במהלך השבת קיבלתי דיווחים על שיבושים באפליקציית הרדיו של ספורט 5, ככל הנראה בשל מתקפת סייבר.

בדיווחים שקיבלתי נמסר כי בשידור הרדיו שבאפליקציה הושמעו תכנים תומכי טרור וכי חלק מהתוכן באפליקציה הושחת.

https://t.me/CyberSecurityIL/5508

#השחתה #ישראל #ספורט

עוד במהלך השבת, מספר קבוצות תקיפה התאחדו יחד בכדי להוציא לפועל מתקפות דידוס והשחתת אתרים כנגד גופים בישראל, בין האתרים שהוזכרו על ידי התוקפים:

e-cargo.co.il
pti.org.il
mabat-pnim.moin.gov.il
israeltoday.co.il
hly.gov.il
thecom.co.il
ashdodnews.co.il
catholic.co.il
aisrael.org
gov.il
boi.org.il
hsbc.co.il
rashi.org.il
cfir.co.il
israelmediaministries.org
cellcom.co.il
pelephone.co.il
tasmc.org.il

https://t.me/CyberSecurityIL/5509

#DDoS #ישראל

מקבל מכם דיווחים שהנשיא הרצוג אמר שזו מתקפת סייבר וכו' וכו'...
אני לא יודע מה המקורות של הנשיא אבל חוזר ומדגיש שכרגע לא ידוע על שום דבר שקשור לסייבר.
אם יהיה שינוי ויתברר אחרת אעדכן.

בעקבות מתקפת סייבר - כספומטים של בנקים רבים ברוסיה מושבתים ולקוחות לא יכולים למשוך או להפקיד כסף.

משרד המודיעין באוקראינה לוקח אחריות על המתקפה כשלטענתם בנקים אלו סייעו פיננסית לפעילות הצבאית של רוסיה.

https://t.me/CyberSecurityIL/5511

#פיננסי #השבתה #רוסיה_אוקראינה

הגרסה האחרונה של ווטסאפ למערכות ההפעלה Windows מאפשרת לקבצי Python ו-PHP לרוץ ללא אזהרה מקדימה למשתמש.

חוקרי אבטחת מידע מצאו כי בעוד ווטסאפ מונעת פתיחה ישירה של קבצי EXE, BAT, DLL וכדו׳ היא לא עושה זאת עבור קבצי Python ו-PHP ומאפשרת להם לרוץ ללא התראה.

בשגרה, כשמישהו שולח לכם קובץ EXE בווטסאפ מוצגת לכם אפשרות לשמור את הקובץ או לפתוח אותו ישירות מהאפליקציה (Save or Open). בניסיון לפתוח את הקובץ תתקבל הודעת שגיאה מאחר ו-ווטסאפ לא מאפשרת פתיחה של קבצים מסוג זה ישירות מהאפליקציה. המשתמש נדרש לשמור את הקובץ מקומית במחשב ולאחר מכן להריץ.

בבדיקה שעשה אתר BleepingComputer יחד עם חוקר אבט״מ נוסף מתברר כי ווטסאפ פועלת באופן שונה עם קבצי Python וקבצי PHP. כאשר משתמש מקבל קובץ מסוג זה ולוחץ על פתיחה (Open) ווטסאפ מפעילה את הקובץ ישירות מהאפליקציה ולמעשה מריצה את הקוד שבקובץ.

החוקר שזיהה את החולשה עם קבצי פייתון פנה לווטסאפ בתחילת חודש יוני אך הנושא לא טופל, לשאלה שהפנה אתר Bleeping בנושא ענה הדובר של ווטסאפ את התשובה הבאה:

"We've read what the researcher has proposed and appreciate their submission. Malware can take many different forms, including through downloadable files meant to trick a user."

"It's why we warn users to never click on or open a file from somebody they don't know, regardless of how they received it — whether over WhatsApp or any other app."

אתר Bleeping המשיך לבצע בדיקות וגילה כי גם קבצי PHP ניתן להריץ ישירות מהאפליקציה בלא שמופיעה למשתמש אזהרה או שגיאה כלשהי.
האתר שלח לווטסאפ הודעה בנושא אך לא קיבל תשובה עד כה.

שימו לב - על מנת שקבצי ההרצה ירוצו על המחשב צריכות להיות מותקנות התוכנות המתאימות (לדוגמה, Python) כך שקהל היעד יכול להיות מפתחים וכדו׳.

מה הסיכון? מפתח מקבל קובץ מתוקף או מחבר שהחשבון שלו נגנב על ידי התוקף, הוא פותח את הקובץ דרך האפליקציה של ווטסאפ ולמעשה מריץ קוד זדוני בעמדה.

מה עושים? מומלץ לא לפתוח קבצים עם הסיומות הבאות באפליקציה של ווטסאפ ל-Windows:

.PYZ (Python ZIP app)
.PYZW (PyInstaller program)
.EVTX (Windows event Log file)
.PHP

https://t.me/CyberSecurityIL/5513

בהמשך לנ"ל 👆🏻
שימו לב, התוקפים ממשיכים להפיץ סמסים תוך התחזות לרשות האכיפה והגבייה. הפעם הם משתמשים בדומיין הזדוני:
https://ecoms-il.com

https://t.me/CyberSecurityIL/5514

#פישינג #ישראל

מחקר מעניין של חברת Guardio הישראלית מציג כיצד תוקפים ניצלו את מוצר אבטחת הדוא"ל של חברת Proofpoint בשביל לשלוח דוא"ל פישינג.

סוף טוב הכל טוב, הבעיה דווחה וטופלה אבל עד שזה קרה לקוחות קיבלו דוא"ל פישינג שהגיעו מדומיינים רשמיים של חברות כמו Disney, IBM, Nike, Best Buy, ו-Coca-Cola.

המחקר המלא + אינדיקטורים זמין כאן

https://t.me/CyberSecurityIL/5515

#פישינג

עובד בחברת Avaya נשפט לארבע שנות מאסר לאחר שיצר וסחר ברישיונות של החברה.

העובד, Brad Pearce, עבד בחברה כנציג שירות ותמיכה, מתוקף תפקידו החזיק בהרשאות גבוהות בעזרתם יצר אלפי רישיונות למוצרי החברה.
כשהבין שהפעולות שלו עלולות להרים דגלים אדומים השתמש Brad בחשבון של עובד לשעבר ודרכו יצר עוד אלפי רישיונות מבלי שהפעולה מזוהה על ידי המערכות השונות.

את הרישיונות מכר, יחד עם עוד שני שותפים (אחד מהם היה משווק לשעבר של מוצרי Avaya), לארגונים, חברות ואנשים פרטיים.
השלושה גרפו לכיסם 2-4 מיליון דולר וגרמו לחברה נזקים בגובה 88 מיליון דולר...

בית המשפט בארה"ב גזר על Brad ארבע שנות מאסר בפועל וקנס של 4 מיליון דולר. על השותפים נגזרו עונשי מאסר וקנסות קלים יותר.

https://t.me/CyberSecurityIL/5516

#Insider_threat #טכנולוגיה

עדכון של עיתון גלובס בנוגע למתקפת הכופר:

כפי שהבטחנו, אנחנו ממשיכים לעדכן בדבר התקפת הסייבר שגלובס חווה.
כזכור, קבוצת פשיעה כלכלית בינלאומית מתוחכמת וידועה לרשויות ביצעה תקיפת סייבר נגד מערכות גלובס, שהובילה לדלף של מידע בהיקף מצומצם, לפי המידע הידוע לנו בשלב זה.

התקיפה לוותה בבקשת כופר כספי, אולם אנו, כארגון עיתונאי הדוגל בשקיפות ובאי שיתוף פעולה עם פשע, קיבלנו החלטה לא לשלם כופר וגם לא לנהל מו"מ עם העבריינים.

מאז ההתקפה, אנו, יחד עם מומחים ויועצי סייבר, משקיעים מאמצים ומשאבים משמעותיים בהתמודדות עם השלכות האירוע ושימור הפעילות השוטפת, לצד הקפדה על דיווח ויידוע הרשויות הרלוונטיות, לקוחות, ספקים, עובדים והציבור בכללותו.

למרות האתגרים, עובדי גלובס פועלים ללא הרף כדי לשמר את הפעילות בפרינט ובדיגיטל, ככל האפשר. במסגרת זו אנחנו מקיימים עבודות תחזוקה ושדרוג יזומות באתר האינטרנט, ועל כן ייתכנו שיבושים זמניים בשירותים השונים. אנו מודעים לכך, פועלים כדי למזער זאת ומודים לכם על הסבלנות.

לא מן הנמנע כי לאור סירובנו לשתף פעולה, התוקפים עלולים לנסות להפעיל לחץ על הארגון תוך שימוש בערוצי תקשורת שונים או ברשתות החברתיות. למען הזהירות, אנחנו חוזרים ומפנים את תשומת לבכם לכך שאם קיבלתם הודעה חשודה - לטלפון או למייל ("פישינג") - הכוללת פנייה אישית, דרישה למסור פרטים או בקשה ללחוץ על קישור כלשהו, יש להימנע מכך.

https://t.me/CyberSecurityIL/5518

#כופר #ישראל

אולימפיאדת פריז 2024 - מספר קבוצות תקיפה מבצעות מתקפות DDoS כנגד אתרים הקשורים לספורט בישראל.

בהמשך למתקפת הסייבר על שידורי הרדיו והאתר של ספורט 5, ביומיים האחרונים הותקפו מספר אתרים במתקפות דידוס, ביניהם האתר של מנהלת הליגות לכדורגל, אתר איגוד השחייה הישראלי ובשעות האחרונות גם האתר של איגוד האתלטיקה בישראל.

https://t.me/CyberSecurityIL/5519

#DDoS #ישראל #ספורט

הפריצה ל-Snowflake ממשיכה לייצר קרבנות - תוקף מציע למכירה מידע של חברת התרופות Bausch Health.

בהודעה שמפרסם התוקף הוא מציע למכירה 1.6 מיליון רשומות DEA בכמה רמות מחיר בהתאם לכמות שרוכשים.

לחברת Bausch Health מציע התוקף לשלם דמי כופר של 3 מיליון דולר כדי שהמידע לא יימכר לאף אחד.

https://t.me/CyberSecurityIL/5520

#כופר #דלף_מידע #רפואה

מקבל מכם המון דיווחים על תקלה כללית ב-Azure, כרגע לא ידוע לי על משהו סייברי. אעדכן אם יהיה חדש.

חברת Challenge Group מדווחת ללקוחות על מתקפת סייבר, ככל הנראה אירוע כופר.

החברה, שבה מועסקים גם מספר מנהלים ישראלים, מנהלת חברת בת בישראל בשם Challenge Airlines (בעבר הייתה נקראת ק.א.ל).

חברת Challenge Airlines היא חברת תעופה ישראלית לשינוע מטענים. בסיסה של החברה נמצא בנמל התעופה בן-גוריון.

לא ברורה מה ההשפעה של המתקפה על הפעילות השוטפת.
בשלב זה אף קבוצת כופר לא לקחה אחריות למתקפה.

https://t.me/CyberSecurityIL/5524

#כופר #תעופה #ישראל

משתמשים באפליקציות כדי לעקוב אחר המתרחש באולימפיאדה ולהתנהל בתוך פריז? קחו בחשבון ששואבים לכם מידע ומוכרים אותו לצד ג'.

מחקר של אתר CyberNews מצביע על כך כי האפליקציה הרשמית למעקב אחר האולימפיאדה, יחד עם אפליקציות נוספות המיועדות למבקרים בפריז, שואבות מידע רגיש רב מהמכשיר שלכם ומשתפות אותו עם מפרסמים.

כך לדוגמא חלק מהאפליקציות אוספות את היסטוריית הגלישה שלכם, מיקומים, כתובת דוא"ל, מספר טלפון וכו' וכו', ואת אלו הם משתפים עם מפרסמים כמו פייסבוק, גוגל ואפל.

רוצים לעקוב אחר האולימפיאדה מבלי לשתף מידע נוסף? העדיפו לעשות שימוש בדפדפן ולא באפליקציות ייעודיות.

https://t.me/CyberSecurityIL/5526

חברת Meta תשלם למדינת טקסס קנס של 1.4 מיליארד דולר לאחר שאספה נתונים ביומטריים של משתמשים ללא הסכמה מפורשת.

התביעה נגד Meta הגיעה בעקבות הפיצ'ר ששיחררה החברה ב-2012 לפײסבוק בעזרתו ניתן לתייג משתמשים בתמונות באופן מהיר יותר (Tag suggestion). בשביל ליישם את הפיצ'ר החברה ביצעה סריקה וזיהוי פנים לכל אלו המופיעים בתמונות של משתמשים ושמרה נתונים אלו בשרתיה. כל זאת מבלי ליידע את המשתמש על כך ולקבל את הסכמתו..

פעולות אלו נוגדות את החוק בטקסס העוסק באיסוף ושמירה של מידע ביומטרי ובעקבות כך הוגשה התביעה בשנת 2022 כנגד החברה.

https://t.me/CyberSecurityIL/5527

חברת IBM מפרסמת את המסמך השנתי העוסק בעלויות של מתקפת סייבר.

כמה נתונים מהמסמך:

- עליה של 10% בעלות של מתקפת סייבר לסכום של 4.88 מיליון דולר.

- העלות של המתקפה פוחתת ב-2.2 מיליון דולר כאשר החברה שהותקפה עשתה שימוש במוצרי הגנה המשלבים AI.

- לארגון לוקח 292 ימים לזהות ולנטרל אירוע בו תוקף עשה שימוש בנתוני הזדהות גנובים (זיהוי - 229 ימים, ניטרול- 63 ימים).

מלא מספרים ונתונים נוספים במסמך שמצ״ב.

https://t.me/CyberSecurityIL/5528

#דוחות

תשמעו סיפור מעניין על קבוצת התקיפה Medusa.

חברת הסייבר Dark Atlas נקראה לטפל באירוע סייבר בו קבוצת Medusa גנבה מידע מהקרבן ודרשה דמי כופר.
צוות התגובה התחיל לחקור את האירוע וגילה כי קבוצת Medusa השאירו בשרתי החברה קובץ קונפיגורציה החושף את השירות בו הם שומרים את המידע שגנבו (put.io) יחד עם טוקן גישה.

החברה התחברה לשירות עם הטוקן של Medusa וכך למעשה הם קיבלו גישה לחשבון של הקבוצה בשרת הענן, הם איתרו את המידע של הלקוח, ״גנבו״ אותו בחזרה ולאחר מכן מחקו את המידע משירות הענן.
תחת החשבון של Medusa באותו שירות היה מידע גם של קרבנות נוספים וצוות התגובה עשה את אותו הדבר גם עבור קרבנות נוספים, הם הורידו את המידע ולאחר מכן מחקו אותו.
לאחר מכן הם יצרו קשר עם כל הקרבנות הרלוונטיים וסייעו להם בתהליכי השחזור.

חברת Dark Atlas פירסמה בלוג בנושא, קצר ולעניין, בלי מלל מיותר - כאן

https://t.me/CyberSecurityIL/5529

#כופר