דו״ח סייבר שבועי
עדכון שבועי 31.08.2023
עיקרי הדברים
1. ישראל: מעייני הישועה: קבוצת Ragnar Locker טרם פרסמה את הדלף. צו איסור פרסום הוטל על הפרשה וככל הנראה מתקיים מו״מ עם הקבוצה; קבוצת Lockbit פרסמה מידע של חברת תבליט פלסטיק מבינה. הרשות להגנת הפרטיות מפרסמת מסמך בנושא חשיפת מידע אישי במוסדות אקדמיים.
2. סייבר בבריאות: גוף האקרדיטציה JCI: על בתי החולים להיערך להשבתת מערכות של חודש בעקבות מתקפת סייבר; ארה״ב: דלף מידע של מטופלים בעקבות מתקפת הכופרה על רשת הבריאות Prospect Medical Holdings; דלף מידע של חברת שיקום והסיעוד Ryders Health בעקבות מתקפת כופרה של Lockbit.
הסוכנות לפרויקטי מחקר מתקדמים לבריאות (ARPA-H) תממן מחקר לשיפור הגנת הסייבר של מערכת הבריאות האמריקאית.
3. ה-FBI ושותפים סיכלו את תשתית התקיפה QakBot שפעילה מ-2008 וכללה כ-700,000 תחנות בעולם ושימשה בשנים האחרונות כבשנים האחרונות כווקטור חדירה ראשוני על ידי קבוצות כופרה.
4. מתקפת סייבר גרמה לשיבוש מערכת הרכבות הלאומית של פולין.
5. *אנו ממליצים לעדכן את המערכות הבאות: מוצר ESG של Networks Barracuda (גבוה); דפדפן Chrome של Google (גבוה); דפדדפן Firefox של Google (גבוה); מערכת Microsoft Teams (גבוה);*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
CISA מוסיפה לקטלוג שתי פגיעויות חדשות המנוצלות לתקיפה
עדכון אבטחה ל-Google Chrome במערכת ההפעלה MacOS נותן מענה ל-21 חולשות מהן 8 חומרה גבוהה
עדכון אבטחה לחולשה ברמת חומרה גבוהה ב-Google Chrome עבור מערכות הפעלה Linux, MacOS ו-Windows
עדכון אבטחה ל-דפדפן Firefox של Mozilla נותן מענה ל13 חולשות, 8 מהן מוגדות כגבוהות
עדכון אבטחה ל-Microsoft Teams נותן מענה לחולשה ברמת חומרה גבוהה
עדכון אבטחה ל-(ESG (Email Security Gateway של Barracuda Networks נותן מענה לפגיעות קריטית במוצר
התקפות ואיומים
Rapid7: עליה במתקפות על מוצרי VPN של Cisco
השבוע בכופרה
ארה״ב: מתקפת כופרה על הארכיון של מדינת אוהיו
סייבר בעולם
מתקפת סייבר גרמה לשיבוש מערכת הרכבות הלאומית של פולין
מידע על כ-2.6 מיליון משתמשי Duolingo נמכר עבור 2.13 דולר
הושבתו מספר טלסקופים של NOIRLab כתוצאה מאירוע סייבר
ה-FBI הוביל מבצע מוצלח לפירוק רשת הבוטים Qakbot
מערך הסייבר של יפן מדווח על טכניקת תקיפה חדשה
ארה״ב: אוניברסיטת מישיגן ניתקה את כל מחשביה מרשת האינטרנט בעקבות אירוע סייבר
סייבר בגופי בריאות
הסוכנות לפרויקטי מחקר מתקדמים לבריאות (ARPA-H) תממן מחקר לשיפור הגנת הסייבר של מערכת הבריאות האמריקאית
ארה״ב: דלף מידע של מטופלים בעקבות מתקפת הכופרה על רשת הבריאות Prospect Medical Holdings
ארה״ב: גוף האקרדיטציה JCI: על בתי החולים להיערך להשבתת מערכות של חודש בעקבות מתקפת סייבר
ארה״ב: רשת שירותי הבריאות ובתי חולים HSHS נפגעה ממתקפת סייבר
דלף מידע של חברת שיקום והסיעוד Ryders Health בעקבות מתקפת כופרה של Lockbi
סייבר בספנות ולוגיסטיקה
מנהל הים האמריקאי (MARAD): התראה על שימוש במערכות לוגיסטיקה מתוצרת סין בחברות ספנות ונמלים
סייבר בישראל
מתקפת הכופרה על מעייני הישועה: ככל הנראה מתנהל מו״מ עם התוקפים, צו איסור פרסום הוטל על דלף המידע
קבוצת הכופרה Lockbit תקפה את החברה Tavlit הישראלית
הרשות להגנת הפרטיות: המלצות לניהול מידע אישי וסיכוני חשיפת מידע במוסדות אקדמיי
סייבר ופרטיות - רגולציה ותקינה
התפרסמה הצהרה משותפת של רשויות הגנת הפרטיות באיחוד האירופאי: אזהרה מפני הסיכונים לפרטיות שב"גירוד מידע" (data scraping)
נכנס לתוקף ה-Digital Services Act של האיחוד האירופאי: חברות שמספקות שירותים דיגיטליים נדרשות להגביר את רמת הגנת הסייבר
כנסים
הציטוט השבועי
_"אנחנו נמשיך לפגוע באופן שיטתי בכל חלק של ארגוני פשיעת הסייבר, כולל הסייענים והכספים שלהם - על ידי שיבוש ופירוק היכולת שלהם להשתמש בתשתיות לא חוקיות כדי לתקוף אותנו ."_
- ראש ה-FBI כריסטופר ריי, בהודעה לעיתונות בעקבות המבצע להפלת רשת Qakbot ב 29/8/23
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
CISA מוסיפה לקטלוג שתי פגיעויות חדשות המנוצלות לתקיפה
הפגיעות RARLabs WinRAR CVE-2023-38831 לפני הגרסה 6.23 מאפשרת לתוקפים להריץ קוד זדוני כאשר משתמש מנסה לראות קובץ בתוך ארכיון ZIP. הפגיעות CVSS 7.5 CVE-2023-32315, מתבצעת בממשק קונסולת הניהול של Openfire, ממשק הניהול נמצא פגיע למתקפת Path Traversal המאפשר למשתמש לא מאומת להתחבר לסביבת Openfire Admin Console.
צוות קונפידס ממליץ לעדכן לגרסה העדכנית ביותר של RARLabs WinRAR 6.23 ו-Openfire 4.7.5.
עדכון אבטחה ל-Google Chrome במערכת ההפעלה MacOS נותן מענה ל-21 חולשות מהן 8 חומרה גבוהה
Google פרסמה עדכון עבור Google Chrome המיועד למערכות ההפעלה MacOS. שיושק בהדרגה בימים הקרובים. בסך הכל פורסמו 21 חולשות, כאשר 8 מהן מוגדרות כחולשות ברמת חומרה גבוהה. ניצול מוצלח של חולשות אלו מאפשרות לתוקף לגשת למידע רגיש, להריץ קוד שרירותי ולהביא לקריסת המערכת עקב גלישת חוצץ (באנגלית: Buffer overflow). גלישת חוצץ היא שגיאת תוכנה המתרחשת כאשר מנסים לכתוב לאזור בזיכרון יותר מידע מאשר הוא יכול להכיל וכתוצאה מכך אותו מידע "זולג" מחוץ לגבולות החוצץ ומשנה נתונים שלא אמורים להשתנות.
צוות קונפידס ממליץ לעדכן לגרסה העדכנית ביותר (116.0.5845.120 ומעלה) של ChromeOs.
עדכון אבטחה לחולשה ברמת חומרה גבוהה ב-Google Chrome עבור מערכות הפעלה Linux, MacOS ו-Windows
Google פרסמה עדכון עבור Google Chrome המיועד למערכות ההפעלה Linux, MacOS ו-Windows.
העדכון יושק בהדרגה במהלך הימים או השבועות הקרובים. החולשה שתוקנה (CVE-2023-4572) הינה חולשה ברמת חומרה גבוהה וניצול מוצלח של החולשה יכול לאפשר לתוקף מרחוק לבצע השחתת זיכרון (heap corruption) על ידי דף HTML זדוני.
צוות קונפידס ממליץ לעדכן את Google Chrome לגרסה העדכנית ביותר (116.0.5845.140) ל-MacOS ו-Linux ו-(116.0.5845.140/.141) ל-Windows.
עדכון אבטחה ל-דפדפן Firefox של Mozilla נותן מענה ל13 חולשות, 8 מהן מוגדות כגבוהות
חברת Mozilla שחררה עדכוני אבטחה עבור דפדפן Firefox בגרסה 117 (העדכנית ביותר). במסגרת העדכון תוקנו 13 חולשות מהן 8 מוגדרות ברמת סיכון גבוהה. בקבוצה הראשונה של החולשות שתוקנו (CVE-2023-4573, CVE-2023-4574, CVE-2023-4575) ישנה חולשת use after free הנובעת מהגדרה והקצאה לא תקינה של משאבים לזיכרון וחולשות אלו עולולות להוביל לקריסה של המערכת ומניעת שירות.
חולשה נוספת (CVE-2023-4576) משפיעה ספציפית על מחשבי Windows ומכילה חולשת buffer overflow, שגם היא חולשה בהקצאת זיכרון וניצול מוצלח שלה עלול לגרום לדליפת מידע ויציאה מסביבת sandbox.
חולשה נוספת הקשורה לשיבוש בזיכרון היא CVE-2023-4577, הנמצאת ברכיב קוד פנימי של firefox ועלול לגרום למניעת שירותים מסויימים בדפדפן. שאר החולשות הן ברמות חומרה בינוניות ונמוכות וקשורות לליקויים בהגדרות הצפנה בהתראות דפדפן מסויימות, הורדות קבצי אקסל ללא אזהרות ועוד.
צוות קונפידס ממליץ לעדכן את דפדפן Firefox לגרסה העדכנית ביותר כדי להימנע מניצול פוטנציאלי של חולשות אלו.
עדכון אבטחה ל-Microsoft Teams נותן מענה לחולשה ברמת חומרה גבוהה
מיקרוסופט דיווחה על חולשה במערכת Microsoft Teams, אשר עשויה לאפשר לתוקף מרחוק להשיג העלאת הרשאות בעקבות חוסר שליטה על שינוים לתכונות של אובייקטים בחלון ה- Pluginhos. על ידי שליחת בקשה בעלת מבנה מיוחד, תוקף מאומת יכול לנצל את הפגיעות הזו כדי להפעיל קוד שרירותי עם הרשאות גבוהות יותר.
צוות קונפידס ממליץ לעדכן את גרסת עדכנית ביותר.
עדכון אבטחה ל-(ESG (Email Security Gateway של Barracuda Networks נותן מענה לפגיעות קריטית במוצר
Barracuda Networks, חברה המספקת מוצרי אבטחה, רשת ואחסון המבוססים על מכשירי רשת ושירותי ענן, פרסמה עדכון אבטחה לפגיעות במוצר (ESG (Email Security Gateway. ה-FBI ממליץ להפסיק להשתמש במוצר ולהסירו מרשתות ארגוניות, מאחר ולטענתו, התיקון שפרסמה החברה אינו אפקטיבי והפגיעות עדיין מנוצלת בפועל על ידי תוקפים בעולם. הפגיעות מזוהה כ-2023-2868-CVE עם CVSS 9.8. ניצול מוצלח של חולשה זו יכול לאפשר לתוקף להשתלט מרחוק על המוצר ללא צורך בהזדהות. ב-Barracuda ממליצים לארגונים שהציוד שלהם הותקף, להחליפו בציוד חדש שהם יספקו .
בנוסף פורסמו אינדיקטורים המזוהים עם התקפות שנעשו ע״י ניצול חולשה זו ואפשר לראות אותם כאן.
התקפות ואיומים
Rapid7: עליה במתקפות על מוצרי VPN של Cisco
חוקרי חברת Rapid7 הבחינו בעליית מדרגה בפעולות הזדוניות כלפי מוצרי Cisco ASA SSL VPN החל מחודש מרץ. על פי הפירסום תוקפים החלו להשתמש במתקפות brute-force כדי לנצל סיסמאות חלשות, גנריות ודיפולטיביות במוצרים אלו של Cisco. מתקפות אלו עוקפות אימות דו שלבי במקרים מסויימים. חלק מאירועים אלו הובילו להמשך התקנת נוזקות שהובילו למתקפות כופר על ידי קבוצות תקיפה כמו LockBit ו-Akira על ארגונים ממערכת הבריאות, שירותים מקצועיים, תעשייה ועוד… האנליסטים של חברת Rapid7 עבדו יחד בשיתוף פעולה עם Cisco כדי לנתח ולאסוף דרכי פעולה של התוקפים ואינדיקטורים לכלים שבהם השתמשו. בעקבות עליית המדרגה בתופעה זו, Cisco מחדדת וממליצה ללקוחותיה להשבית משתמשים דיפולטיבים, ליישם אימות דו שלבי, ליישם התחברות באמצעות VPN, לנטר חיבורים ולעדכן עדכוני אבטחה בהקדם האפשרי (בעדיפות לאופן אוטומטי).
השבוע בכופרה
ארה״ב: מתקפת כופרה על הארכיון של מדינת אוהיו
הארכיון הרשמי של מדינת אוהיו (OHC) בארצות הברית נפל קורבן למתקפת כופרה בתחילת חודש יולי. הארכיון, שמכיל מסמכים היסטוריים ומשפטיים של המדינה, שיתף שהם שהתוקפים גנבו ב מידע של כ-7600 אנשים, ביניהם תורמים, בעלי מניות, עובדים וספקים. המידע הכולל שמות, כתובות, מספרי ביטוח לאומי, פרטים בנקאיים ועוד. מעבר לדלף המידע, המידע גם הוצפן. התוקפים דרשו כופר בסך מיליוני דולרים בתמורה למפתחות ההצפנה. הארגון ניסה להגיע להסכם עם התוקפים, אך ללא הצלחה. הארגון העריך שוקטור חדירה היה הודעת דוא"ל מזויפת (פישינג). בתגובה לאירוע הארגון החליט להעביר חלק גדול מהמידע לשירותי ענן. יש לציין שמדינת אוהיו נפגעה בשנתיים האחרונות במתקפות כופרה שפגעו במוסדות המדינה, מה שמעיד על רמת הפגיעות באזור זה.
סייבר בעולם
מתקפת סייבר גרמה לשיבוש מערכת הרכבות הלאומית של פולין
ביום שבת האחרון, ה-28 באוגוסט, שובשה הפעילות של למעלה מ-20 רכבות נוסעים ומשא בפולין. בחקירת התקרית עלה כי האקר השתלט על תדרי הרכבות בפולין, שלח אליהן אות חירום וגרם להן להיעצר למשך מספר שעות. לאחר העמקה, התברר כי המתקפה לא הייתה "סייברית" במובן המלא של המילה. בפועל, התוקפים שלחו פקודות "radio-stop" באמצעות תדר רדיו ישיר אל הרכבות. חשוב לציין כי רכבות, המשתמשות במערכת רדיו ללא הצפנה או אימות, פגיעות לפקודות אלו, וכך כל גורם עם ציוד רדיו שעלותו היא ב-30 דולר יכול להשבית את הרכבת. משטרת פולין עצרה שני חשודים בעקבות התקרית. דובר המשטרה בעיר שבה אירע המעצר מסר כי "שני הגברים שנעצרו הם אזרחים פולנים". המשטרה גם תפסה ציוד רדיו מהדירה שבה נתפסו שני החשודים. האזנתם לשידורי הרדיו, החוקרים גילו קטעים מההמנון הרוסי ומנאומו של הנשיא הרוסי, ולדימיר פוטין, מה שמחזק את ההערכה שהמתקפה נעשתה על ידי גורמים פרו-רוסים.
מידע על כ-2.6 מיליון משתמשי Duolingo נמכר עבור 2.13 דולר
בתחילת שנת 2023, תוקפים הצליחו להשיג מידע על כ-2.6 מיליון משתמשים של הפלטפורמה ללמידת שפות, DuoLingo. התוקפים הצליחו להשיג את מידע זה על ידי scraping למידע שיובא מה-API החשוף של Duolingo המידע הזה הוצג למכירה בפורום אשר, לאחרונה, הופסק פעילותו. המחיר המבוקש עמד על 1,500 דולר. המידע המוצג כלל שמות משתמשים, פרטים אישיים, כתובות דוא"ל ופרטים נוספים הקשורים לשימוש בשירות. האפשרות לקשר בין הכתובות לשמות המשתמשים והפרטים האישיים מגבירה את הסיכון לניצול המידע למתקפות phishing מתוחכמות ומטעות. בהמשך, התגלה כי המידע מוצע למכירה נמכר בפורום הפריצה החדש, "breached forum", במחיר מופחת של 2.13 דולר. למרות ש-Duolingo דווחה על התופעה, הגישה ל-API נותרה פתוחה. הפגיעה במידע המשתמשים עלולה להביא להפרות חוקיות בתחום הגנת הפרטיות של המשתמשים. דובר מטעם Duolingo טען שהם חוקרים את התקרית ושהמידע נלקח ממידע מפרופילים הגלויים לציבור, כך שלא היה אירוע של דליפת מידע לטענתם.
הושבתו מספר טלסקופים של NOIRLab כתוצאה מאירוע סייבר
אירוע סייבר התרחש במעבדה בשם NOIRLab של הארגון הממשלתי של ארה״ב NSF אשר מפעילה מספר טלסקופים מהמתקדמים בעולם. האירוע, שבוצע על ידי תוקפים לא ידועים (טרם פורסם) אשר זוהה לראשונה בראשון לאוגוסט לאחר זיהוי פעולות חשודות (שלא פורסמו) על עמדות קצה בארגון. מיד לאחר מכן, צוות ה-IT של הארגון השבית את האתר שלהם וכלים פנימיים נוספים הקשורים לתפעול הטלסקופים. כאמצעי זהירות, הושבתו מערכות התקשורת של הטלסקופים Víctor M. Blanco 4-meter Telescope ו-SOAR Telescope כך שלא ניתן לצפות בהם בצורה המיטבית, במקום זה, תצפיות נעשות על ידי צוותים מקומיים וכשהטלסקופ ב-service mode. בנוסף להשבתת טלסקופים אלו, הושבתו מערכות במתקני תצפית בצ׳ילה השייכים גם כן לארגון. NOIRLab טוענת שהיא מאמינה בשיתוף ועדכון שוטף על האירוע והתקדמות הטיפול בו (במסגרת מה שניתן לשתף) ועדכונים בנוגע להתקדמות הטיפול באירוע מפורסמים באתר עדכונים שלהם.
ה-FBI הוביל מבצע מוצלח לפירוק רשת הבוטים Qakbot
בתאריך 29.8.23, ה-FBI בשיתוף עם משרד המשפטים של ארה"ב הקימו מבצע בינלאומי שכלל את צרפת, גרמניה, הולנד, רומניה, לטביה ואנגליה, במטרה להשמיד את רשת הבוטים המוכרת בשם Qakbot. המבצע הבינלאומי הזה, אחד הגדולים והמרשימים ביותר שבוצעו עד היום נגד תשתיות פושעי סייבר.
נוזקת QakBot, הידועה גם בשם Qbot או Quackbot, אחראית למספר משמעותי של הדבקת נקודות קצה בנוזקות מאז לפחות שנת 2008, מה שהופך את רשת זו לאחת מהרשתות ה-botnet הותיקות ביותר שעדיין נשארו פעילות. אז שימשה כ-banking trojan שמטרתו לאסוף פרטי התחברות של לקוחות בנקים. ההדבקה של העמדות בדרך כלל נעשתה על ידי קמפייני פישינג המכילים תוסף עם הנוזקה או לינק המוביל להורדתה. QakBot מאז השתכללה והפכה לרשת בוטים בעלת יכולות רבות ומטרות שונות עם קשר עמוק לפושעי סייבר וקבוצות תקיפה. רשת הבוטים קושרה למתקפות רבות בסקטור הפיננסי והתעשייתי, מתקפות כופר וחדירה לרשתות. המבנה המודולרי של הנוזקה מאפשר דרכי פעולה כמו גניבת מידע, איסוף מודיעין, הזרקת קוד בממשקי web וייבוא של נוזקות נוספות כמו נוזקות כופרה. QakBot נשארה רלוונטית ופופולרית יחסית בגלל מכירת גישה לעמדות של קורבנות ופיתוח מתמיד של הנוזקה. חלק מקבוצות תקיפה אשר השתמשו ב-Qakbot הן: Conti, ProLock, Egregor, REvil, Megacortex, BlackBasta, Royal ו-PwndLocker. מבנה רשת הבוטים מורכב ממספר שלבים של שרתי Command & Control, מה שבונה את ההיררכיה והמידור של התקשורת בין תחנת הקצה המודבקת ולשרת השליטה המרכזי של התוקף. לאחר שה-FBI הצליח למפות את מבנה רשת QakBot, הם דיווחו על כך שכ-700,000 עמדות הודבקו ברחבי העולם וכ-200,000 מהם בארה״ב. המבצע הבינלאומי הצליח לנטרל את פעילות Qakbot על ידי הפניית התעבורה של הרשת לשרתים בשליטת ה-FBI. כתוצאה מכך, השרתים האלה שלחו למחשבים המודבקים קובץ הסרה של הנוזקה, ובכך הסירו אותה. המבצע הזה הוא דוגמה לתוצאות המוצלחות שניתן להשיג כאשר גופים ממדינות שונות מתאגדים יחד כדי להילחם בפשעי סייבר ולמגר את פעילות התשתיות התומכות תוקפים. בנוסף לכך, ה-FBI דיווח על כך שהוחרמו מיליוני דולרים במטבעות דיגיטליים לאחר הפרסום של ה-FBI על המבצע, CISA שחררה דוח מפורט על המבנה, דרכי הפעולה וההדבקה והמלצות נגד מקרים דומים בעתיד.
מערך הסייבר של יפן מדווח על טכניקת תקיפה חדשה
מערך הסייבר של יפן (JPCERT/CC) אישר כי במתקפה אשר התרחשה בחודש יולי השנה בוצע שימוש בטכניקה חדשנית שמטרתה לעקוף את מערכות ההגנה. הטכניקה הזו מבוססת על הזרקת קובץ Word זדוני לתוך קובץ PDF. השיטה הזו מכונה "MalDoc ב-PDF".
כאשר מפתחים קובץ באמצעות הטכניקה הזו, הקובץ ייראה כאילו הוא קובץ PDF רגיל בבדיקה סטטית, אך בפועל, בפתיחה שלו הוא לא עוקף את ההגדרה המשביתה הפעלה אוטומטית במאקרו של Word.
מכיוון שהקבצים מזוהים כקובצי PDF, מומלץ לנקוט במשנה זהירות לגבי תוצאות הזיהוי במקרה שמבצעים ניתוח אוטומטי של תוכנות זדוניות באמצעות כלים מסוימים, ארגז חול (מאנגלית: Sandbox) וכו׳. בנוסף, ניתן לצפות בסרטון המציג את הבדיקה הסטטית והדינמית שבוצעה על הקובץ, כדי להבין את המנגנונים והתהליכים שעבר הקובץ במהלך ההתקפה.
ארה״ב: אוניברסיטת מישיגן ניתקה את כל מחשביה מרשת האינטרנט בעקבות אירוע סייבר
ביום ראשון ה-27 באוגוסט התרחשה מתקפת סייבר באוניברסיטת מישיגן. בתגובה, האוניברסיטה ניתקה את רשת האינטרנט ואת פורטל הקמפוס, המשמש בין היתר למחקר ולגיוס כספים. בהודעת האוניברסיטה פורסם כי מענקי הסיוע של האוניברסיטה עשויים להתעכב בעקבות המתקפה. בהצהרה מעודכנת מיום חמישי נמסר שהשחזור של רשת האינטרנט הושלם ושהגישה אליו חזרה. המתקפה וניתוק רשת האינטרנט בתגובה אליה לא גרמו לדחייה של פתיחת שנת הלימודים, אף שהיעדר גישה של סטודנטים לאתר הקמפוס הקשתה על הגישה שלהם לחומרים ועל האפשרות שלהם לקבל מידע על מיקומי הכיתות ועוד. לפי הפרסומים, הצוות הטכנולוגי סייע לסטודנטים לגשת לפורטל האקדמי שלהם מרשתות מחשבים מחוץ לקמפוס או דרך ספק האינטרנט הסלולרי. לא פורסם מידע בנוגע לזהות התוקף או לאפשרות לדלף מידע כתוצאה מהמתקפה.
התקרית מתרחשת שבועות לאחר שבבית הלבן נערכה פגישה מתוקשרת עם מנהלי בתי ספר שהודגשה בה החשיבות של הגנה על מוסדות אקדמיים מפני תוכנות כופר ומתקפות סייבר לקראת פתיחת שנת הלימודים.
סייבר בגופי בריאות
הפרויקט החדש נועד לשמור על פרטיות ורווחת המטופלים על רקע הזינוק במתקפות סייבר, במיוחד מתקפות הכופרה על מערכות הבריאות שהתדירות שלהן עולה מדי שנה. ARPA-H הודיעה ב-17 לאוגוסט 2023 כי היא משיקה יוזמה חדשה במטרה לפתח טכנולוגיות הגנת סייבר במטרה לשפר את ההגנות על התשתיות הדיגיטליות של שירותי הבריאות בארה״ב. ARPA-H היא סוכנות חדשה שהושקה על ידי ממשל ביידן בשנה שעברה כדי לסייע בטיפול במספר נושאים בשירותי הבריאות בארה"ב. הפרויקט Digital Health Security או Digiheals יאפשר לחוקרים ואנשי טכנולוגיה ברחבי ארה״ב להגיש הצעות בין התאריכים ה-17 לאוגוסט ועד ה-7 בספטמבר לכלי הגנת סייבר המותאמים במיוחד למערכות בריאות, בתי חולים ומרפאות, ומכשירים הקשורים לבריאות. מנהלת ARPA-H, רנה וגרז'ין, הדגישה את חשיבות הפרויקט ואמרה כי "יש ליישם בהקדם יכולות הגנת סייבר על מערכת הבריאות בארה"ב כדי להגן על פרטיות, בטיחות וחיים של המטופלים."
ארה״ב: דלף מידע של מטופלים בעקבות מתקפת הכופרה על רשת הבריאות Prospect Medical Holdings
קבוצת תקיפה בשם Rhysida טוענת כי היא מחזיקה בלמעלה מ-500,000 מספרי ביטוח לאומי, דרכונים, סריקות של רישיונות נהיגה ותיקים רפואיים ומציעה אותם למכירה עבור 50 ביטקוין (1.3 מיליון דולר). לטענת הקבוצה, היא גנבה 1 טרהבייט של קבצים, בנוסף ל-1.3 טרהבייט כמסד נתונים של SQL. המכירה הפומבית של הקבצים צפויה להסתיים ביום שבת הקרוב (2 בספטמבר).
מתקפת הכופר בוצעה ב-3 באוגוסט ופגעה ברשתות התקשורת של חברת Prospect Medical Holdings המתפעלת 16 בתי חולים ו-165 מרפאות ברחבי ארה״ב. מעבר לגניבת המידע, המתקפה גרמה לפגיעה בשירותים הרפואיים, כולל חדרי מיון ומרפאות בפנסילבניה, רוד איילנד, קונטיקט, טקסס וקליפורניה. לאור הפגיעה, אמבולנסים נאלצו להפנות מטופלים מבתי החולים והוא עבר לנוהל עבודה ידנית.
למחרת המתקפה, ב-4 באוגוסט, הוציא מרכז תיאום הסייבר במשרד הבריאות האמריקני (HC3) התראת בטיחות בנוגע לכופרת ״Rhysida״. על פי ההתרעה, Rhysida היא קבוצת ״כופרה כשירות״ (RaaS) שהחלה לפעול בחודש מאי 2023. אופן התקיפה המסתמן של הכופרה הוא באמצעות תקיפות דיוג (Phishing) וכלי המשמש למבדקי חדירה (Cobalt Strike) על מנת לחדור לרשתות הקורבנות. בהמשך, הכופרה מצפינה את הקבצים, מדליפה את המידע ומשאירה הודעה בקובץ PDF בו היא מציגה את דרישות הכופר שלה.
יצוין כי בשלב זה, טרם ברור מי עומד מאחורי הקבוצה. זהות הקורבנות של הקבוצה מגוונת והיא תקפה ארגונים ממגזרים שונים, בין היתר: החינוך, הממשל, הייצור והטכנולוגיה, ולאחרונה ארגוני הבריאות. כמו כן, הקבוצה פגעה בקורבנות ברחבי העולם, בין היתר בארה״ב, שלל מדינות באירופה, אוסטרליה, קנדה, קטאר וקניה.
ארה״ב: גוף האקרדיטציה JCI: על בתי החולים להיערך להשבתת מערכות של חודש בעקבות מתקפת סייבר
העלייה האחרונה במתקפות סייבר, במיוחד מתקפות כופר על בתי חולים ומערכות בריאות גורמת לכך שהפוטנציאל לחוות מתקפת סייבר בארגוני בריאות אינה שאלה של "אם" אלא שאלה של "מתי". הכנה למתקפת סייבר אינה צריכה להיות דאגה רק לצוות ה-IT של בית החולים; כל צוות בית החולים חייב להיות מוכן לפעול בזמן חירום סייבר.
ישנן פעולות שבתי חולים וארגוני בריאות יכולים לנקוט כדי להתכונן למתן טיפול בטוח למטופלים במקרה של מתקפת סייבר על ידי שימוש בתקני ניהול החירום של הוועדה המשותפת (Joint Commission’s Emergency Management).
הוועדה דורשת מבתי החולים להחזיק בתוכנית המשכיות פעולה (BCP), תוכנית התאוששות מאסון, ותוכנית חינוך והדרכה לניהול חירום כחלק מתוכנית מקיפה. בתי חולים חייבים לתקף מדי שנה את תוכניות אלו.
הוועדה הציגה 7 המלצות עיקריות שעל כל בית חולים לבצע על מנת להבטיח את המוכנות לאירוע סייבר ואת שימור הרציפות הרפואית בזמן ההתאוששות מאירוע:
1. יש לבצע תעדוף של שירותי בית החולים ולקבוע את רמת הקריטיות של המחלקות השונות באירוע השבתה ממושך. ארגונים צריכים להיות מוכנים להתמודד עם מכשור רפואי קריטי שיעבוד במצב לא מקוון למשך ארבעה שבועות ומעלה.
2.להקים וועדה לתכנון הרציפות הרפואית בעת השבתת מערכות שתורכב מנציגים מכל בעלי העניין - כולל מומחי IT צוות שעת חירום של בית החולים, משאבי אנוש, רוקחות, יחסי ציבור, ניהול סיכונים, מחלקת כספים ומכל יחידות ומחלקות רפואיות בית החולים. תחומי האחריות של הוועדה יכולים לכלול סקירה וחיזוק של תוכנית הערכת סיכוני IT פרואקטיבית של הארגון; פיתוח והערכה של נהלים ומשאבים לשימוש בזמן השבתה; ייעוץ להנהלה להיות מוכנה לתגבור כוח אדם או הזמנת ציוד בזמן השבתה.
3.לפתח תוכניות, נהלים ומשאבים שישמשו את בית החולים בזמן השבתת מערכות מחשוב כדי לשמור על בטיחות המטופלים ולתחזק את פעילות בית החולים בהתאוששות ממתקפת סייבר.
4. ייעוד צוותי תגובה. הקמת צוות ייעודי לטיפול אירועי השבתה בלתי צפויים. תחומי האחריות של הצוות יכללו הערכת חומרת מתקפת הסייבר, החלטה אם להעביר את הארגון להשבתה מלאה או חלקית, הנחיית הצוות לנקוט בצעדים הנדרשים להבטחת בטיחות המטופלים ותקשורת עם ההנהלה הארגונית.
5.הדרכת ראשי צוותים, צוותים וכל הצוות כיצד לפעול בזמן השבתת מערכות. הדרכת ראשי צוותים וצוותים לגבי סוגי התקריות שיגרמו להשבתה להיכנס לתוקף.
6.שיפור המודעות למצב והערכות לשימור התקשורת הפנים ארגונית ועם המטופלים והמשפחות.
7.לאחר המתקפה יש לבצע התארגנות מחדש, הערכת מצב הארגון - כולל רמות המוכנות לחירום ולנקוט בצעדים לשחזור והגנה על מערכות.
ארה״ב: רשת שירותי הבריאות ובתי חולים HSHS נפגעה ממתקפת סייבר
מתקפת סייבר שהתרחשה ביום ראשון ה-27 באוגוסט ברשת שירותי הבריאות ובתי החולים Hospital Sisters Health System (HSHS) גרמה להשבתת חלק ניכר מהמערכות ולשיבוש הפעילות הרפואית. לפי הפרסום באתר ה-HSHS, הפסקת המערכות הוציאה באופן זמני כמעט את כל מערכות ההפעלה למצב לא מקוון וצוותי ה-IT החלו לעבוד על שחזור המערכות. למרות ההשבתה הזמנית, פורסם באתר שכמעט כל בתי החולים והמרפאות של HSHS נשארו פתוחים ומטפלים בחולים. בהצהרה שפרסמה HSHS ביום שני נכתב כי השירותים הבאים הושבתו: קווי הטלפון של בתי החולים; מערכת לזימון תורים; תוכנות המסרים; תוכנות לתשלום חשבונות; שירותים לקבלת תוצאות בדיקה והנחיות לאחר הביקור, בקשות מילוי מרשם. ביום שלישי בית החולים דיווח על חזרת הפעילות של קו הטלפון הראשי של אחד מבתי החולים שנפגעו. זהות התוקפים לא ידועה ואין דיווחים על דלף מידע כתוצאה מהמתקפה, אך הרשת פרסמה שלא ניתן להפריך אפשרות כזאת ושהיא מנהלת חקירה בנושא. רשת הבריאות מספקת באתר שלה דיווחים שוטפים על מתקפת הסייבר וההשפעה שלה על כל אחד מהארגונים שהיא מנהלת.
הרשת הינה רשת שירותי בריאות ללא מטרות רווח שבסיסה בספרינגפילד (אילינוי) והיא מפעילה 15 בתי חולים ומתקני בריאות אחרים במערב ארה"ב.
דלף מידע של חברת שיקום והסיעוד Ryders Health בעקבות מתקפת כופרה של Lockbit
החברה Ryders Health Management היא חברה פרטית שבבעלותה שמונה מוסדות שיקומיים וסיעודיים שנמצאים במדינת בקונטיקט שבארצות הברית. קבוצת התוקפים Lockbit פרסמו מידע על RydersHealth שכולל: תלושי משכורת, מסמכים ותיקיות של העובדים במוסד, כתובות מגורים, ממצאי קורונה ועוד. קבוצת Lockbit יזמה מספר מתקפות סייבר בימים האחרונים, שפגעו במגוון רחב של ארגונים.
[מתוך האתר של קבוצת הכופרה Lockbit]
סייבר בספנות ולוגיסטיקה
מנהל הים האמריקאי (MARAD): התראה על שימוש במערכות לוגיסטיקה מתוצרת סין בחברות ספנות ונמלים
מחלקת התחבורה של ארצות הברית (United States Department of Transportation, בקיצור: DOT), פרסמה מזכר לבעלי עניין ימיים בנושא הסכנה מפני תוכנות מעקב סיניות בציוד טכנולוגי לנמלים, רשתות, מערכות הפעלה, תוכנה ותשתיות. במזכר מוזכר האיום בעבודה עם חברות סיניות בנמלים ובמרחב הימי ואזהרה לגבי השימוש בציוד שהן מייצרות, מתקינות ומתחזקות. מערכות אלו עלולות להוות נקודות תורפה למערכות מידע המשמשות לתשתיות ימיות גלובליות ומערכות תפעוליות (OT). בשנים האחרונות פרסמה ממשלת ארה"ב מספר מסמכים (ראה סעיף 4 במזכר) שמסבירים על הסיכונים הכרוכים בשימוש במערכות סיניות שלמעשה נתמכות ונשלטות על ידי ממשלת סין.
סייבר בישראל
מתקפת הכופרה על מעייני הישועה: ככל הנראה מתנהל מו״מ עם התוקפים, צו איסור פרסום הוטל על דלף המידע
שבועיים לאחר הודעת הרשות להגנת הפרטיות שקיימת אינדיקציה לדלף מידע מבית החולים מעייני הישועה (ראו: ״הסייבר: 17.08״) הוחלט להטיל צו איסור פרסום על דלף מידע כתוצאה מהאירוע. הצו נקבע ב-24 באוגוסט והוא יימשך כחודש, זאת לבקשת משטרת ישראל, החוקרת את האירוע בשיתוף פעולה עם הרשות להגנת הפרטיות. בעדכון של המשטרה נמסר שחל איסור פרסום על ״כל מידע, לרבות מידע אישי ורפואי, שניטל שלא כדין מבית החולים מעייני הישועה או משרתים ומחשבים המאחסנים מידע של בית החולים או של מטופלים בהווה או בעבר בבית החולים ולרבות כל המידע על המטופלים והאנשים שלגביהם ניטל המידע, בין במישרין ובין בעקיפין״. לאחרונה, דווח שהמידע שנגנב ממערכות בית החולים טרם פורסם בעקבות משא ומתן שמתנהל בין גורמי בית החולים לקבוצת התוקפים Ragnar. זו לא הפעם הראשונה שמוטל צו איסור פרסום של המשטרה בגין מתקפת סייבר על בית חולים בישראל - לפני כשנתיים הטילה המשטרה צו איסור פרסום על מתקפת הסייבר בבית החולים הלל יפה (ראו: ״הסייבר 21.10.2021״).
בתמונה: צו איסור הפרסום של הפרשה (מקור: ידיעות בני ברק בטלגרם)
קבוצת הכופרה Lockbit תקפה את החברה Tavlit הישראלית
קבוצת הכופרה Lockbit פרסמה שתקפה מספר רב של חברות בשבוע האחרון, ובניהן החברה הישראלית Tavlit. מדובר בחברה הממקומת בעיר יבנה, העוסקת בתעשיית ההשקייה והמים המספקת שירותים ללמעלה מ-70 מדינות. Lockbit פרסמו שפרצו לחברה בתאריך 10.08.2023, וציינו שבמידה ולא ישלמו את הכופר הנדרש עד ה- 09.09.2023, הקבוצה תפרסם את כל המידע שהצליחו לגנוב. עד כה Lockbit פרסמו תמונות של תכנוני המוצרים, שמות הרכיבים הנדרשים והמחירים שלהם .
[מתוך האתר של קבוצת הכופרה Lockbit]
הרשות להגנת הפרטיות: המלצות לניהול מידע אישי וסיכוני חשיפת מידע במוסדות אקדמיים
מוסדות אקדמיים משתמשים בממשקים אינטרנטיים ובמערכות ניהול אקדמי כדי לאפשר לסטודנטים ולמרצים עבודה אקדמית, טיפול בצרכי מינהל, מחקר ועוד. מערכות המחשוב האוניברסיטאיות מאפשרות גם התקשורת בין הסטודנטים למרצים, פרסום עבודות, מבחנים, ציונים והעברת מסמכים שונים. מגוון השימושים של מערכות אלה מחייבים גם שימוש במידע אישי רב מעובד במערכות אלה. על רקע תלונות שמתקבלות מעת לעת בנושא, ביניהן תלונות הנוגעות לעניין מסמכים שונים המכילים מידע אישי אודות סטודנטים שמאוחסנים באופן נגיש לכל דורש ברשת, פרסמה הרשות להגנת הפרטיות ב-22.08.2023 מסמך בנושא חשיפת מידע אישי אודות סטודנטים וסטודנטיות באתרי מוסדות להשכלה גבוהה בישראל. המסמך בוחן את האופן בו מוסדות אקדמיים מאחסנים באופן נגיש לכל דורש ברשת מסמכים המכילים מידע אישית אודות סטודנטים וסטודנטיות, את סיכוני הפרטיות כתוצאה מחשיפת מידע אישי זה, ואת ההמלצות לשמירה על הפרטיות. הרשות ממליצה לנקוט בפעולות כמו העברת הדרכות לסטודנטים ולמרצים, זאת במטרה להגביר את מודעותן ביחס לסיכוני האבטחה.
סייבר ופרטיות - רגולציה ותקינה
ב-24.8.2023 התפרסמה הצהרה משותפת מטעם 12 רשויות הגנת מידע של מדינות האיחוד האירופי, הקוראת להגנה על מידע אישי מפני גרידת נתונים (Data Scraping) בלתי חוקית. מדובר בטכניקה שמנצלת תוכן דיגיטלי ונתונים דיגיטליים שנאספו או נוצרו לצורך מסויים ועל ידי ארגון מסוים, לצרכים אחרים ועל ידי גורמים אחרים - כשלא התקבלה ההסכמה של מושאי המידע שהמידע שלהם מנוצל. גרידת נתונים מתבצעת בדרך כלל מאתרי אינטרנט. ההצהרה שהתפרסמה על ידי צוות העבודה של שיתוף פעולה בינלאומי לענייני אכיפה תחת מועצת אירופה להגנת מידע שהוקמה במסגרת ה-General Data Protection Regulation ונחתמה על ידי רשויות הגנת מידע אישי של ארגנטינה, אוסטרליה, קנדה, קולומביה, הונג קונג, ג'רזי, מקסיקו, מרוקו, ניו זילנד, נורבגיה, שוויץ ובריטניה). ההצהרה המשותפת (Joint statement on data scraping and the protection of privacy) מזכירה לארגונים וליחידים שהמידע האישי שנגיש לציבור ברשת מחייב את הארגונים להיות כפופים לחוקי הגנת מידע ופרטיות ברוב המדינות. ההצהרה מדגישה את הסיכונים העומדים בפני גרידת מידע, כולל סיכון מוגבר להנדסה חברתית, מתקפות פישינג, הונאה, שיווק ישיר שלא בהסכמת נושא המידע והפצת ספאם.
ביום 25.8.23 נכנס לתוקף רגולציה חדשה של האיחוד האירופי, ה-Digital Services Act, שחלה על כל מדינות שבאיחוד והארגונים שמספקים שירותים דיגיטליים באיזור האיחוד, כהגדרתם ב-Act. הרגולציה החדשה קובעת דרישות חדשות מפורטות לגבי ניהול תוכן, סימון תוכן לא חוקי, והערכה של סיכונים - הכל על מנת להגן על המשתמשים של שירותים דיגיטליים מפני נזקים מקוונים. ארגונים שאינם עומדים בדרישות הרגולטוריות החדשות יהיו חשופים לקנס של עד 6% מההכנסה הגולמית השנתית של הארגון. אי-עמידה ברגולציה עלולה להיות כרוכה באי-מניעת שיתוף בתוכן בלתי-חוקי במהלך הספקת שירותים דיגיטליים; יישום האפשרות של משתמשים לערער על החלטות ניהול תוכן של פלטפורמות; או אי-חסימת פרסומות המכוונות לבני נוער. במהלך התהליך של גיבוש ה-Act החדש, הודגשו אתגרי האכיפה, לרבות העלויות שיוטלו על המגזר הפרטי כדי לעמוד בדרישות החדשות. דובר הנציבות האירופית (European Commission) אמר כי הנציבות "עמדה בקשר שוטף" עם 19 החברות הגדולות (שמספקות שירותים דיגיטליים ליותר מ-45 מיליון משתמשים אירופאיים) שהן כפופות לרגולציה בשלב הראשון, כדי לבחון את הנקודות שבהן האכיפה תצטרך להתמקד.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ויובל גורי.