WhatsApp Image 2020-07-02 at 17.01.17.jp

 
דו״ח סייבר שבועי

עדכון שבועי 28.10.2021

עיקרי הדברים

1. ״חמינאי, איפה הדלק שלי?״ - מתקפת סייבר על תשתית התשלום בתחנות הדלק באיראן גורמת לשיבושים נרחבים ב 4,500 תחנות במדינה.
2. קבוצת התקיפה FIN7 יצרה חברה מזויפת לצורך גיוס כוח אדם שישמש לתקיפות כופרה במסווה של בדיקות אבטחת מידע.
3. קבוצת התקיפה הרוסית NOBELIUM שתקפה את Solarwinds חוזרת לפעול ותוקפת חברות IT. 
4. משרד החוץ האמריקאי מודיע על פתיחת מחלקה שתהיה אחראית על סייבר וטכנולוגיה במישור הדיפלומטי
5. אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Apple (קריטי); מערכת Discourse (קריטי); מוצרי Adobe (קריטי); מוצרי Cisco
(גבוה); תוסף Hashthemes Demo Importer של WordPress (גבוה); מוצרי NVIDIA (גבוה)

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני אבטחה למוצרי Cisco נותנים מענה ל-11 חולשות, בהן 3 ברמת חומרה גבוהה
עדכון אבטחה לתוכנת Discourse נותן מענה לחולשה ברמה קריטית
עדכוני אבטחה למוצרי Apple
עדכוני אבטחה ל-Adobe נותנים מענה לחולשות ברמת חומרה קריטית ובינונית
עדכון אבטחה לתוסף Hashthemes Demo Importer של WordPress נותן מענה לחולשה ברמת חומרה גבוהה

התקפות ואיומים

״חמינאי, איפה הדלק שלי?״ - פריצה לתשתית הדלק האיראנית
ספריית NPM מנוצלת להזרקת קוד זדוני לשם גניבת סיסמאות
יצרנית ומפיצת מוצרי הגיימינג SCUF Gaming מודיעה על דלף מידע
קבוצת התקיפה הרוסית NOBELIUM, שתקפה את Solarwinds, חוזרת לתקוף
קמפיין נוזקה רחב היקפים משתמש בסרטוני יוטיוב לגניבת סיסמאות ולהפצת נוזקה
אתר האינטרנט והאפליקציה של Tesco קרסו למשך יומיים
קבוצת התקיפה הצפון  Lazarus מתמקדת בשרשראות אספק

השבוע בכופרה

כנופיית Evil Corp הרוסית ממתגת עצמה מחדש ומסתמנת כאחראית למתקפות הכופרה על Olympus ו-Sinclair
קבוצת התקיפה FIN7 יצרה חברה מזויפת לצורך גיוס כוח אדם שישמש לתקיפות כופרה במסווה של בדיקות חדירות
חולשה קריטית בתוכנת BillQuick מנוצלת על ידי תוקפים להפצת כופרה
גרמניה: מתקפת כופר משביתה את מערכות קבוצת Eberspäche

סייבר בעולם

קבוצת הכופרה Conti מפרסמת ״מודעות דרושים״ לפריצה לחברות
ה-FBI מפרסם סממני זיהוי לכופרת Ranzy Locke

סייבר ופרטיות - רגולציה ותקינה

משרד החוץ האמריקאי מודיע על פתיחת מחלקה שתהיה אחראית על סייבר וטכנולוגיה במישור הדיפלומטי
מאסר בפועל לשני האקרים שהורשעו באספקת שירותי הוסטינג לפושעי סייבר אחרים
תקינת סייבר חדשה של ה-NIST: שלוש הצעות פורסמו לתגובת הציבור

 
 

הציטוט השבועי

״עלינו להיות ערוכים ברצינות בתחום הסייבר ואסור שנאפשר לאויב לממש את מטרותיו המרושעות בתחום וליצור בעיות בחייהם של אנשים״ 

נשיא איראן אבראהים ראיסי, מתייחס למתקפת הסייבר על תחנות הדלק השבוע.

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכוני אבטחה למוצרי Cisco נותנים מענה ל-11 חולשות, בהן 3 ברמת חומרה גבוהה

החולשות עלולות לאפשר לתוקף מרוחק לבצע על העמדה מתקפת DoS (מניעת שירות) וכן Remote Code Execution, והן רלוונטיות למוצרים הבאים:
Cisco AsyncOS for Cisco WSA
ATA 190 (On-premises only)
ATA 191 (On-premises or Multiplatform)
ATA 192 (Multiplatform only)
1000 Series Integrated Services Routers (ISRs)
4000 Series ISRs
ASR 1000 Series Aggregation Services Routers
Catalyst 8000 Series Edge Platforms
Cloud Services Router (CSR) 1000V Series
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסתם האחרונה.

עדכון אבטחה לתוכנת Discourse נותן מענה לחולשה ברמה קריטית

החולשה שהתגלתה בפלטפורמה לניהול פורומים ורשימות תפוצה קיבלה את הציון CVSS 10.0, ועלולה לאפשר לתוקף להריץ קוד זדוני על עמדת הקורבן.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסה 2.7.9 ומעלה, או ליישם את ההמלצה לעקיפת הבעיה המופיעה בקישור זה.

עדכוני אבטחה למוצרי Apple

טרם ניתנו ציוני CVSS לחולשות שקיבלו מענה בעדכונים, אך אחת מהבולטות שבהן היא חולשה ב-Kernel שעלולה לאפשר לתוקף להריץ קוד מרחוק בהרשאות גבוהות, ואחרת היא חולשה בתוסף ה-Bluetooth שעלולה לאפשר לתוקף לנצל מצב של Race Condition ולהריץ קוד מרחוק. העדכונים רלוונטיים למוצרים:
iOS 1
iPadOS
macOS Monterey
macOS Big Sur
watchOS
tvOS
Catalina
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם

עדכוני אבטחה ל-Adobe נותנים מענה לחולשות ברמת חומרה קריטית ובינונית

העדכונים שפורסמו סוגרים חולשות העלולות לאפשר לתוקף השתלטות מרחוק על מערכות, והם רלוונטיים למערכות ההפעלה macOS ,Windows ו-Linux ולמוצרים הבאים:
Adobe After Effects - גרסה 18.4.1 ומוקדמות יותר
Adobe Audition - גרסה 14.4 ומוקדמות יותר
Adobe Bridge - גרסה 11.2.2 ומוקדמות יותר
Character Animator 2021 - גרסה 4.4 ומוקדמות יותר
Adobe Prelude- גרסה 10.1 ומוקדמות יותר
Lightroom Classic - גרסה 10.3 ומוקדמות יותר
Illustrator 2021 - גרסה 25.4.1 ומוקדמות יותר
Adobe Media Encoder - גרסה 15.4.1 ומוקדמות יותר
Adobe Premiere Pro - גרסה 15.4.1 ומוקדמות יותר
Adobe Animate - גרסה 21.0.9 ומוקדמות יותר
Adobe Premiere Elements - גרסה (2021 build 19.0 (20210809.daily.2242976 ומוקדמות יותר
Adobe InDesign - גרסה 16.4 ומוקדמות יותר
Adobe XMP-Toolkit-SDK - גרסה 2021.07 ומוקדמות יותר
Photoshop 2021 - גרסה 22.5.1 ומוקדמות יותר


צוות קונפידס ממליץ למשתמשי המוצרים לעיין ברשימת העדכונים המלאה ולהטמיעם בהתאם.

עדכון אבטחה לתוסף Hashthemes Demo Importer של WordPress נותן מענה לחולשה ברמת חומרה גבוהה

החולשה, שנמצאה במוצר המסייע למנהלי אתרים לייבא אליהם ערכות נושא, קיבלה ציון CVSS 8.1 והיא מאפשרת למשתמשים עם הרשאות Subscriber לגשת לאתרים שמריצים את התוסף בגרסה שאינה מעודכנת ולמחוק כליל את תוכנם. לדברי רם גל, חוקר מטעם WordFence שגילה את החולשה, לא יהיה ניתן לשחזר את תוכן האתר, אלא אם כן קיים לו גיבוי.
צוות קונפידס ממליץ למשתמשי התוסף לעדכנו לגרסתו האחרונה (1.1.4).

עדכוני אבטחה למוצרי NVIDIA נותנים מענה ל-9 חולשות ברמת חומרה בינונית וגבוהה
3 מהחולשות מצויות ב-Kernel שבדרייברים וניצולן עלול לאפשר מתקפת מניעת שירות (DoS), ואילו 6 חולשות נוספות מצויות בתוכנה של NVIDIA. מרבית החולשות שמקורן בתוכנה מאפשרות לנצל את ה-vGPU Plugin לביצוע מתקפת DoS, אך 3 מהן (CVE-2021-1118, CVE-2021-1119, CVE-2021-1120), שרמת חומרתן גבוהה, עלולות לשמש גם להעלאת הרשאות ולהרצת קוד מרחוק (RCE).
צוות קונפידס ממליץ למשתמשי המוצרים לעדכן את הדרייברים ואת התוכנה שברשותם לגרסאותיהם האחרונות.

 

התקפות ואיומים

״חמינאי, איפה הדלק שלי?״ - פריצה לתשתית הדלק האיראנית

ב-26 באוקטובר נרשמו שיבושים רבים בתחנות דלק בכל רחבי איראן, כתוצאה ממתקפת סייבר על תשתית ה-IT שמאפשרת רכישת דלק במחיר מוזל באמצעות כרטיס חכם, המונפק על ידי הרשויות האיראניות. כתוצאה מכך, אזרחים איראניים רבים נותרו ללא דלק למכוניותהים. במספר מקורות דווח על יותר מ-4,300 תחנות דלק ברחבי איראן שהושבתו במהלך התקיפה. בדיווח של ה-BBC נטען כי קבוצה בשם Predatory Sparrow נטלה אחריות על המתקפה, כשבמקביל גורמים רבים, בהם, כמובן, הממשל האיראני, מפנים אצבע מאשימה כלפי ישראל. עם זאת, בתגובה רשמית מטעם הממשל האיראני לא היה עד כה אזכור מפורש לאחריות של ישראל, ולא  של אף מדינה אחרת. אבו אלחסן פירוזבאדי, מזכיר המועצה העליונה האיראנית לסייבר, צוטט באומרו כי ״מוקדם מדי לקבוע איזו מדינה אחראית ובאיזו דרך ביצעה את הפעולה״. בנוסף לדברים אלה, פירוזבאדי טען כי יש סיכוי גבוה מאוד שהתקיפה הנוכחית קשורה לתקיפת הרכבות באיראן שאירעה ביולי 2021, אשר בדומה לה גם בתקיפה הנוכחית הופיעה על מסכי תחנות הדלק הודעת השגיאה  "cyberattack 64411", מספרו של חמינאי, מנהיג המדינה.


ספריית NPM מנוצלת להזרקת קוד זדוני לשם גניבת סיסמאות

הספרייה מורדת מיליוני פעמים בשבוע (כ-24 מיליון הורדת בחודש האחרון) ומשמשת חברות כמו Instagram, Google ו-Discord לניתוח וזיהוי פעילות משתמשים בדפדפנים. ב-22 באוקטובר גורם זדוני פרץ לחשבון של מפתח ספריית ה-NPM והזריק לתוכה קוד זדוני, שגרם להפצתה של ספרייה זדונית.
צוות קונפידס ממליץ למשתמשי הספרייה באופן ישיר לעדכנה לגרסתה הבטוחה. משתמשי Windows/Linux: מומלץ לבדוק אם קיים במערכת קובץ בשם ״​​jsextension״, ואם כן - למחוק אותו באופן מיידי.

יצרנית ומפיצת מוצרי הגיימינג SCUF Gaming מודיעה על דלף מידע

החברה, שדיווחה ללקוחותיה על המקרה כבר בחודש מאי, מודיעה כעת לכלל הציבור כי חקירת האירוע הושלמה וכי מתוצאותיה עלה שדלפו ממאגרי החברה פרטי כרטיסי אשראי של יותר מ-32 אלף לקוחות שרכשו מוצרים ישירות מאתרה. תקרית זו מגיעה לאחר שבחודש אפריל הודיעה החברה על דלף מידע אחר. באירוע הראשון נחשף מאגר מידע פנימי שהכיל רשומות של יותר ממיליון לקוחות.

קבוצת התקיפה הרוסית NOBELIUM, שתקפה את Solarwinds, חוזרת לתקוף

הסקירה פורטת את המאמצים והפעולות החדשים שהקבוצה, העובדת בחסות רוסיה וידועה כמי שביצעה את מתקפת ה-Supply Chain על Solarwinds, מבצעת על מנת להשיג גישה לפרטיהם של לקוחות Microsoft, זאת באמצעות ״רכיבה״ על שירותים שניתנים על ידי חברות המשווקות את מוצרי מיקרוסופט וספקי IT. מטרת פעולות אלה היא על מנת לבסס אחיזה במערות IT של חברות לטובת מבצעי ריגול עתידיים. לדברי החברה, עד כה הותקפו 14 משווקות וספקי שירותי IT. עוד פורסם כי בחודשים יולי-אוקטובר 2021 הודיעה מיקרוסופט ל-609 מלקוחותיה שהותקפו 22,868 פעמים על ידי NOBELIUM, זאת לעומת 20,500 פעמים בסך הכל בשלוש השנים שקדמו לתקופה זו. מיקרוסופט אף ציינה כי הקבוצה אינה מנצלת חולשות בתוכנות ובמערכות, אלא משתמשת בשיטות כמו פישינג וריסוס סיסמאות על מנת להשיג פרטי התחברות של לקוחות. בהמשך הסקירה מודיעה החברה שנקטה במספר צעדים לשם הגנה על לקוחותיה, בהם הפעלה גורפת של אימות רב-שלבי (MFA) והחלת מערכות לזיהוי איומים במוצריה. לסקירה מצורף מדריך טכני שנועד לסייע לחברות וספקי IT להגן על עצמן מפני פעולות קבוצת התקיפה. 

קמפיין נוזקה רחב היקפים משתמש בסרטוני יוטיוב לגניבת סיסמאות ולהפצת נוזקה

על פי פרסום ב-BleepingComputer, חוקר סייבר מחברת Cluster25 טוען כי בתקופה האחרונה נרשמה עלייה במספר קמפייני הנוזקה העושים שימוש ביוטיוב ומביאים משתמשים ללחוץ על קישורים המובילים להתקנת סוס טרויאני, אשר ללא ידיעתם גונב מהמחשב סיסמאות לחשבונות גוגל. על מנת למשוך משתמשים ללחוץ על הקישורים הזדוניים נוצרו כ-81 עמודי יוטיוב חדשים ויותר מ-100 סרטונים הועלו לרשת. זאת ועוד, התוקפים משתמשים בסיסמאות הגנובות ליצירת עמודי יוטיוב נוספים, דרכם הם מגיעים לעוד ועוד משתמשים. לרוב, הסרטונים האמורים הם סרטוני הסברה לביצוע פעולות פשוטות בתוכנות שונות, בעוד שבתיאור הסרטון מופיע קישור להורדת התוכנה, כביכול, אשר בפועל מוביל להורדת הסוס הטרויאני. הקמפיין ממחיש את הסכנות הגלומות בהורדת תוכנות ממקורות שאינם מוסמכים, כמו גם את אזלת היד של יוטיוב בשליטה על הקישורים המועלים לפלטפורמה בצמוד לסרטונים.
צוות קונפידס ממליץ לכל מי שחושד כי נפל קורבן לקמפיין לסרוק את מחשבו באמצעות תוכנת אנטי-וירוס ולהחליף את סיסמאות ההתחברות שלו לחשבונותיו.

אתר האינטרנט והאפליקציה של Tesco קרסו למשך יומיים

לקוחות ענקית הקניות הבריטית לא הצליחו לגשת לשירותי החברה המקוונים, שככל הנראה נפרצו על ידי האקרים. נכון לשעה זו אף קבוצת תקיפה לא לקחה אחריות על האירוע. השבתת האתר והאפליקציה, שהחלה בבוקר יום שבת ה-23 באוקטובר, מנעה את ביצוען של אלפי הזמנות, עד שביום שני בבוקר שבו השירותים לפעילות שוטפת. מהנתונים עולה שבכל שבוע כ-1.3 מיליון לקוחות מבצעים קניות דרך אתר ואפליקציית החברה. 

קבוצת התקיפה הצפון  Lazarus מתמקדת בשרשראות אספקה

חברת Kaspersky מסרה כי הכנופייה, הממומנת על ידי קוריאה הצפונית, החלה לאחרונה להרחיב את ניסיונות התקיפה שלה ולהתמקד בשימוש בפרצת אבטחה מסוג BLINDINGCAN Backdoor. פרצה זו מאפשרת גישה למערכות ללא צורך באימות זהות, דבר אותו ניתן לנצל לחדירה למערכות של חברות נוספות תוך שימוש בשרשרת האספקה של הארגון הנתקף. לביצוע התקיפה נעזרת Lazarus בשתי שיטות: שימוש בתוכנת אבטחת מידע לגיטימית שמקורה בקריאה הדרומית ואשר באמצעותה נשלח הקוד הזדוני ליעדו, וכן שימוש בחברה לטבית המספקת פתרונות ניטור ללקוחותיה. עוד פורסם כי הקבוצה משתמשת באמצעים לטשטוש עקבות ההתקפה ומחיקתה מהמערכת המותקפת מיד או בסמוך לתקיפה, על מנת להקשות על זיהוי ואיתור התקיפה ומקורותיה.

השבוע בכופרה

כנופיית Evil Corp הרוסית ממתגת עצמה מחדש ומסתמנת כאחראית למתקפות הכופרה על Olympus ו-Sinclair

הכנופייה, הידועה גם בשמותיה Indrik Spider ו-Dridex, הייתה מעורבת בפשעי סייבר החל מ-2007, אך בעיקר כמפיצה, או Affiliate, של ארגונים אחרים. לקבוצה ניסיון רב בהחדרת נוזקת ה-Banking Trojan שפיתחה, Dridex, באמצעות מיילי פישינג. לאחר הפגיעה בעמדה מפיצה הנוזקה את ה-BitPaymer, מצפין הקבצים של הכנופייה. ב-2019 הממשל האמריקאי הטיל על הכנופייה סנקציות, שבעקבותיהן נאסר על ארגונים העוסקים במו״מ ליצור עמה קשר ולשלם לה דמי כופר. בניסיון לעקוף את הסנקציות החלה הקבוצה להסוות את עצמה, לשנות את שמות הנוזקות אותן היא מפיצה ולתקוף מספר מוגדר של קורבנות. על פי ניתוח של חברת Emsisoft, נוזקת הכופרה Macaw Locker, שבאמצעותה נתקפו החודש החברות Olympus ו-Sinclair, היא מבית Evil Corp. עוד ידוע כי סכומי הכופר שנדרשו משתי החברות עומדים על 40 מיליון דולר ו-28 מיליון דולר (לא ברור איזה סכום נדרש מאיזו חברה), וכי הן היחידות שנתקפו ב-Macaw Locker. מכיוון שהכופרה זוהתה כווריאנט של Evil Corp, ניתן לשער שהקבוצה תשנה את שמו של הכלי פעם נוספת.

קבוצת התקיפה FIN7 יצרה חברה מזויפת לצורך גיוס כוח אדם שישמש לתקיפות כופרה במסווה של בדיקות חדירות

באמצעות הגיוס לחברת Combi Security מנסה קבוצת התקיפה להגדיל את רווחיה מתקיפות כופרה. אחת האינדיקציות לכך ש-Combi Security מקושרת לפעילות זדונית היא העובדה שהודעות השגיאה המתקבלות מאתרה כתובות ברוסית, חרף טענת החברה כי היא ממוקמת באנגליה.

חולשה קריטית בתוכנת BillQuick מנוצלת על ידי תוקפים להפצת כופרה

במאמר שפרסם קיילב סטיוארט, חוקר במעבדות Hunters, נטען כי במחקר שבצעו המעבדות נמצא שקבוצת תקיפה שאינה מוכרת מנצלת חולשת SQL Injection קריטית (CVE-2021-42258) בתוכנת התשלומים על מנת להפיץ כופרה בקלות יחסית ברשתות המשתמשים. לתוכנה כ-400,000 משתמשים ברחבי לעולם. לדברי סטיוארט, החוקרים הודיעו ל-BillQuick על החולשות שמצאו, אך למרות שהחברה פרסמה עדכון בהתאם, 8 מהחולשות טרם תוקנו. עוד העלו חוקרי Hunters שפעילותה של קבוצת התקיפה הלא ידועה החלה במאי 2020, וכי אחרי הפריצה לשרתי BillQuick הותקפה בכופרה חברה הנדסה אמריקאית, תוך ניצול שרת BillQuick פגיע כנקודת כניסה לרשת החברה, שאף הוצפנה במהלך האירוע. אנונימיות קבוצת התקיפה נובעת מכך שאינה מפרסמת בקשות כופר או מידע שנגנב מהרשתות המותקפות. ממחקר של BleepingComputer עלה כי הקוד שמשמש לתקיפותיה דומה מאוד לקוד שמשמש קבוצות תקיפה אחרות, ומוסיף את הסיומת pusheken91@bk[.]ru לקבצים המוצפנים ברשת. 

גרמניה: מתקפת כופר משביתה את מערכות קבוצת Eberspächer

מהנהלת הקבוצה, המספקת ליצרניות רבות פתרונות פליטה ירוקה למערכות רכבים, נמסר כי ״על מנת להגן על הלקוחות, העובדים והשותפים שלנו, בוצעו פעולות מיידיות להורדת ותפעול הרשת, לשם מיגור התקיפה״. עוד צוין כי נכון לשעה זו העובדים משוחררים מעבודתם ונמצאים בחופשה בתשלום. עד לכתיבת שורות אלה, אתר החברה טרם חזר לפעילות ומוצגת בו הודעה אודות התקיפה.

סייבר בעולם

 

מיקרוסופט משיקה תכנית חינמית להגנה על ארגונים ללא מטרות רווח מפני תקיפות מדיניות

התכנית, אותה פרסמה החברה ב-21 באוקטובר, מגיעה על רקע מתקפות כדוגמת NOBELIUM ומחסור במשאבי הגנה של הארגונים. שילובם של שני גורמים אלה הביא עד כה לפגיעה בפרטי תורמים ומתנדבים בארגונים. תכניתה של מיקרוסופט נועדה לספק הגנה פרואקטיבית שתכלול AccountGuard, הערכת סיכונים (ארגון ותשתית) והכשרות IT למקצוענים ולמשתמשי קצה. שאיפתה של החברה היא לתמוך בכ-10,000 ארגונים עד סוף השנה הראשונה למימוש התכנית  ובכ-50,000 עד סוף השנה השלישית.

קבוצת הכופרה Conti מפרסמת ״מודעות דרושים״ לפריצה לחברות

המודעות, שהופיעו בבלוג הקבוצה, תרות אחר ״קונים שישיגו גישה לרשת החברה X וימכרו מידע מתוך הרשת שלה״, בציון שם חברה מסוימת ופרטים אודותיה. מטרתו של צעד זה אינו ברורה, משום שהוא משמש מעין התרעה לחברה שעל הכוונת ומכין אותה לקראת הפריצה. אחת הסברות היא ש-Conti משנה את ״התכנית העסקית״ שלה, לאחר שנחשף כי ארה״ב עמדה מאחורי תקיפת שרתיה של קבוצת הכופרה הידועה REvil בשבוע שעבר והביאה להשבתתה. בידיעה שפורסמה אודות ״מודעת הדרושים״ מצוין כי נציג מטעם Conti פרסם מניפסט ארוך בו הוא מלין על פגיעתה של ארה״ב ב-REvil. שינוי זה בדרך הפעולה של Conti נועד, ככל הנראה, להסרת אחריות מהקבוצה בכל הנוגע לפריצה לרשתות ומאגרים של חברות.

ה-FBI מפרסם סממני זיהוי לכופרת Ranzy Locker

לשכת החקירות הפדרלית זיהתה את הכופרה לראשונה בתחילת שנת 2020, כאשר החלה לשמש לתקיפות רבות בארה״ב. קבוצת התקיפה המשתמשת בכופרה אינה ידועה, אך עד כה תקפה כ-30 בתי עסק, רובם תיארו דפוס פעולה של מתקפת Brute Force על שירות הגישה מרחוק למחשבים (RDP), ולאחרונה גם ניצול חולשות בשרת ה-Exchange של מיקרוסופט. נוזקת Ranzy Locker מצפינה קבצים במערכות Windows, לרבות מכונות וירטואליות, ומשאירה על העמדה הנגועה הודעת כופר עם דרישת תשלום. למסמך שפרסם ה-FBI צורפו IOCs אותם ניתן להזין במערכות ההגנה של ארוגנים לשם זיהוי והגנה מפני הכופרה. את הרשימה המלאה ניתן למצוא בקישור זה. 

סייבר ופרטיות - רגולציה ותקינה

 

משרד החוץ האמריקאי מודיע על פתיחת מחלקה שתהיה אחראית על סייבר וטכנולוגיה במישור הדיפלומטי

מהלך זה מגיע בעקבות הכינוס הבינלאומי שיזם הבית הלבן ב-24 באוקטובר בהשתתפות יותר מ-30 מדינות על מנת לגבש תגובה רב-לאומית לתופעת מתקפות הכופרה.  בהמשך ליוזמת ה-Counter-Ransomware Initiative ובמקביל להתפתחות זו, משרד החוץ האמריקאי הודיע השבוע על פתיחת מחלקה סייבר חדשה שתהיה אחראית על סוגיות סייבר וטכנולוגיה במישור הדיפלומטי, כמו גם על מינוי דיפלומט בכיר לענייני סייבר בשבועות הקרובים. מטרת צעדים אלו היא הגברת התמקדותו של משרד החוץ באיומי סייבר המהווים בשעה זו סיכון אסטרטגי. לדברי אנתוני בלינקן, שר החוץ של ארה"ב, "יש לנו חלק גדול בעיצוב המהפכה הדיגיטלית המתרחשת סביבנו ובדאגה לכך שהיא תשרת את אנשינו, תגן על האינטרסים שלנו, תגביר את התחרותיות שלנו ותקיים את ערכינו". התפתחויות נוספות בהתמודדות הממשל האמריקאי עם איומי סייבר מתגבשות במקביל במשרד המשפטים, הפותח בקמפיין נגד פעילות בלתי-חוקית במרחב הסייבר באמצעות יישום ה-False Claims Act, וכן ברשות הסחר הפדרלית, בעניין ההגנות על מידע פיננסי של צרכנים. 

מאסר בפועל לשני האקרים שהורשעו באספקת שירותי הוסטינג לפושעי סייבר אחרים

שני נאשמים בעבירות סייבר תחת חוק ה-Racketeer Influenced Corrupt Organization האמריקאי (RICOנידונו ל-2 ול-4 שנות מאסר בפועל, בהתאמה. השניים, האזרח האסטוני פבל סטאסי והאזרח הליטאי אלכסנדר סקורודומוב, הם עובדים שכירים של חברה שהוקמה על ידי שני אזרחים רוסים, אנדרי סקוורצוב ואלכסנדר גריצ׳ישקין (נגדם הוגש כתב אישום בנפרד), ופעלה לאספקת תשתית של כתובות אינטרנט, שרתים ושמות דומיין בהם נעשה שימוש לפעילות בלתי-חוקית במרחב הסייבר על ידי לקוחות החברה. העבירות שבוצעו באמצעות התשתיות כללו הפצת תוכנות זדוניות לשם קבלת גישה למחשבי ארגונים ויחידים, יצירת רשתות בוטים, גניבת אישורים בנקאיים וביצוע הונאות. בין התוכנות הזדוניות שבהן נעשה שימוש בפעילויות הפליליות שנתמכו על ידי תשתיות החברה מצויות Zeus, SpyEye, Citadel ו-Blackhole Exploit Kit. באמצעות תוכנות אלה נתקפו חברות ומוסדות פיננסיים בארה"ב ומחוצה לה בין השנים 2008 ל-2015, באירועים שהביאו להפסדים של מיליוני דולרים. בנוסף לאספקת שירותים שתמכו בביצוע עבירות, השניים שהורשעו סייעו ל"לקוחותיהם" להתחמק מגילויים על ידי רשויות אכיפת החוק.

תקינת סייבר חדשה של ה-NIST: שלוש הצעות פורסמו לתגובת הציבור

מרכז המצוינות הלאומי לאבטחת סייבר (NCCoE) של המכון הלאומי לתקנים וטכנולוגיה של ארה"ב פרסם השבוע שלוש טיוטות של תקינה בתחום הסייבר, המתמקדות בהגנת סייבר לשירותי ענן בעת הנוכחית ובהתחשב בהתפתחויות עתידיות, בדגש על שירותים היברידיים. התקן הראשון, NISTIR 8320, עוסק בטכניקות וטכנולוגיות להגנת סייבר התומכות בחומרה לשיפור אבטחת פלטפורמות, להגנת מידע במרכזי נתונים בענן ובמחשוב קצה. התקן השני, NISTIR 8320B, מפרט תפיסה להגנת סייבר עבור פריסות של מכולות בסביבות ענן מרובות-משתמשים, ומתייחס ליישום אבטיפוס של תפיסה זאת. התקן השלישי, SP 1800-19, מהווה מדריך לשימוש בסביבות ענן היברדיות. הציבור מוזמן להגיש הערות להצעות עד ל-6.12.2021.

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: שרון פישר, רחל ביניאשוילי, רז ראש, רם לוי, דבּ האוסן-כוריאל, שי שבתאי,  אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, סער אביבי, רוני עזורי, עמית מוזס וגיא פינקלשטיין.