יום שני, מאי 6, 2024

Nziv.net

מודיעין מהמקורות הגלויים

כתבות קצרות 

מבזקי חדשות הסייבר מהעולם ליום 10-2-2024. מתעדכן

Nziv , ,

*- אם אתם מחפשים סיפור מעניין לפני השינה: החוקר ג'ון דימאג'יו מפרסם עוד כתבה בסדרה שלו על קבוצות כופר והפעם קבוצת RansomedVC.

נקודות בולטות מהכתבה:

– הקבוצה משוייכת ככל הנראה באופן כלשהו לקבוצת Ragnar Locker (ההיא ממעייני הישועה….)

– מנהל הקבוצה היה משקר שגנב מידע למרות שכלום לא קרה בפועל. באחד המקרים זה הוביל לתביעה ייצוגית וכיסוי תקשורתי למרות שבפועל לא נגנב כלום.
התוקף השתמש בכיסוי התקשורתי כדי להפעיל לחץ על הקרבנות.

– מנהל הקבוצה מאשר שלא מעט מהמתקפות שפירסם היו מפוברקות כאשר בחלקן פירסם מידע ממוחזר או גנב מידע שאחרים גנבו לפניו.

– השותפים קיבלו משכורת חודשית הנעה בין 2.5 ל-5 אלף דולר. חלקם טוענים כי קיבלו חלק או לא קיבלו בכלל.

 

*- אירוע סייבר במשרד החינוך: מדיווחים שמגיעים אלי עולה כי המשרד סובל ממתקפת סייבר בעקבותיה הם נאלצו להשבית חלק מהשירותים.

בין השירותים שאינם זמינים בשל המתקפה נמצא גם פורטל עובדי ההוראה שמשמש את העובדים עבור מידע כללי ומידע אישי, הפקת אישורים מקוונים, קבלת התראות, פתיחת פניות מקוונות ועוד.

בשלב זה לא ברור מי עומד מאחורי המתקפה ומה ההשלכות מלבד השבתת האתרים.

ממשרד החינוך נמסר בתגובה כי האתר הראשי של המשרד לא הותקף והוא פועל כסדרו. כמו כן – אין כל אינדיקציה לדליפת מידע רגיש ממערכות המשרד.

יחד עם זאת, לאחר שזוהתה פעילות חשודה בחוות השרתים החיצונית, המשרד פעל מיידית להסרת השרת החשוד מהאוויר. מדובר בשרת התומך בחלק מאתרי התוכן של יחידות המשרד ובשניים מהפורטלים של המשרד, שאינם מכילים מידע אישי או נתונים רגישים. האירוע מצוי כעת תחת חקירה.

מדיווחים בתקשורת עולה כי בעקבות מתקפת הסייבר, משרד החינוך פירסם הודעה לעובדים לפיה השרת שנפגע הינו שרת SharePoint המחזיק כ-41 אתרים שונים.
במשרד עובדים על בנייה מחדש של השרת עם כל המידע ומציינים כי פעילות זאת עלולה לארוך כחודש ימים.

 

*- תוקף פירסם למכירה מידע שגנב כביכול מחברת השכרת הרכב הבינלאומית Europcar.
התוקף טוען כי הוא מחזיק במידע של כ-50 מיליון לקוחות אותו הוא מציע למכירה.

חברת Europcar בתגובה: התוקף יצר מידע מזוייף ככל הנראה באמצעות ChatGPT, הכתובות לא קיימות, המיקוד לא תואם למדינה, השמות לא תואמים לכתובות מייל, והכתובות מייל לא זוהו במערכות החברה  כל הבאסה למי שאולי כבר שילם על המידע הזה.

*- מתקפת הכופר על חברת Securinux הישראלית, הדדליין הסתיים וקבוצת לוקביט מפרסמים 32GB של קבצים.

מבדיקה קצרה נראה כי לוקביט מפרסמים קבצים של חברה אחרת (חברה קטנה העוסקת במכירת רהיטים), אולי לקוחות של Securinux ואולי סתם בלבול, אי הבנה, או הטעייה מכוונת.

 

*- גיוסי הון בתחום הסייבר בישראל:

– חברת Aim Security, המספקת פיתרון הגנה למערכות בינה מלאכותית, מגייסת 10 מיליון דולר.

– חברת Oasis Security, המפתחת פלטפורמה למיפוי, ניהול ואבטחת זהויות בארגון, מגייסת 40 מיליון דולר.

*- תוקפים הצליחו לפרוץ לפרויקט הקריפטו Ripple ולגנוב מטבעות דיגיטליים בשווי 120 מיליון דולר. המייסד השותף של פרויקט ריפל, Chris Larsen, טוען כי הכספים שנגנבו הם מארנקו האישי ולא מהפרויקט.

*- קבוצת לוקביט פרצה לבית חולים לילדים בשיקגו ודורשת דמי כופר.

בעיקרון זה נוגד את הכללים שלוקביט פירסמה בעבר – אז, היא טענה, שהיא לא תוקפת בתי חולים… היום היא טוענת שאם יש להם כסף למחשבים אז יש להם כסף לשלם כופר.

אגב, זה מתחבר לפוסט הקודם (https://t.me/CyberSecurityIL/4526) על אי תשלום לשותפים, ההשעיה מ-XSS ועוד.

אני לא יודע מה עובר על לוקביט אבל התנהגות דומה הייתה אצל קבוצות אחרות לפני שהם גססו ונעלמו…

 

*- נואר 2024 הסתיים עם 289 מתקפות כופר, מספר שיא בהשוואה לחודש ינואר בשלוש השנים האחרונות.

2021: 119 קרבנות
2022: 198 קרבנות
2023: 180 קרבנות

*- ראש ה-FBI אתמול בקונגרס: "האיום הגדול ביותר בדורנו – גדודי האקרים סינים המסוגלים להשמיד את תשתיות החיים באמריקה".

*- חברת מרצדס חשפה מידע רגיש לאחר שהשאירה טוקן חשוף בגיטהאב.

חוקרי אבט״מ מחברת RedHunt שזיהו את הטוקן הופתעו לגלות כי בעזרת הטוקן שמצאו הם יכולים לגשת למערכות פנימיות של החברה ולהיחשף לקוד מקור, מידע חסוי ועוד.
לאחר דיווח מסודר חברת מרצדס סגרה את הפירצה, שנגרמה לטענתה בעקבות טעות אנוש, והיא מדווחת כי מידע של לקוחות לא דלף.

 

*- חברת Cloudflare מדווחת : האקרים פרצו לנו לרשת הארגונית לאחר שהשיגו טוקנים ונתוני הזדהות מהפריצה לחברת Okta (https://t.me/CyberSecurityIL/3868).

התוקפים הצליחו לגשת למערכות פנימיות בחברה ובעקבות המתקפה החברה נאלצה להחליף כ-5,000 סיסמאות פנימיות.
לדברי CF המתקפה לא פגעה במידע של לקוחות החברה.

*- בהמשך לחולשות ב-Ivanti – אלו שקיבלו עדכון ואלו החדשות  שפורסמו יחד עם העדכון לישנות👆

הסוכנות להגנת סייבר ותשתיות בארה"ב (CISA) דורשת מכל הסוכנויות הממשלתיות לנתק מהרשת במיידי את כל המכשירים הפגיעים.

שימו לב, הסוכנות דורשת מהם לנתק את החיבור במיידי ולא יאוחר מסוף היום של ה-2.2.24.
חזרה של המכשירים לרשת תתבצע רק לאחר התקנה מחדש של המוצר, חקירת הרשת ועוד.

🇮🇱 בשבועיים האחרונים נחשפתי למספר חברות בישראל שנפגעו מהחולשות ב-Ivanti וזיהו כי תוקפים השתילו נוזקות ברשת הארגונית, שימו לב.

 

*- בעקבות מתקפת סייבר? חשוד ברצח שוחרר השבוע בטעות במחוז Fulton שבג'ורג'יה.

גורמים מקשרים את השחרור למתקפת סייבר שהתרחשה השבוע במחוז ושיבשה את קווי הטלפון, רשת בתי המשפט ומערכות המס במחוז.

בקיצור, המשטרה במחוז בחיפושים אחרי החשוד.

*- קבוצת AlphV פירסמה השבוע כי היא פרצה לחברת Technica המעניקה שירותי IT לגופים ממשלתיים בארה"ב, ביניהם גם ל-FBI.

הקבוצה טענה כי ברשותה 300GB של מידע, כולל מידע ממשלתי רגיש אותו תפרסם בקרוב.

היום האתר של AlphV כבר לא זמין ..

 

*- מה קורה ב-Anydesk?
החברה הודיעה על עבודות תחזוקה משמעותיות של 48 שעות מבלי הודעה מוקדמת.

בשינוי שבוצע החברה מציינת כי הוחלפו התעודות הדיגיטליות (Code signing certificate) ושמועות שונות ברשת מדברות על כך שמדובר באירוע סייבר.

אין לי פרטים נוספים כרגע ולא יודע אם מדובר בסייבר או לא.

עדכון – החברה פירסמה הודעה רשמית על כך שתוקפים הצליחו לחדור לחלק ממערכות החברה…

 

*- ארה"ב חושפת את השמות של חברי קבוצת Cyber Avengers ומטילה עליהם סנקציות רחבות.

כזכור, מדובר בקבוצה שפגעה בבקרים של חברת יוניטרוניקס הישראלית וביצעה מספר פעולות גם נגד ארגונים בישראל.

ההודעה המלאה של משרד האוצר בארה"ב – כאן (https://home.treasury.gov/news/press-releases/jy2072)

*- אחרי הפיטורים של מנהלת אבטחת המידע והפגיעה בהכנסות בעקבות מתקפת הכופר – חברת Clorox מדווחת כי העלות הצפויה של ההתמודדות עם מתקפת הכופר תגיע ל-49 מיליון דולר .

*- כופר ותקשורת – קבוצת Medusa מפרסמת את חברת Digital המספקת שירותי סלולר בוונצואלה.

לפי Medusa, ל-Digitel יש 5 מיליון לקוחות, דמי הכופר עומדים על 5 מיליון דולר .

– קבוצת Trigona מפרסמת את חברת התקשורת Claro המספקת שירותי סלולר ב-18 מדינות בדרום אמריקה. החברה מדווחת כי בעקבות המתקפה היא נאלצת להשבית ולבודד חלק מהמערכות.

 

*- תוקפים הצליחו לגנוב 25 מיליון דולר מחברה בינלאומית לאחר פגישת ווידאו שזוייפה באמצעות Deep Fake 🤨

עובד בחברה הבינלאומית, שבסיסה בהונג קונג (שם החברה לא פורסם), קיבל דוא"ל פישינג ממנהל הכספים שם נאמר לו כי יש צורך בביצוע העברה כספית, העובד חשש אמנם שמדובר בדוא"ל זדוני אך ראה שיש גם זימון לשיחת ווידאו עם כל האנשים הרלוונטיים והחליט לעלות לשיחה.

העובד עלה לפגישת הווידאו שבה, חוץ ממנו, כל שאר העובדים זוייפו באמצעות Deep Fake, ביניהם גם מנהל הכספים.

במהלך הפגישה מנהל הכספים המזוייף הנחה את העובד לאן ואיך לבצע את ההעברות והעובד אכן ביצע 15 העברות שונות המסתכמות ב-25 מיליון דולר.

עברו מספר ימים עד שהעובד הבין שעבר הונאה, וזאת לאחר ששאל אודות ההעברה גורמים נוספים בחברה…

הסיפור המלא – כאן .

קרדיט: ערוץ הטלגרם חדשות סייבר – ארז דסה