR. התיקון אף מוסיף לרשות להגנת הפרטיות סמכויות פיקוח ואכיפה ומגדיל את סכומי העיצומים הכספיים שהרשות תהיה רשאית להטיל במקרים של הפרת החוק, לעתים עד 800,000 ש"ח. בהתפתחות מקבילה, פורסם ביום 24.1.2022 מסמך מנחה של רשות הגנת הפרטיות, "מינוי ממונה הגנת על הפרטיות בארגון ותפקידיו".

הרשויות ברוסיה עצרו 4 חשודים המבוקשים בארה״ב בגין פשעי סייבר

ב-24 בינואר הודיע בית המשפט במוסקבה על מעצר החשודים, המואשמים כי לקחו חלק בפעולות ארגון התקיפה The Infraud Organization, אשר פעל ברחבי העולם בין השנים 2010-2018 וגרם לנזקים המוערכים בכחצי מיליארד דולר. על העצורים נמנה גם אנדריי נובאק, המבוקש על ידי האמריקאים בחשד שביצע הונאות סייבר. מבצע המעצרים של הרשויות ברוסיה הוא אחד מני רבים המתרחשים בתקופה האחרונה, כאשר מומחים מעריכים כי רוסיה, שבמשך שנים בחרה שלא לפעול כנגד פושעים וכנופיות סייבר הפועלים בשטחה, משתמשת כעת במעצרים כקלף מיקוח מול סנקציות אפשריות שתטיל עליה ארצות הברית בתגובה לפעולות שייתכן ותבצע נגד אוקראינה.

הרשות להגנת הפרטיות משיקה סדרה של לומדות לטובת העלאת המודעות הציבורית לנושא

הלומדות, שהושקו השבוע, נועדו לקדם את התודעה הציבורית בארבעה נושאים: ניהול מאגרי מידע, העברת מידע בין גופים ציבוריים, שירותי דיוור ישיר ותקנות הגנת הפרטיות (אבטחת מידע) באופן כללי. הסדרה הנוכחית מצטרפת למדריכי הרשות בנושאים כמו הזכות לפרטיות בישראל, ניהול פרטיות המידע האישי בגופי תחבורה וניהול פרטיות המידע האישי ב"עיר חכמה״.

הוועדה לניירות ערך ובורסות של ארה״ב שוקלת החלת כללי הגנת סייבר על ספקי צד ג'

הרשות האמריקאית לניירות ערך (SEC) בוחנת כעת דרכים לשיפור רמת הגנת הסייבר של המגזר הפיננסי במדינה. לאחרונה, יו״ר הארגון גארי גנסלר שיתף את הציבור במספר סוגיות המתוכננות להתגבש תחת הנחיה חדשה. בין היתר, ההנחיה תבקש להגביר את חובות הדיווח על אירועי סייבר ותעלה את רמה הגנת הפרטיות במערכות פיננסיות, ותהיה מחייבת גם עבור ספקי צד ג' למגזר (למשל ספקי אינדקסים פיננסיים, נאמנים [Custodians] ומערכות דיווח למשקיעים). עוד הדגיש גנסלר את הצורך בחיזוק רמת הגנת הסייבר של הגופים שכבר מפוקחים על ידי ה-SEC, באמרו כי "העלות הכלכלית של מתקפות סייבר מוערכת במיליארדים, לפחות, אם לא בטריליוני דולרים. [...] אנחנו ב-SEC עובדים לשיפור עמדת אבטחת הסייבר הכוללת וחוסנו של המגזר הפיננסי".

הצעת חוק חדשה בסנאט האמריקאי מקדמת הטלת חובות בתחום הגנת הסייבר על מערכות לוויין 

ועדת ה-Homeland Security של הסנאט מקדמת הצעת חוק להגברת הגנות הסייבר על מערכות לוויין מסחריות, ביוזמה משותפת של המפלגה הדמוקרטית והמפלגה הרפובליקנית. החוק נועד לסייע לחברות קטנות ובינוניות הפועלות בתחום הלוויינות להיערך ברמת הגנת סייבר גבוהה יותר. הסנאטור גארי פיטרס, אחד מיושבי הראש של הוועדה, אמר כי "האקרים כבר תקפו בהצלחה לוויינים ממשלתיים, וזהו רק עניין של זמן עד שיתחילו להתמקד בצורה אגרסיבית יותר בלוויינים מסחריים. פגיעויות במערכות אלה מהוות הזדמנות עבור יריבים זרים ופושעי סייבר לשבש באופן משמעותי את חייהם ופרנסתם של אמריקאים״. עוד הוסיף פיטרס כי ״ברור שהממשלה חייבת לספק יותר תמיכה באבטחת סייבר לעסקים קטנים ולחברות אחרות שמחזיקות ומפעילות לוויינים מסחריים, לפני שיהיה מאוחר מדי". ועדת ה-Homeland Security של הסנאט תמשיך לטפל בהצעת החוק בחודשים הקרובים. 

סייבר וביטוח

פס"ד לטובת Merck: חברות ביטוח אינן יכולות להחריג מתקפות סייבר כ"מעשי מלחמה" באופן גורף   

בפסק דין תקדימי זכתה השבוע חברת הפרמה הגדולה Merck בהחלטה המחייבת את חברת הביטוח שלה לשלם לה פיצויים בסך 1.4 מיליארד דולר לכיסוי נזקים שספגה כתוצאה ממתקפת הסייבר NotPetya בחודש יוני 2017. בית המשפט במדינת ניו ג'רזי קבע כי הנזקים שנגרמו על ידי התוקפים מחייבים כיסוי על ידי המבטח תחת הפוליסה הכללית שמכסה נזקים כלליים (All-Risks Property Policy), וזאת למרות שהפוליסה מחריגה "מעשי מלחמה" (Acts of War), על אף שאוקראינה התייחסה לאותה מתקפה של רוסיה כ״מעשה מלחמה״. בקביעתו פסק השופט תומס וולש כי למרות ש-Merck היתה צד "מתוחכם ובעל ידע", לא היתה כל אינדיקציה לכך שחברת הביטוח ניהלה עמה משא ומתן להבהרת ההחרגה האמורה במקרה של מתקפת סייבר. לפיכך, השופט וולש קבע כי יש ליישם את דוקטרינת "הציפיות הסבירות של המבוטח", גם בנסיבות חריגות, כאשר המשמעות המילולית של הפוליסה חייבת להיות ברורה (כך על פי דיני הביטוח של מדינת ניו ג'רזי). מסקנתו של בית המשפט היא ש"ל-Merck הייתה כל זכות לצפות שההחרגה של מעשי מלחמה תחול רק על צורות לוחמה מסורתיות" ולא על מתקפות סייבר כמו NotPetya. פסיקה זו מהווה התפתחות חשובה בתחום ביטוחי הסייבר, שוודאי תאיץ תהליך של רפורמה בפוליסות סייבר ואחרות. 

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, שי שבתאי,  אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס וגיא פינקלשטיין.