לוחמת הסייבר ואבטחת מידע: תקיפות חובקות עולם. מקבץ ידיעות. אוקטובר 21
*- חברת TTC המספקת שירותי תחבורה ציבורית בטורנטו סובלת ממתקפת כופר.
המתקפה שהחלה ביום שישי גרמה לשיבושים במערכות החברה, זמני האוטובוסים לא מופיעים במסכים בתחנות, מערכת ההזמנות המקוונת ומערכת התקשורת בין הנהגים למרכז הבקרה הושבתו.
בשלב זה לא פורסם מי קבוצת התקיפה ומה דמי כופר המבוקשים, חברת TTC מעדכנת כי הם עובדים 24/7 כדי לחזור לשגרה.
*- 12 האקרים המואשמים בביצוע מתקפות כופר רבות נעצרו במבצע של היורופול בשת”פ עם מדינות נוספות.
בפרסום של היורופול (https://www.europol.europa.eu/newsroom/news/12-targeted-for-involvement-in-ransomware-attacks-against-critical-infrastructure) נמסר כי ההאקרים, שנעצרו ברוסיה ובשווייץ, היו מעורבים במתקפות כופר כנגד 1,800 ארגונים ב-71 מדינות.
במהלך המבצע נתפסו 52,000 דולר במזומן, 5 רכבי יוקרה וציוד טכנולוגי רב.
במבצע היו מעורבים מספר גופי אכיפה ממדינות שונות בהן צרפת, נורבגיה, הולנד, אוקראינה, בריטניה, גרמניה, שווייץ וארה”ב.
*- איגוד הרובאים הלאומי בארה”ב (NRA) הותקף במתקפת כופר ע”י קבוצת Grief.
הקבוצה החלה לפרסם חלק מהחומרים שנגנבו באתר ההדלפות של הקבוצה כשהמידע כולל פרוטוקולים מישיבות דירקטוריון, מידע על זוכים במענקים ועוד.
קבוצת Grief מאיימת לפרסם את כל המידע שנגנב אך דמי הכופר לא ישולמו.
בשלב זה NRA לא מאשרים/מכחישים את המתקפה כשהם מפרסמים בטוויטר הודעה בה הם מציינים שהם עושים כל שניתן כדי לשמור על המידע שברשותם.
*- חברת ההשמה הסינגפורית Protemps מדווחת על מתקפת סייבר וגניבת מידע שבוצעה ע”י קבוצת Desorden.
לפי הדיווח של החברה ב-4.10 כל המידע על השרתים שלהם נגנב ונמחק כאשר לאחר 3 ימים המידע פורסם למכירה בפורומים שונים.
קבוצת Desorden טוענת שגנבה מידע רגיש של כ-40,000 מועסקים ומועמדים לעבודה, כולל קבצי קו”ח, חוזים, פרטים אישיים ועוד.
עם זאת המנהלת הראשית של Protemps טוענת כי לא נגנב מידע אמיתי של 40,000 מועסקים אלא רק של 2,500 מועמדים ומועסקים שאר המידע שנגנב זהו מידע פיקטיבי שהצליח להשתחל למאגרי המידע של Protemps ע”י חשבונות ספאם ששלחו אלפי קו”ח לחברה.
*- קבוצת התקיפה Desorden מפרסמת כי תקפה את רשת המלונות Centara, גנבה מידע רגיש והשביתה שרתים.
לפני יומיים פירסמתי שקבוצת Desorden פרצה לחברת CRG וגנבה מידע רגיש, (https://t.me/c/1427288221/1439) כעת מתברר כי היקף של הפריצה הוא רחב יותר וכעת גם חברת Centara נפגעה.
חברת CRG היא אחת מחברות רבות המנוהלות ע”י חברת האחזקות Cenrtal Group (CG) כאשר למעשה היא זו שלמעשה נפרצה ע”י קבוצת Desorden.
לפי הדיווח של קבוצת Desorden, במשא ומתן שהתקיים עם חברת Central Group הגיעו הצדדים להסכם בו החברה תשלם דמי כופר של 900,000 דולר אך ברגע האחרון החברה פוצצה את העסקה מול הקבוצה, בעקבות כך החליטו ב- Desorden להרחיב את המתקפה ותקפו חברה נוספת, הפעם את רשת המלונות Centara שאף היא בבעלות CG.
מרשת בתי המלון גנבה הקבוצה כ-400GB של מידע הכולל מידע רגיש על אורחי המלון, עובדים וספקים מאז 2003 ועד2021, המידע כולל מספרי ת.ז/דרכונים, טלפונים, מידע פיננסי, כתובות מגורים ועוד.
חברת CG מנהלת אחזקות בעוד מספר חברות גדולות ולדברי Desorden נפרצו חברות נוספות שהמידע שלהם יפורסם אף הוא במידה ו-CG יסרבו לשלם את דמי הכופר.
*- הסוכנות האירופית לאבטחת מידע (enisa) מפרסמת היום את דו”ח מרחב איומי הסייבר לשנת 2021.
(הדו”ח מציג מתונים שנאספו בין אפריל 2020 ליולי 2021)
נתון מעניין שמוצג בדו”ח הוא שישנה ירידה חדה במתקפות המערבות וירוסים ונוזקות כאשר תוקפים מעדיפים לנצל ליקויים בהגדרות וטעויות אנוש כדי להשיג מידע וגישה לרשת הארגונית.
למעשה, לפי enisa, רוב המתקפות ב-2020 הצליחו בשל טעויות אנוש וחורי אבט”מ בהגדרות.
*- מדינת ויסקונסין סובלת בימים האחרונים ממחסור במוצרי חלב בשל מתקפת סייבר על אחד מהיצרנים הגדולים במדינה.
חברת Schreiber Foods, המעסיקה 8,000 עובדים ב-30 מדינות ומייצרת מוצרי חלב שונים הותקפה במתקפת כופר בעקבותיה חלים שיבושים רבים בייצור ובחלוקה של מוצרי חלב, בעיקר במדינת ויסקונסין, שם נמצא המפעל המרכזי של החברה.
החברה יצרה קשר עם לקוחות ודיווחה כי בשל המתקפה הם לא יכולים בשלב זה לספק את ההזמנות, כמו כן נראה כי אם החברה לא תמצא פיתרון במהירות מלאי גדול של מוצרים וחומרי גלם במפעל עלולים להיזרק לפח.
בשלב זה לא ידוע מי קבוצת התקיפה אך פורסם כי דמי הכופר עומדים על 2.5 מיליון דולר.
*- “בחודשים האחרונים תקפנו 700 חברות” – אתר The Record קיים ראיון עם אחד מחברי קבוצת Lockbit 2.0.
(מדובר בראיון ארוך ולכן לא אספיק לתרגם את כולו אבל מביא לכם נקודות עיקריות).
– בשלושה חודשים האחרונים תקפו מעל 700 חברות, מה שמופיע באתר ההדלפות אלו רק חברות שסירבו לשלם את דמי הכופר.
– ההצלחה שלנו נובעת מכך שאנו מסוגלים להצפין ולגנוב מידע במהירות בזכות הכלים החדשים שפיתחנו. (https://t.me/CyberSecurityIL/1351)
– אנו לא תוקפים בתי חולים ומרכזי בריאות, כששותפים שלנו תקפו ארגונים כאלו בטעות סיפקנו מפתחות פיענוח בחינם.
– מי שעובד רציני בתחום שלנו לא יגור ברוסיה או ארה”ב, אני גר בסין ומרגיש כאן בטוח לחלוטין.
– הדרך היחידה להילחם במתקפות כופר ביעילות היא לתקוף אותנו בחזרה ולפרוץ לשרתים שלנו, כמו שעשו ל-REvil, אנו מתמודדים עם החשש הזה בצורה טובה כאשר יש לנו גיבויים בנקודות שונות בעולם לכל המידע שאנו גונבים מחברות, כולל גיבויים קרים המנותקים מרשת האינטרנט שעבור שמירתם אנו משלמים לעובדים משכורות.
*- חברת CRG, המפעילה שירותי מזון מהיר בכ-700 סניפים בתאילנד, הותקפה ע”י קבוצת Desorden.
לפי הפרסום של הקבוצה הם הצליחו לשלוף מידע רגיש מתוך הרשת של CRG, הכולל מידע על לקוחות, עובדים, ספקים ופעילות עסקית ברשת.
בשלב זה חברת CRG לא מגיבה לפרסומים בנושא ולא ידוע מה גובה דמי הכופר.
כזכור, קבוצת Desorden זו הקבוצה שפרצה לאחרונה (https://t.me/CyberSecurityIL/1425) פעמיים לחברת Acer.
*- קבוצת התקיפה LockBit 2.0 טוענת כי פרצה לחברת Media Crush הישראלית.
הקבוצה מפרסמת באתר ההדלפות שלה כי גנבה מידע רגיש מהחברה ואם דמי הכופר לא ישולמו היא תפרסם את המידע ב-30.10.
בשלב זה לא ידוע מה גובה דמי הכופר והאם הוצפנו שרתים.
דיווחים שונים מציינים כי כמות המידע שנגנבה מהחברה היא בנפח 200GB.
חברת Media Crush עוסקת בשיווק ופרסום דיגיטלי ולה משרדים בגבעתיים והרצליה.
*- האקרים ניצלו חולשה במערכת BillQuick, פרצו לארגונים והצפינו שרתים.
מערכת BillQuick, שבבעלות חברת BQE, מספקת לארגונים מערכת לניהול שירותים פיננסיים שונים, לחברה יש כ-400,000 לקוחות מסביב לעולם.
חוקרים מחברת Hunters מצאו כי במסך ההזדהות של מערכת BillQuick קיימת חולשת Sql injection (https://he.m.wikipedia.org/wiki/%D7%94%D7%96%D7%A8%D7%A7%D7%AA_SQL) המאפשרת לתוקפים לדלות מידע רגיש ולהריץ קוד מרחוק.
כעת נראה כי קבוצת תקיפה החלה לנצל את החולשה וכבר הצפינה שרתים של חברה בארה”ב.
חברת Hunters דיווחה ל-BQE על הממצאים (8 חולשות בינתיים) והחברה הוציאה גרסה מעודכנת הסוגרת את החולשות שפורסמו עד כה.
חושב שראוי לצטט את הפסקה האחרונה מהתחקיר של Hunters:
” זה חוזר על עצמו בלא מעט מקרים בהן חברות מבוססות עושות מעט מאוד כדי לאבטח את היישומים שלהם באופן פרואקטיבי וחושפות את הלקוחות שלהן לאחריות כבדה כאשר נתונים רגישים דולפים ו/או מוצפנים.”
קרדיט : ערוץ הטלגרם אבטחת מידע וסייבר קרדיט לתמונה: https://airpowerasia.com/