עדכון שבועי 29.12.2022

פעם נוספת: נפרץ מאגר מידע של שירות הסיסמאות LastPass

אירוע אבטחת מידע רביעי תוך שנה בחברת LastPass (ראו ״הסייבר״, 30.12.21, ״הסייבר״, 1.9.22 ו״הסייבר״, 1.12.22), כאשר הפעם החברה פרסמה הודעה על כך שתוקף השיג גישה למאגר מידע שלה המאוחסן בענן צד ג׳, ואשר משמש לגיבוי מידע מסביבת הייצור שלה. מחקירה ראשונית שביצעה LastPass עולה שהתוקף ניגש למאגר על ידי שימוש במידע שהשיג מתקרית הדליפה שאירעה באוגוסט, בה לא נחשף מידע על לקוחות, אך נחשפו קוד מקור של החברה ופרטים טכניים מסביבת הפיתוח שלה, בהם נעשה שימוש לפנייה אל עובד בארגון לשם השגת פרטי התחברות לשרת. לדברי LastPass, השרת שנפרץ מופרד לחלוטין מסביבת הפיתוח שלה. בתקרית הנוכחית, המידע שהועתק מהשרת כולל שמות חברות, שמות משתמשים, כתובות חיוב, כתובות מייל, מספרי טלפון וכתובות IP. עוד דווח כי התוקף הצליח להשיג מידע מ״כספות״ של לקוחות, לרבות מידע לא מוצפן, כגון כתובות URL ושמות, ומידע מוצפן, כגון שמות משתמשים וסיסמאות. על פי הודעת החברה, המידע המוצפן נותר חסוי וניתן לפענחו רק בהינתן הסיסמה הראשית של חשבון ה-LastPass. באמצעות המידע שנגנב יוכל התוקף לבצע ניסיונות גישה לחשבונות משתמשים באמצעות Brute-force על מנת לפענח את סיסמאותיהם הראשיות ובכך להשיג את המידע המאוחסן ב״כספת״. עוד מאפשר המידע ביצוע מתקפות פישינג.

צוות קונפידס ממליץ למשתמשי LastPass לשנות את הסיסמה הראשית בחשבונם ואת סיסמאותיהם לאתרים אחרים שבשימוש, בדגש על אתרים רגישים במיוחד. במידה והסיסמה הראשית עומדת בתנאים המומלצים על ידי LastPass, ניתן לשקול לשנותה; במידה והיא אינה עומדת בהם, יש לשנותה בהקדם. זאת ועוד, מכיוון שכתובת ה-URL של האתרים שבשימוש אינה מוצפנת, יש לצפות לניסיונות פישינג נגד משתמשים תוך התחזות לאתרים אלה, ולכן מומלץ לעדכן את המשתמשים הרלוונטיים בנוגע לכך.

​

פיקוד הסייבר האמריקאי, ה-Cybercom, ביצע תקיפות סייבר לסיכול התערבות זרה בבחירות האמצע ברצות הברית

במסיבת עיתונאים החודש שערך ה-Cybercom, פיקוד הסייבר של ארצות הברית, חשף הארגון כיצד ביצע את מתקפות המנע נגד תוקפים רוסים ואיראנים לפני הבחירות האמורות, על מנת להבטיח את התנהלותן התקינה. לדברי הגנרל פול נקסוני, ראש ה-Cybercom והסוכנות האמריקאית לביטחון לאומי (NSA), הפיקוד ״מקיים באופן קבע מבצעים על מנת לוודא שאויבינו הזרים לא יוכלו להשתמש בתשתיות כדי לפגוע בנו״. עוד אמר כי ״הבנו כיצד האויבים משתמשים בתשתיותיהם ברחבי העולם. רצינו לוודא שאנו משביתים את התשתיות הללו ברגעי מפתח״. למרות שטרם נחשף מידע טכני על הפעולות שבוצעו השנה, פורסם כי במהלך בחירות האמצע של 2018 השבית הפיקוד פלטפורמת ״טרולינג״ רוסית כדי למנוע ממנה להפיץ מידע כוזב. עוד נחשף כי ב-2020 פעל ה-Cybercom נגד תוקפים איראנים שהקימו קמפיין בו התחזו לקבוצות ימין קיצוני אמריקאיות ושלחו מיילים מאיימים לבוחרים. 

​

קמפיין פישינג חדש מכוון נגד ממשלת הודו 

מדוח שפרסם צוות המחקר של Securonix אודות הקמפיין החדש של קבוצת התקיפה STEPPY#KAVACH, עולה כי וקטור הכניסה של התוקפים הוא מייל פישינג שנושאו מכיל מידע כוזב על נושאים הקשורים לממשלת הודו ולחדשות ישנות. המייל כולל צרופת LNK המציתה רצף פקודות שמטרתן להריץ קובץ HTA באמצעות התהליך mshta.exe, המוביל להרצת קוד JavaScript שטוען את הנוזקה mm1.exe, הכתובה בשפת #C ומסוגלת להריץ קובצי VBS ו-EXE. נוזקה זו משמשת כטרויאני המצפין ב-Triple-DES את התקשורת שהיא מבצעת מול שרת ה-C2 של התוקפים, כאשר כל התקשורת היוצאת ממנה מכוונת לכתובת IP המתארחת בגרמניה, אך מוצגת כאתר המייל של ממשלת הודו. על כוונת הנוזקה מצוי מסד נתונים ממשלתי ספציפי, kavach.db, מה שמעלה חשד לפיו התוקפים השיגו מידע פנימי, למשל אודות אמצעי האימות הרב-שלבי (MFA) המשמש את עובדי הארגון. לדברי החוקרים, נמצאו קווי דמיון רבים בין קמפיין זה לבין קמפיינים מוקדמים יותר של קבוצת התקיפה SideCopy (או APT36).

צוות קונפידס ממליץ לצוותי אבטחה לנטר את התהליך mshta.exe, להזין את מזהי התקיפה (IOCs) המופיעים בדוח ולהעלות את מודעות העובדים למיילי פישינג ולסכנות שבפתיחת צרופות.

​

ChatGPT: כלי בינה מלאכותית חדש מאפשר יצירת קמפיין פישינג ללא ידע טכני

ממשק הדיאלוג של OpenAI, שהושק בנובמבר, הינו כלי בינה מלאכותית המיישם אלגוריתמים של למידת מכונה על מגוון עצום של טקסטים על מנת להיענות לבקשות משתמשים בשפה הנדמית אנושית. לצד תשבוחות שקיבל הכלי במדיה וברשתות החברתיות, נשמעת גם ביקורת לפיה הוא צופן בחובו סיכוני אבטחה, לרבות עלייה ברמת התקיפות מצד שחקנים מיומנים פחות, שכן הוא מאפשר ליצור קוד העלול לשמש למתקפות סייבר. בדוח מפורט של חוקרי חברת Check Point הם מציגים כיצד יצרו באמצעות ChatGPT מייל פישינג הכולל צרופה זדונית.

בשלב הראשון ביקשו החוקרים מ-ChatGPT לכתוב מייל פישינג המתחזה לכזה שנכתב על ידי חברת אחסון אתרים פיקטיבית. למרות הודעת האזהרה של ChatGPT, המתריעה מפני הפרת מדיניות התוכן, הפלט היה מספק בהחלט. בשלב השני, החוקרים חידדו את בקשתם, כך שהמייל ישדר דחיפות להורדת צרופת Excel וקיבלו פלט ברמה גבוהה יותר. בשלב האחרון התבקש ChatGPT לכתוב קוד VBA זדוני לתוך צרופת ה-Excel. עוד השתמשו החוקרים בפלטפורמת Codex של OpenAI (שבמקור נועדה לתרגום שפה אנושית לקוד) ליצירת סקריפטים ל-Reverse Shell, לסריקת כתובת URL, לזיהוי חולשות SQL Injection, לסריקת פורטים, לזיהוי Sandboxes ולהמרת סקריפטים לקובצי EXE. בכך, תוך שימוש בשני כלי AI בלבד, הצליחו החוקרים ליצור מייל פישינג המכיל צרופה עם קוד VBA זדוני שמוריד Reverse Shell במחשב הנתקף, כשהמיומנות היחידה שנדרשה מהם היא ידיעת השפה האנגלית. לדברי OpenAI, החברה השקיעה רבות על מנת למנוע את ניצול מוצרי ה-AI שלה לרעה, אך עם זאת היא מודעת למגבלותיהם. ואולם, בדיוק כפי שניתן להשתמש בכלים הללו למתקפה אוטומטית, ניתן להשתמש בהם גם לצורכי הגנה אוטומטית.

​

ארה״ב: חשש כבד לגניבת זהויות של קורבנות עקב מתקפת סייבר על מכללה בסינסינטי

קבוצת התקיפה Vice Society לקחה אחריות על מתקפת הסייבר נגד Cincinnati State Technical Community College, במהלכה נחשפו באתר ההדלפות של הקבוצה פרטים אישיים מתוך מסדי הנתונים של המוסד, אשר הפכו נגישים בחינם לכל דורש. לאחר שב-2 בנובמבר זוהתה גישה לא מורשית לרשת הארגון, הדבר דווח לרשויות המקומיות ונפתחה חקירה באמצעות מומחי סייבר חיצוניים. במהלך החקירה התגלה כי בין ה-30 באוקטובר ל-2 בנובמבר הוסרו ממסד הנתונים מספר מסמכים המכילים תוכן אישי רגיש, לרבות שמות פרטיים, כתובות מגורים, מספרי ביטוח לאומי, רישיונות נהיגה, מספרי זהות, פרטים על ביטוחי בריאות ומידע פיננסי רגיש. הודעות נשלחו בדואר אל נושאי המידע שפרטיהם נחשפו, על מנת להזהירם מפני גניבת זהות ולהכווינם לנקיטת צעדים שיפחיתו את הסיכון לכך. בין היתר, הומלץ לקורבנות התקרית להקפיא את כרטיסי האשראי שלהם, לעקוב אחר השימוש בהם ולהצטרף לשירות ניטור פעולות אשראי חשודות. כמו כן, הוקם קו חם לתמיכה בנפגעי התקיפה. 

​

תשתית שירותי הבריאות בארה״ב במצב קריטי: שילוב של השפעות הקורונה, מתקפות כופרה ואיומי אבטחה אחרים

בספטמבר האחרון פרסמה הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) דוח שנועד להעריך את מצבם של בתי החולים ומערכות הבריאות במדינה, וממנו עולה כי התשתית הארצית למתן טיפול רפואי (אחד מ-55 התפקודים הלאומיים הקריטיים על פי ה-CISA) נמצאת תחת לחץ רב בעקבות מגפת הקורונה והקשיים הקליניים והפיננסיים שזו הביאה עמה, לצד אתגרים בתחומי כוח האדם ושרשרת האספקה. במקביל, מתקפות כופרה רק מחריפות את הקשיים, שכן מעבר להשלכות הברורות של שיבושים במגזר הרפואה על אבחון, בדיקה וטיפול בחולים, הן מגדילות את העומס על הצוותים הרפואיים ופוגעות ביכולת המערכת לספק טיפול רפואי. לדברי ג'וש קורמן, יועץ ואסטרטג בכיר ב-CISA, "אנו מנתחים בקביעות את הסיכון לתשתית הקריטית של המדינה ולתפקודים לאומיים קריטיים לאורך המגפה - ההערכה היא גם איכותית וגם כמותית״. הדוח שפורסם מכוון לבעלי עניין שונים, בהם מנהלי בתי חולים, ספקי שירותי בריאות ומומחי סייבר ו-IT, והוא מציג באמצעות נתונים את השפעותיהם של אתגרים שונים על ארגונים. אחת השאלות הנידונות בדוח היא החרפת נזקי הקורונה באמצעות שיבושים במרחב הסייבר. לדברי קורמן, במהלך המגפה קבוצות כופרה ״חסרות מצפון״ פגעו בבתי חולים בארצות הברית ומחוצה לה, באופן שלפחות במקרה אחד הביא למות חולים. מחלקת הבריאות ומשאבי האנוש של ארצות הברית (HHS) ומנהל המזון והתרופות האמריקאי (FDA) טענו במשך שנים שבעיות בהגנת הסייבר הן בעיות בהגנה על חולים, אך קורמן טוען כי בשטח ניכר חוסר רצון להבין את משמעות הדבר, ושפגיעה בטיפול עקב מתקפת סייבר עלולה להחמיר מצב רפואי של מטופלים, ואף להסתכם במוות.

​

איגוד בתי החולים האמריקאי (AHA) מדווח על התגברות ההתראות למתקפות סייבר במגזר הבריאות במהלך תקופת החגים

לדברי הארגון, המוביל ומקדם מרכזים רפואיים לטיפול שוויוני באוכלוסיות, התקבלו מגורמים רשמיים אזהרות מפני מתקפות סייבר נגד שירותי הבריאות, בהן אזהרת לשכת החקירות הפדרלית (FBI) והסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) מפני קבוצת הכופרה Cuba, אשר בשנה האחרונה הכפילה את קורבנותיה, לרבות 65 ארגונים לפחות ממגזר התשתיות הקריטיות (ראו ״הסייבר״, 9.12.21, ״הסייבר״, 9.6.22 ו״הסייבר״, 8.12.22), אזהרה מטעם ה-HC3, הגוף האחראי על הגנת הסייבר בסקטור הבריאות בארצות הברית, מפני כופרת Royal, הפוגעת במגזר הבריאות הציבורי ומפעיליה מציגים דרישות כופר בסך מיליוני דולרים (ראו ״הסייבר״, 15.12.22), אזהרה מפני זן חדש של כופרת BlackCat, הפוגעת במגזר הציבורי ובמרכזים רפואיים, ונראה כי היא ממשיכה את פעילותה של קבוצת הכופרה REvil (ראו ״הסייבר״, 16.2.22 ו״הסייבר״ 4.8.22), וכן אזהרה מפני קבוצת הכופרה LockBit, אשר מ-2019 פוגעת בשירותי בריאות, ולאחרונה נצפתה גרסה מעודכנת שלה, המכונה 3.0 LockBit (ראו ״הסייבר״, 5.8.21, ״הסייבר״, 9.12.21, ״הסייבר״, 26.5.22, ״הסייבר״, 25.8.22 ו״הסייבר״, 8.12.22). אזהרה נוספת מטעם ה-HC3 נוגעת לקבוצה הפרו-רוסית Killnet, המקדמת מטרות פוליטיות על ידי תקיפות מניעת שירות (DDoS) נגד ארגוני בריאות אמריקאים. על פי דיווח ב-Cybernews, בכיר בקבוצה איים למסור מידע רגיש של אמריקאים בשל תמיכתה המתמשכת של ארצות הברית באוקראינה. Killnet, שעלתה לתודעה עם פלישת רוסיה לאוקראינה, פגעה בעבר באתרי האינטרנט של שדות תעופה גדולים בארצות הברית, והיא מהווה איום על תשתיות קריטיות. בנוסף לאזהרות אלה, הסוכנות האמריקאית לביטחון לאומי (NSA) הזהירה מפני קבוצת התקיפה APT5, העשויה להיות מיוחסת לממשלת סין, ומתמקדת בקבלת גישה רחבה לרשתות על ידי פגיעה ב-Citrix Delivery Controller. 
לדברי ג׳ון ריגי, יועץ לאומי לאבטחת וסיכוני סייבר ב-AHA, ״ייתכן ותקופת החגים תוביל למאמצים מוגברים לתקיפת בתי חולים, כפי שקרה בחופשים וחגים קודמים. עם זאת, בתי החולים שלנו אינם נסגרים לעולם, ומגני הרשת שלנו ערניים. ערנות מוגברת חשובה במיוחד כיום, שכן כנופיות סייבר זרות ממשיכות לבחון את החוסן שלנו באמצעות שימוש בכלי גישה מרחוק, ניצול נקודות תורפה טכניות ושימוש במתקפות כופרה חדשות, במטרה לגנוב נתוני חולים ולשבש את אספקת שירותי הבריאות, כאשר גלי התחלואה משמעותיים ומיטות בתי החולים מתמלאות. מומלץ להטמיע את התיקונים הטכניים הכלולים בהתראות לעיל ולהכין וליישם במידת הצורך תוכניות תגובה למתקפות סייבר ומוכנות לחירום״.

איגוד בתי החולים האמריקאי (AHA) ממליץ לבתי חולים להיערך לאירועי סייבר כחלק מהיערכותם לאירועי חירום

לאחר שהסנטור מארק וורנר פרסם הצעה בנוגע למדיניות אבטחת סייבר במגזר הבריאות, ה-AHA השיב לו במכתב בו הוא קורא להעביר חקיקה פדרלית שתחזק את מוכנות אבטחת הסייבר בקרב שירותי בריאות. עוד ממליץ האיגוד שבתי חולים יתכוננו לאירוע סייבר בין שאר אירועי החירום אליהם הם נערכים בשגרה, והוא קורא להגדיל את המלאי הלאומי האסטרטגי (SNS) של הציוד הדרוש לבתי חולים להתמודדות עם אירועים מסוג זה. כמו כן, ה-AHA מציע ליצור ״תוכנית סיוע לאסונות סייבר״, שתעזור לגופי בריאות להתאושש ולשחזר את מערכותיהם לאחר מתקפות, באמצעות סיוע כלכלי והקצאת כוח אדם. המלצות אלה מבוססות על ההבנה לפיה מתקפות סייבר עלולות להשפיע על בריאות ובטיחות הציבור, לא רק על המגזר הפרטי בלבד, והן בעלות השפעה עצומה על הביטחון הלאומי כולו. הארגון הוסיף וציין כי הוא מעודד את הממשל הפדרלי להפגין גמישות כלפי ספקים במגזר הבריאות המתאוששים ממתקפות סייבר, כפי שהיה במקרים של אסונות אחרים בעבר. גישה זו נובעת מההבנה לפיה מתקפות סייבר הן בלתי נמנעות, והתאוששות של בתי חולים בעקבותיהן הינה תהליך ארוך, שכן במקביל הם מעניקים טיפול לחולים. לכן, ה-AHA מדגיש כי אין לנקוט בגישה מענישה כלפי מוסדות בריאות, במיוחד בנוגע לחובות הדיווח במקרה של אירוע סייבר. לדברי סטייסי יוז, סגנית נשיא הארגון ליחסי ממשל ומדיניות ציבורית, ״בתי החולים ומערכות הבריאות העניקו עדיפות להגנה על חולים ועל רשתותיהם מפני התקפות סייבר. עם זאת, הם זקוקים לתמיכה מהממשלה הפדרלית, שכן מגזר הרפואה ממשיך להתמודד עם איומי סייבר מצד מדינות ותוקפים מתוחכמים״.

​

אוסטרליה: אוניברסיטת קווינסלנד לטכנולוגיה חווה מתקפת כופרה

עקב המתקפה, שבמהלכה החלו מדפסות ברחבי הקמפוס להדפיס מכתבי כופר, האוניברסיטה השביתה מספר מערכות IT, כאמצעי זהירות. לדברי סגנית נשיא האוניברסיטה פרופ׳ מרגרט שייל, גם המדפסת האישית שלה הדפיסה מכתב כופר, בו צוין כי הקבוצה העומדת מאחורי המתקפה היא Royal. לאחרונה מחלקת הבריאות ומשאבי האנוש של ארצות הברית (HHS) הזהירה בתי חולים מפני הקבוצה בעקבות תקיפות שבוצעו באמריקה, עליהן דווח לראשונה בספטמבר (ראו ״הסייבר״, 15.12.22). עוד נכתב בהודעת הכופר כי מידע קריטי של האוניברסיטה הוצפן והועתק, ועלול להתפרסם באינטרנט אם לא ישולמו לקבוצה ״תמלוגים צנועים״. לדברי פרופ׳ שייל, למרות שמספר מערכות נפגעו, נראה שלא נפגעה אף ״מערכת ליבה" של התלמידים, של סגל המרצים או של הצוות הפיננסי. בשעה זו צוות טכני פנימי ומומחי סייבר חיצוניים חוקרים כיצד הצליחו התוקפים להשיג גישה אל מערכות המוסד, ומסייעים לו בשיקום מערכותיו.

​

דוח חדש חושף את פעילותה והמבנה הארגוני של קבוצת התקיפה FIN7

דוח של חברת Prodaft כולל ניתוח עומק של הקבוצה, הידועה במגוון הרחב של שיטות תקיפה בהן היא משתמשת, לרבות יצירת חברות אבטחה מזויפות על מנת להערים על מומחים לבצע פעולות תקיפה במסווה של שירותי אבטחה, וכן שימוש במכשירי USB לחדירה לארגונים. שיטות אלה נדירות מאוד בקרב קבוצות תקיפה, ומעידות על מאמציהם של חברי הקבוצה לחשוב ״מחוץ לקופסה״ ולמצוא דרכים חדשות לפגוע בקורבנות. לדברי החוקרים, FIN7 בוחרת את הארגונים הנתקפים על בסיס רווחיהם השנתיים, תאריך הקמתם ומספר עובדיהם, ומעדיפה לתקוף חברות שכבר נפגעו בעבר, או למכור לקבוצות תקיפה אחרות דרכי גישה למערכות של קורבנות. נתונים אלה מעידים על התמקדות הקבוצה בצמצום הוצאות לצד הגדלת הרווחים, מטרות שלשמן היא משתמשת בכלים ובמערכות אוטומטיות שהיא מפתחת. אחד מהכלים הללו הוא זה אשר כונתה על ידי החוקרים Checkmarks ומבצע סריקות אוטומטיות רחבות ברשת בחיפוש אחר שרתי Exchange ושירותי רשת פגיעים אחרים. בבחירת מטרותיה ובאיסוף מידע על עובדי החברות שעל הכוונת נעזרת FIN7 בשירותים כמו Crunchbase ,Owler ו-ZoomInfo, והיא משתמשת בכלים כגון SimilarWeb לניטור תנועות ברשת אל אתרי החברות בהן היא מתעניינת. עוד מוצג בדוח המבנה הארגוני של הקבוצה, הכולל צוות ניהול כללי, מפתחים, בודקי חדירות, צוות שיווק ומחלקת שותפים. ואולם, משיחות בין חברי הקבוצה שהודלפו, עולות גם שיטות עבודה מפוקפקות, לרבות סחיטה ואיומים של חברי קבוצה זוטרים על ידי חברים בכירים יותר, במטרה לגרום להם לעבוד שעות נוספות. 

צוות קונפידס ממליץ להזין במערכות ההגנה של ארגונים את מזהי התקיפה (IOCs) המופיעים בדוח שפורסם.

​

מידע של 400 מיליון משתמשי טוויטר מוצע למכירה 

האקר המכונה Ryushi פרסם באתר Breached, המהווה פלטפורמה למכירת מידע גנוב, פוסט בו הוא טוען כי בידיו נתונים ציבוריים ופרטיים של 400 מיליון משתמשי טוויטר, שהצליח להשיג בשנת 2021 באמצעות ניצול חולשת API, שבינתיים תוקנה. המידע האמור כולל פרופילי משתמשים, נתוני טוויטר ציבוריים ופרטיים, כתובות מייל, שמות, מניין עוקבים, מספרי טלפון ועוד. בפוסט שפרסם ההאקר אף מופיע קישור למידע על אופנים בהם ניתן לנצל את הנתונים, בהם מתקפות פישינג, הונאות קריפטו ומתקפות BEC. עוד מכיל הפוסט פנייה לחברת טוויטר ולבעליה אילון מאסק, לפיה מוטב שיקנו את המידע בעצמם, על מנת שלא יוטל על החברה קנס גבוה, מתוקף הרגולציה הכללית של הגנה על מידע (GDPR) של האיחוד האירופי. בתוך כך, Ryushi מסר למגזין אבטחת המידע BleepingComputer שהוא מעדיף למכור את המאגר לאדם בודד או לטוויטר תמורת 200,000 דולר ולאחר מכן ימחק את הנתונים, אחרת ימכור מספר עותקים שלהם לכמה גורמים, בתעריף של 60,000 דולר למכירה. BleepingComputer פנה אל טוויטר בנושא, אך נכון לכתיבה שורות אלה טרם התקבלה תגובה מהחברה. זו אינה הפעם הראשונה בה מידע רב השייך למשתמשי טוויטר מוצע למכירה (ראו ״הסייבר״ 01.12.22).

​

לואיזיאנה: מתקפה של קבוצת הכופרה Hive על מתחם שירותי בריאות חשפה מידע רגיש של כ-270,000 חולים

על פי הודעת ה-(Lake Charles Memorial Health System (LCMHS, הפריצה שחוותה מערכת שירותי הבריאות רלוונטית למטופלי המתחם הרפואי הגדול ביותר בעיר לייק צ׳ארלס, הכולל יותר מ-400 מיטות. בהודעה שפורסמה באתר הארגון נמסר כי ב-21 באוקטובר זיהה צוות אבטחת המידע שלו פעילות חריגה ברשת המחשבים. חקירה פנימית שהסתיימה ב-25 באוקטובר העלתה שבמהלך האירוע האקרים קיבלו גישה לא מורשית לרשת של LCMHS וגנבו ממנה קבצים רגישים שהכילו מידע על מטופלים, לרבות שמות מלאים, כתובות, תאריכי לידה, מסמכים רפואיים, מספרי זיהוי, מידע על ביטוחי בריאות, פרטי תשלום ועוד. לדברי הארגון, הרשומות הרפואיות האלקטרוניות היו מחוץ להישג ידם של התוקפים, והחל מה-23 בדצמבר הוא שולח מכתבים למטופלים שייתכן ופרטיות המידע שלהם הופרה. התקרית דווחה למזכיר מחלקת הבריאות ומשאבי האנוש של ארצות הברית (HHS), וב-15 בנובמבר היא אף צוינה באתר ההדלפות של Hive, דבר המעיד, לרוב, שהתקיים משא ומתן כושל סביב תשלום כופר. לדברי ההאקרים, המידע שנגנב מן הארגון הוצפן ב-25 באוקטובר, ארבעה ימים לאחר ש-LCMHS דיווחה כי זיהתה את האירוע. בינתיים, Hive פרסמה את הקבצים שנגנבו, לכאורה, בהם חוזים, מידע רפואי, רשומות רפואיות, סריקות ועוד. מטופלי ה-LCMHS התבקשו לגלות ערנות בנוגע לבקשות למסירת מידע אישי ונתוני תשלום, לעקוב אחר חשבונות הבנק שלהם ולדווח באופן מיידי על עסקאות חשודות. 

​

קבוצות תקיפה עוברות לשימוש ב-Add-ins זדוניים ב-Excel במקום בקובצי מאקרו

לאחר החלטתה של מיקרוסופט לחסום כברירת מחדל הרצת קובצי מאקרו בגרסאותיהן החדשות של תוכנות ה-Office על מנת למנוע את ניצולם מצד תוקפים (ראו ״הסייבר״, 28.7.22), חוקרים חוזים כעת במגמה חדשה של שימוש בקובצי XLL, או Add-ins זדוניים, על ידי קבוצות תקיפה רבות. ה-Add-ins (קובצי ה-XLL) דומים בפעילותם לקובצי DLL ומהווים פיסות קוד שניתן להוסיפן לתוכנות ה-Office השונות, על מנת לשפר את יכולותיהן וביצועיהן. אלא שבשונה מקובצי DLL, קובצי XLL מופעלים רק על ידי מנהל ה-Add-ins ב-Excel, ולמרות שהם אמורים להיות מקוריים ומוגדרים מראש, קיימים Frameworks מסוימים, כמו Add-In Express או Excel-DNA, המאפשרים למפתחים לפתח קובצי XLL משלהם. כתוצאה מכך, קבוצות תקיפה החלו לפתח ולהשתמש בקובצי XLL זדוניים, על רקע חסימת הרצת קובצי המאקרו. בשבוע שעבר, חוקרים מחברת Talos פרסמו דוח בנושא, בו מפורטים, בין היתר, שימושיהן השונים של קבוצות תקיפה בקובצי ה-XLL. למשל, החוקרים מראים כיצד APT10 הסינית משתמשת בקובצי XLL על מנת להזריק Backdoor לתוך svchost.exe, וכיצד FIN7 שולחת את הקבצים כצרופות במיילי פישינג ומשתמשת בהם כ-Downloaders של חלקים נוספים של כופרות. מגמת העלייה בשימוש בקובצי XLL, מראה כי על אף מאמציהן של חברות ענק כדוגמת מיקרוסופט למנוע ניצול לרעה של תכונות שימושיות, בהן קובצי מאקרו, קבוצות התקיפה עושות לילות כימים במטרה למצוא שיטות להמשך ניצולן. את מזהי התקיפה (IOCs) הרלוונטיים ניתן למצוא בספריית ה-GitHub של Talos.