דו״ח סייבר שבועי
עדכון שבועי 29.04.2021
עיקרי הדברים
-
משטרת וושינגטון מאשרת כי הותקפה על ידי קבוצת הכופרה Babuk
-
מערך הסייבר הלאומי מפרסם אזהרה לרגל ״יום ירושלים האיראני״
-
פייסבוק פעלה נגד האקרים מהרשות הפלסטינית
-
מערכת ניהול הסיסמאות Passwordstate נפרצה במתקפת שרשרת אספקה
-
אנו ממליצים לעדכן את המוצרים הבאים: מערכת Drupal (קריטי); למוצרי ה-GPU Drivers ולתוכנה vGPU של NVIDIA (גבוה); במוצרי Trend Micro (גבוה); מוצרי Apple; דפדן Google Chrome (גבוה).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
פורסם עדכון אבטחה ל-Drupal
פורסמו עדכוני אבטחה למוצרי ה-GPU Drivers ולתוכנה vGPU של NVIDIA
פורסמה פגיעות במוצרי Trend Micro המנוצלת לתקיפות ברחבי העולם
פורסמו עדכוני אבטחה למוצרי Apple
פורסם עדכון אבטחה לGoogle Chrome
התקפות ואיומים
הנוזקה החדשה ToxicEye מרגלת, גונבת מידע אישי ומופצת באמצעות הטלגרם
נוזקה לגניבת מטבעות קריפטוגרפיים מתחזה לעדכון של DirectX 12
מערכת ניהול הסיסמאות Passwordstate נפרצה במתקפת שרשרת אספקה
חברת Reverb מדווחת על אירוע סייבר בו נחשפו פרטים אישיים של מוזיקאים רבים
השבוע בכופרה
קמפיין התקיפה הרחב Qlocker תוקף ישירות רכיבי NAS של QNAP
משטרת וושינגטון מאשרת כי הותקפה על ידי קבוצת הכופרה Babuk
כופרה במשרד היועץ המשפטי לממשלת אילינוי
רשת רכבות בליברפול מאשרת שהותקפה בנוזקת כופרה
חשד כי מתקפת כופרה משבשת את פעילות המערך הרפואי בבית חולים באוסטרליה
סייבר בישראל
מערך הסייבר הלאומי מפרסם אזהרה לרגל ״יום ירושלים האיראני״
סייבר בעולם
פייסבוק פעלה נגד האקרים מהרשות הפלסטינית
סייבר ופרטיות - רגולציה ותקינה
הצעת חוק המקדמת איסור על סחר בנתוני מיקום של יחידים הוגשה לבית המחוקקים בארה"ב
ה-NIST מפרסם מדריך מעודכן לאבטחת מידע והגנת סייבר של מערכות תעשייתיות
בריטניה מקדמת רגולציה להגנת סייבר בתחום ה-Information of Things - בדגש על הגברת ההגנה על צרכני מכשירים חכמים
כנסים
הציטוט השבועי
״[הרשויות] רוצות להניא מתשלום דמי כופר מסיבה טובה: כופר מתדלק פעילות עבריינית עתידית, שמשמעותה יותר קורבנות. בדיוק כפי שהמחלקה רודפת אחר התנהגות סחטנית אחרת - בין אם זו המאפיה או הטאליבן - אנחנו רוצים לרדוף אחרי הפושעים, ולא אחרי הקורבנות.״
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
העדכון מיועד לגרסאות 7, 8.9, 9.0 ו-9.1 של המוצר ופותר חולשת אבטחה קריטית (CVE-2020-13672, טרם פורסם ציון CVSS) מסוג Cross-site scripting, העלולה לאפשר לתוקף להשתלט על מערכת פגיעה.
אנו ממליצים לבעלי המוצר לבחון איזה עדכון רלוונטי עבורם ולהטמיעו בהקדם.
פורסמו עדכוני אבטחה למוצרי ה-GPU Drivers ולתוכנה vGPU של NVIDIA
העדכונים נותנים מענה לחולשות שונות במוצרים. מבין 5 החולשות שנתגלו ב-ב-GPU Drives, המסוכנת ביותר (CVE‑2021‑1074, CVSS 7.5) היא ברמת חומרה גבוהה ועלולה לאפשר לתוקף להעלות הרשאות, להריץ קוד זדוני מרחוק ולגשת למידע רגיש. מבין 8 החולשות שנתגלו ב-vGPU, המסוכנת ביותר (CVE‑2021‑1080, CVSS 7.8) היא ברמת חומרה גבוהה ועלולה להוביל ל-DoS, לחשיפת מידע ולשיבוש מידע קיים, זאת משום שחלק מהמידע שמכניס המשתמש לא עובר בדיקה.
אנו ממליצים לבעלי המוצרים לעדכנם בהקדם לגרסתם האחרונה.
פורסמה פגיעות במוצרי Trend Micro המנוצלת לתקיפות ברחבי העולם
החולשה (CVE-2020-24557, CVSS 7.8), שפורסמה באוגוסט אשתקד, היא מסוג Improper Access Control Privilege Escalation והיא רלוונטית למוצרים הבאים:
Apex One
Apex One as a Service
OfficeScan XG SP1
אנו ממליצים לבעלי המוצרים לבחון ולהתקין את גרסאותיהם העדכניות ביותר לשם התמודדות עם החולשה.
פורסמו עדכוני אבטחה למוצרי Apple
העדכונים, שפורסמו ב-26 באפריל, נותנים מענה ל-252 חולשות, בהן גם חולשות Zero-day. אחת מאלה היא CVE-2021-30657 ב-macOS, המנוצלת על ידי נוזקת הסוס הטרויאני Shlayer ומאפשרת מעקף של מנגנוני האבטחה של Apple והורדת נוזקות נוספות למערכת. להלן רשימת הגרסאות העדכניות של המוצרים:
macOS Big Sur 11.3
tvOS 14.5
watchOS 7.4
iOS 14.5
iPadOS 14.5
Safari 14.1
Xcode 12.5
iCloud for Windows 12.3
עדכון האבטחה 2021-002 Catalina
עדכון האבטחה 2021-003 Mojave
אנו ממליצים לעבור על אתר עדכוני האבטחה של החברה, בו מפורטים כלל העדכונים והחולשות הרלוונטיים, ולעדכן את המוצרים בהקדם.
פורסם עדכון אבטחה לGoogle Chrome
גרסה 90.0.4430.93 של הדפדפן נותנת מענה ל-9 חולשות, 7 מהן אותרו על ידי חוקרים חיצוניים. 3 מהחולשות הן ברמת חומרה גבוהה, וניצול מוצלח שלהן עלול לאפשר לתוקף מרוחק להריץ קוד זדוני בדפדפן ואף לגשת למידע, לשנותו או למחוקו. מקורה של אחת מהחולשות החמורות (CVE-2020-21227) הוא באימות נתונים לקוי ב-V8.
אנו ממליצים למשתמשי הדפדפן לעדכנו בהתאם לפרסום הרשמי בנושא.
התקפות ואיומים
הנוזקה החדשה ToxicEye מרגלת, גונבת מידע אישי ומופצת באמצעות הטלגרם
ToxicEye, המתוארת כ-RAT (קובץ טרויאני המאפשר גישה מרחוק), שימשה ביותר מ-130 מתקפות בשלושת החודשים האחרונים. כעת, חוקרים מצ׳ק פוינט מתריעים כי הנוזקה מופצת באמצעות קבצי exe. המוחבאים בהודעות או מיילים זדוניים. לדבריהם, עם פתיחת הקישור הזדוני לקובץ מתקינה את עצמה תוכנה אשר ביכולתה לבצע פעולות כגון גניבת מידע, הריגת תהליכי מחשב, מחיקת או העברת מידע, הצפנת תיקיות והשתלטות על המצלמה והמיקרופון של המערכת, כל זאת ״מאחורי הקלעים״, ללא ידיעת המשתמש. השימוש בטלגרם להפצת הנוזקה נובע מצורת התקשורת של האפליקציה, המאפשרת גניבת מידע והעברת קבצים זדוניים למחשב הנגוע בקלות. לאור זאת, חוקרי צ׳ק פוינט ממליצים לגלות ערנות, להימנע מפתיחת הודעות שנראות חשודות ולהשתמש בכלי עזר להגנה מפני ניסיונות פישינג.
נוזקה לגניבת מטבעות קריפטוגרפיים מתחזה לעדכון של DirectX 12
על פי כתבה שפורסמה במגזין BleepingComputer, המבוססת על ציוץ של חוקר אבטחת המידע אוליבר הו בטוויטר, הנוזקה שוכנת באתר ייעודי שהוקם עבורה, כשהיא מתחזה לעדכון של המוצר מבית מיקרוסופט. DirectX הוא ממשק תכנות יישומים לסביבת Windows, המסייע בפיתוח משחקים ובהנגשת פונקציות גרפיות למפתחים. ״עדכון״ המוצר דרך האתר הפיקטיבי יוריד למחשב הקורבן אחד משני קבצים, 6080b4_DirectX-12-Down.zip או 6083040a__Disclaimer.zip, אשר יביאו להתקנת נוזקה האוספת מידע מתיקיות ומדפדפני המשתמש ושולחת אותו לתוקפים. בכך מנסים התוקפים לגנוב מידע שיאפשר להם גישה לארנקי הקריפטו של הקורבנות, זאת לאחר שנושא המטבעות הקריפטוגרפיים הפך לחם מאוד ומגמת ההקמה של אתרים מזויפים למטרות דומות ממשיכה לעלות.
אנו ממליצים להוריד תוכנות ועדכונים אך ורק מאתריהם המקוריים של ספקי המוצרים.
מערכת ניהול הסיסמאות Passwordstate נפרצה במתקפת שרשרת אספקה
חברת Click Studios, העומדת מאחורי Passwordstate, הודיעה כי תוקפים פגעו במערכת העדכונים של אפליקציית ניהול הסיסמאות והטמיעו בה נוזקה, זאת באמצעות פגיעה בשרשרת האספקה. ב-Passwordstate משתמשות כ-29,000 חברות ממגזרים רבים ברחבי העולם, אך על פי הודעת החברה נפגעו מהנוזקה אך ורק משתמשים שעדכנו את המוצר בין ה-20 ל-22 באפריל. עוד מסרה החברה ללקוחותיה כי התוקפים הוסיפו למערכת קטע קוד זדוני, אשר עם הורדת העדכון מריץ ברקע תהליך שמטרתו לגנוב מידע מזיכרון המערכת ולהעבירו לידי התוקפים. המידע אודות משתמשים שדלף במתקפה כולל שם מחשב, שם משתמש, סיסמה, כתובת מייל, שם דומיין, שם תהליך נוכחי, מזהה תהליך נוכחי, כל התהליכים הרצים על המחשב ומזהיהם, כל השירותים הרצים על המחשב וכתובת Proxy. בתוך כך, Click Studio מבהירה כי רשתותיה לא נפגעו, וממליצה לכל המשתמשים שקיבלו הודעה כי חשבונם מצוי בסכנה לשנות סיסמאות לכל השירותים, להוריד את העדכון האחרון ולאתחל את שירות ה-Passwordstate בהקדם האפשרי.
חברת Reverb מדווחת על אירוע סייבר בו נחשפו פרטים אישיים של מוזיקאים רבים
החברה, המספקת זירת מסחר ציבורית לכלל מוצרי עולם המוזיקה, דיווחה כי חוותה גישה לא מורשית למסד נתונים המכיל פרטים רבים אודות לקוחותיה. בעוד ש-Reverb שלחה ללקוחותיה מכתב אודות התקרית ללא ציון מקור התקיפה ואופן התרחשותה, חוקר אבטחת המידע בוב דיאצ׳נקו זיהה ברשת שרת Elasticsearch הפתוח לעולם, אשר לדבריו אפשר את הגישה למערכת, על 5.6 מיליון רשומותיה. לפי דיאצ׳נקו, כל רשומה מכילה פרטי לקוח של Reverb.com, לרבות שם מלא, כתובת מייל, מספר טלפון, מידע על הזמנות אחרונות ועוד.
השבוע בכופרה
קמפיין התקיפה הרחב Qlocker תוקף ישירות רכיבי NAS של QNAP
בקמפיין נעשה שימוש במנגנון 7Zip, אשר מכווץ את קבצי הרכיבים עם סיסמה, עבורה הוא דורש דמי כופר בסך 550 דולר. תקיפת Qlocker מתאפשרת עקב שתי חולשות קריטיות חדשות שפורסמו על ידי QNAP ב-16 באפריל, CVE-2020-2509 ו-CVE-2020-36195. למרות שב-21 באפריל זוהתה האפשרות לחלץ מזיכרון ה-RAM את המפתח שמשמש לנעילת הקבצים, מספר שעות לאחר מכן תיקנו התוקפים את הבאג. יש לציין כי התקיפה תועדה לאחרונה בקרב מספר חברות ישראליות.
אנו ממליצים לבעלי מוצרי QNAP NAS לעדכנם בדחיפות לגרסאותיהם האחרונות.
משטרת וושינגטון מאשרת כי הותקפה על ידי קבוצת הכופרה Babuk
המשטרה מסרה למגזין BleepingComputer כי זיהתה דליפת מידע מאחד משרתיה וכי ה-FBI מבצע חקירת עומק של המקרה. האישור בדבר התרחשות האירוע הגיע לאחר שהתוקפים פרסמו צילומי מסך שהשיגו, לכאורה, במהלך התקיפה, בהם ניתן לראות שמות של תיקיות הקשורים למבצעים משטרתיים, לעבר משמעתי של שוטרים, למידע על מעצרים שבוצעו בהפגנות בקפיטול ולמידע אודות חברי כנופיות וקבוצות שונות הפועלות בוושינגטון. התוקפים הזהירו כי אם לא יווצר עמם קשר תוך שלושה ימים, הם יפנו לחברי הכנופיות ויזהירו אותם מפני המידע שהמשטרה מחזיקה אודותם.
כופרה במשרד היועץ המשפטי לממשלת אילינוי
ב-13 באפריל דיווח קוואמי ראול, היועץ המשפטי לממשלת אילינוי, על הפגיעה ברשת המשרד: ״בשעות הבוקר ביום שבת, זוהה כי רשת המשרד נפגעה. מאז, צוות ה-IT וחוקרים מהמשרד עובדים בצמוד לרשויות החוק הפדרליות, בכדי להעריך את היקף הנזק שנגרם לרשת. החקירה נמצאת בעיצומה ואני מתחייב לפתרון הבעיה מוקדם ככל האפשר, על מנת לאפשר למשרד לחזור לפעילות ולספק שירותים קריטיים לתושבי אילינוי.״ עד כה לא פורסם מידע נוסף על החקירה.
רשת רכבות בליברפול מאשרת שהותקפה בנוזקת כופרה
בהצהרה בלעדית למגזין BleepingComputer אישרה Merseyrail, המפעילה 68 קווי רכבת בעיר האנגלית, כי הותקפה בנוזקת הכופרה Lockbit. האישור הגיע לאחר שהתוקפים השתלטו על חשבון המייל של מנהל הרשת והשתמשו בו למשלוח מיילים לאתרי חדשות שונים ולצוות העובדים. במיילים, שבשורת הנושא שלהם נכתב ״מתקפת נוזקה ודליפת מידע בחברה״, התחזו התוקפים למנהל החברה, ידעו את הנמענים על התרחשות התקיפה ואף צירפו קישור לתמונה המציגה מידע אישי של עובדים אשר נגנב על ידי התוקפים. אישור החברה על התרחשות המתקפה הגיעה לאחר בקשות חוזרות ונשנות לתגובה מצדה, אך טרם נמסרו פרטים נוספים, בשל החקירה המתנהלת בנושא.
חשד כי מתקפת כופרה משבשת את פעילות המערך הרפואי בבית חולים באוסטרליה
על פי הודעת בית החולים Wesley, השוכן בעיר בריזביין ומנוהל על ידי UnitingCare Queensland, המתקפה פגעה במערכות ובתשתיות המוסד הרפואי והשפיעה על זמינותן. נכון לרגע זה, בהיעדר אישור רשמי של הארגון בדבר מתקפת כופר, הדיווחים מתבססים כעת על הצהרות של חברי הצוות הרפואי, המתארים את קשיי הגישה למערכות.
סייבר בישראל
מערך הסייבר הלאומי מפרסם אזהרה לרגל ״יום ירושלים האיראני״
כחלק מההיערכות לקראת קמפיין ה-OpJerusalem, המתקיים מדי שנה ביום שישי האחרון של חודש הרמדאן ומתאפיין בפעילות התקפית נגד ישראל במרחב הסייבר, המערך מזהיר ומפרסם המלצות להתגוננות והתאוששות מהמתקפות הצפויות. במהלך הקמפיין, שצפוי להחל השנה ב-7 במאי, תוקפים ינסו לפגוע בארגונים ישראלים ולהשבית אותם, להשחית ולגנוב מהם מידע ואף להדביק את מערכותיהם בנוזקות כופרה.
אנו ממליצים לעבור על ההמלצות המופיעות בפרסום הרשמי של המערך ולפנות לגורם מוסמך לקבלת סיוע בהטמעתן.
סייבר בעולם
פייסבוק פעלה נגד האקרים מהרשות הפלסטינית
ב-21 באפריל פרסמה הרשת החברתית כתבה מאת שני בעלי תפקידים בארגון, מייק דוויליאנסקי, ראש מחלקת חקירות ביון סייבר, ודיוויד אגרנוביץ, מנהל מחלקת שיבוש איומים, ממנה עולה כי החברה פעלה נגד שתי קבוצות האקרים ברשות: גורם איום המכונה Arid Viper וקבוצת תוקפים המקושרת לשירות הביטחון המסכל של הרשות הפלסטינית (PSS). בפעילותה התמקדה פייסבוק בהשבתת משתמשים ובחסימת כתובות ורשתות הקשורות לשתי הקבוצות, זאת על מנת לסכל פעילויות המנצלות לרעה את הפלטפורמה, בהן פריצות לחשבונות משתמשים והפצת נוזקות ברחבי הרשת. עוד ביצעה פייסבוק חקירה מעמיקה בנוגע לאופן הפעולה של הקבוצות ואף הפיצה רשימת IOCs מפורטת. מלבד הפרטים המצויים בכתבה עצמה, ניתן לעיין גם בדוח המלא אודות הפעולה שננקטה נגד Arid Viper.
סייבר ופרטיות - רגולציה ותקינה
הצעת חוק המקדמת איסור על סחר בנתוני מיקום של יחידים הוגשה לבית המחוקקים בארה"ב
מטרתה של הצעת החוק, שהוגשה ב-21 באפריל בתמיכתן של שתי המפלגות, הדמוקרטית והרפובליקנית, היא לאסור על רשויות אכיפת החוק הממשלתיות והמקומיות בארה"ב לרכוש מגורמים מסחריים מידע אודות מיקומם של אזרחי ארה"ב ללא צו בית משפט. ההצעה, המכונה "חוק 'התיקון הרביעי אינו למכירה'", קובעת כי שימוש של כוחות האכיפה בנתוני מיקום שנרכשו ללא צו כראוי - יהווה עבירה פלילית. עוד אמורה ההצעה למנוע רכישת מידע אישי ואחר שהושג באמצעות הפרה כלשהי של תנאי השירות או מדיניות הגנת הפרטיות של ארגונים. באופן ספציפי, הצעת החוק מבקשת לחסום את השימוש בשירותים של חברת Clearview AI, חברת זיהוי הפנים אשר צברה, לטענתה, מאגר של יותר מ-3 מיליארד תמונות של יחידים שפורסמו באתרי מדיה חברתית. הצעת החוק מהווה את אחד הניסיונות הבולטים של הקונגרס להסדיר את השימוש בטכנולוגיות שאליהן פונים יותר ויותר גורמי שלטון, מבלי שחלים על הדבר החובה לקבל אישור מבית משפט או פיקוח ציבורי אחר.
ה-NIST מפרסם מדריך מעודכן לאבטחת מידע והגנת סייבר של מערכות תעשייתיות
בשנת 2015 המכון הלאומי לתקנים וטכנולוגיה של ארה״ב פרסם מסמך הנחיות ראשון לאבטחת מידע והגנת סייבר של מערכות בתעשייה, ה-Guide to Industrial Control Systems (ICS) Security) SP 800-82 Rev. 2), אשר התייחס למערכות SCADA, DCS וסוגים נוספים של מערכות תעשייתיות. כעת מפרסם ה-NIST מדריך מעודכן, על מנת לשלב בו את הלמידה מהשנים האחרונות, ליישם בו תובנות חדשות ולהתאימו להתפתחויות הטכנולוגיות והתעשייתיות העדכניות. הציבור מוזמן להגיש הערות למדריך כאן, עד ל-28.5.2021.
בריטניה מקדמת רגולציה להגנת סייבר בתחום ה-Information of Things - בדגש על הגברת ההגנה על צרכני מכשירים חכמים
חוק חדש שיוזמת ממשלת בריטניה נועד להגביר את רמת הגנת הסייבר של מכשירים חכמים, כגון "עוזרים אישיים" אלקטרוניים, פעמוני דלתות חכמים וטלפונים חכמים, הנרכשים על ידי צרכנים במדינה. מהלך החקיקה מבוסס, בין השאר, על תגובות הציבור להתייעצות ממשלתית בנושא שהחלה ביולי 2020, כמו גם על כך שבתקופת הקורונה עלה השימוש האישי בבריטניה במכשירים מסוג זה באופן משמעותי, כאשר לפי סקר ממשלתי כ-49% מתושבי הממלכה רכשו מכשיר חכם כלשהו במהלך המגפה. החוק העתידי עשוי לכלול איסור על יצרני מכשירים חכמים להשתמש בסיסמאות ברירת מחדל אוניברסליות וניתנות לניחוש בקלות (כגון Admin), חיוב של היצרנים לאפשר לכל רוכש מכשיר חכם ליצור קשר עם מוקד מידע שיאסוף דיווחים על באגים וחיוב היצרנים להצהיר באיזה שלב יפסיקו לעדכן תוכנות להפעלת המכשור. החקיקה תותאם להתפתחויות טכנולוגיות ורגולטוריות אחרות ולאיומי הסייבר המשתנים.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פרומצ'נקו, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, קונסטנטין חולביצקי, רחל נועה ביניאשוילי וגיא פינקלשטיין.