פייק ניוז - קבוצת Funksec מפרסמת כקרבן את חברת "חתימה ירוקה".

בפועל מדובר ככל הנראה בפריצה לחשבון בודד של לקוח שעושה שימוש במערכת ולא לכל מערכות החברה.
הקבוצה מפרסמת להורדה מעט מאד מידע, ברובו לא רגיש, שגנבה כביכול מאותו חשבון.

https://t.me/CyberSecurityIL/6298

#כופר #ישראל

מערך התחבורה הציבורית בעיר פיטסבורג שבפנסילבניה סובל משיבושים בעקבות מתקפת כופר.

בדיווח שמוציאה חברת PRT היא מדווחת כי בעוד שירותי האוטובוסים פועלים כסדרם, פעילות הרכבות סובלת משיבושים נרחבים, כמו כן היכולת לבצע תשלום באמצעות כרטיסי תשלום שונים.

בשלב זה אף קבוצת כופר לא לקחה אחריות למתקפה.

https://t.me/CyberSecurityIL/6299

#כופר #תחבורה

ארגון American Addiction Centers (AAC), המפעיל מרכזי גמילה שונים בארה"ב, מדווח על דלף מידע של כ-442k מטופלים בעקבות מתקפת סייבר.

הארגון החל לשלוח מכתבים למטופלים בהם הוא מדווח על דלף מידע בעקבות מתקפת סייבר שהתרחשה בספטמבר. התוקפים הצליחו להגיע למידע רגיש אך לטענת הארגון לא נחשף מידע רפואי-טיפולי רגיש.

https://t.me/CyberSecurityIL/6300

#דלף_מידע #רפואה

מתקפת כופר עם טוויסט מפתיע.

מוקדם יותר החודש תוקף בשם 0mid16B פרסם כי הצליח לפרוץ לחברה אמריקאית בשם ArdyssLife, ולגנוב 594GB של מידע מתוך הרשת הארגונית. הפריצה בוצעה לאחר שנוצלו שתי חולשות בשרתי החברה.

לפי הדיווח של התוקף החברה זיהתה את הפריצה רק לאחר כחודש. עובדי ה-IT ניסו פעמיים להעיף את התוקף מהרשת אך התוקף חזר לרשת כל פעם מחדש כשהוא משתדל לעשות זאת מחוץ לשעות העבודה של הארגון.

התוקף שלח לחברה הודעות בהן הוא דרש מהם להיכנס למשא ומתן אך משלא נענה החליט לפרסם את המידע למכירה ברשת.

בטוויסט דיי מפתיע התוקף קיבל פניה מגורם אנונימי שטען כי הוא ראה את הפניות בדוא״ל ששלח התוקף למנהלי החברה, וכי הוא רוצה להבין במה מדובר.
התוקף הבין שמדובר בגורם מתוך הארגון ושאל אם הוא מייצג את הארגון במשא ומתן אך נענה בשלילה. מאחר והצד השני אמנם עבד בחברה אך לא היה בעל סמכות לייצג אותה בתהליך משא ומתן, אמר התוקף לאותו גורם כי אין לו עניין בשיח הזה, וכאן החלו הדברים לתפוס כיוון מפתיע.

אותו גורם שעובד בחברה אמר לתוקף כי הוא והמנהל שלו, שיושב לצידו, רוצים לקבל חלק מדמי הכופר וכי הם יכולים להשפיע על מקבלי ההחלטות בחברה לשלם את הכסף. עבור השירות שהם יתנו הם מעוניינים לקבל מראש 15 אלף דולר מהתוקף.
תמורת התשלום יספקו השניים לתוקף מידע רגיש נוסף על מקבלי ההחלטות בחברה ומידע על חברות נוספות.

התוקף לא אהב את מה שמתרחש ואיים לבסוף על אותו עובד כי הוא יחשוף בפני מנהלי החברה שיש להם עובד מבפנים שמעוניין לשתף איתו פעולה וכי הוא מהווה איום משמעותי על החברה.
לאחר הודעת האיום הפסיק אותו עובד את ההתכתבות מול התוקף.

התוקף שיתף את הסיפור, יחד עם צילומי מסך של ההתכתבות בינו לבין העובד, עם אתר Databreaches, מוזמנים לקרוא את הכתבה כאן

https://t.me/CyberSecurityIL/6301

#כופר #insider_threat

מתקפת Magecart - החנות הרשמית של סוכנות החלל האירופית (esa) הכילה קוד זדוני שגונב מספרי כרטיסי אשראי של לקוחות.

הקוד הזדוני שהושתל על ידי התוקף הציג למשתמשים דף תשלום מתחזה, תוך שהוא שולח את פרטי האשראי המוזנים על ידי הלקוח לדומיין הדומה מאד בשם לדומיין הרשמי של הסוכנות.
עם הזיהוי של הקוד הזדוני הושבתה החנות עד לטיפול באירוע.

https://t.me/CyberSecurityIL/6302

#דלף_מידע

מתקפת סייבר על חברת התעופה היפנית Japan Airlines גורמת לעיכובים בטיסות.

בעקבות המתקפה הפסיקה החברה את מכירת הכרטיסים לטיסות שאמורות לצאת ביום חמישי, והאפליקציה הרשמית של החברה הושבתה.

המתקפה, שהחלה הבוקר גרמה עד כה לעיכוב של כ-40 טיסות.

מדיווח ראשוני של החברה עולה כי ככל הנראה מדובר במתקפת DDoS.

https://t.me/CyberSecurityIL/6303

#תעופה

בשעה האחרונה מורגשים שיבושים נרחבים בשירותים של חברת OpenAI.
החברה מדווחת כי הבעיה היא אצל אחד מספקי החברה.
לא ידוע על משהו סייברי בשלב זה.

עדכון - הסתדר אחרי מספר שעות.

חוקר אבטחת המידע Kevin Beaumont מפרסם אינדיקטורים השייכים לקמפיין התקיפה של Handala על חברת ReutOne.

המאמר זמין לקריאה כאן.
מצרף לכם את האינדיקטורים:

Payload downloads
gateway.storjshare.io
link.storjshare.io

C2 comms
209.250.255.169

First stage payload
5ee2120821e570760cfb22b8b1d3329407807c14d31c0667f47f36d5d11b0111
d234bb81737612a4f9d18d47992412e84bbfb7f75de2c7c83e850c16b88f6fff

Emerging Threats network signatures
ET INFO File Sharing Service Domain in DNS Lookup (link .storjshare .io)
ET INFO Observed File Sharing Service Domain (link .storjshare .io in TLS SNI)
ET INFO Commonly Actor Abused Online Service Domain (storjshare .io)
ET INFO Observed Commonly Actor Abused Online Service Domain (storjshare .io in TLS SNI)
Network traffic tells — C2 comms
http://x.x.x.x/get_updates
http://x.x.x.x/send_message
http://x.x.x.x/send_status

Additional Handala activity IOCs
First stage payload
6cc5b94b93bc91eb34447322cfc9b4b1cfbc1b201788acf68a0a53ce3cb091ab
c42cc664d738825c4d144d9f273c99f42065e1cb25fb13ce504bab2c4d06922d

C2 comms
80.240.30.16
176.10.125.107

תודה לכל מי שפנה בפרטי עם ההפנייה למאמר 🙏🏻

https://t.me/CyberSecurityIL/6307

חברת Cyberhaven, המספקת שירותי הגנת סייבר שונים, מדווחת כי תוקף הצליח לגנוב חשבון ניהול של אחד מעובדי החברה ולהחליף את תוסף הכרום של החברה בתוסף זדוני.

התוסף הזדוני הכיל קוד זדוני לגניבת נתונים של משתמשים והוא הוסר מהחנות תוך כ-60 דקות מרגע הזיהוי (היה בחנות של כרום כ-20+ שעות).

https://t.me/CyberSecurityIL/6308

#סייבר

חברת פאלו אלטו מדווחת כי תוקפים מנצלים את החולשה CVE-2024-3393 בשביל לגרום ל-FW לבצע ריסטרט ולהיכנס למצב תחזוקה.

הדיווח המלא - כאן

https://t.me/CyberSecurityIL/6309

#חולשות

חברת ZAGG, המשווקת מוצרים שונים לסמארטפונים, מדווחת כי כרטיסי אשראי של לקוחות נגנבו בעקבות פריצה לצד ג'.

לדברי החברה תוקף הצליח לשתול קוד זדוני בשירות צד ג' בשם FreshClicks וגנב את פרטי האשראי של כל מי שביצע רכישות מאתר החברה בין התאריכים 26.10-7.11.

https://t.me/CyberSecurityIL/6310

#דלף_מידע #פיננסי

עדכון 👆🏻

מדיווחים ברשת עולה כי Cyberhaven לא לבד וכי בקמפיין הפישינג הותקפו תוספים נוספים לכרום.

בשלב זה נראה כי הרשימה של התוספים כוללת כ-16 תוספים בהם עשו שימוש כמה מאות אלפי משתמשים.

- AI Assistant - ChatGPT and Gemini for Chrome
- Bard AI Chat Extension
- GPT 4 Summary with OpenAI
- Search Copilot AI Assistant for Chrome
- TinaMInd AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex Video Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus

https://t.me/CyberSecurityIL/6312

קבוצת Handala טוענת כי לאחר שפרצה לרשת של חברת ReutOne, היא הגיעה דרכה גם לחברת "אלן קאר ישראל", והפיצה דרך חברת אלן קאר הודעות ווטסאפ לישראלים.

https://t.me/CyberSecurityIL/6313

#שרשרת_אספקה #ישראל

מידע של כ-800,000 כלי רכב דלף מחברת Cariad המספקת לחברות הרכב שירותים טכנולוגים שונים.

המידע נשמר במאגר שהכיל מספר חולשות שסיפקו גישה לגורמים לא מורשים בדרכים שונות.
המידע הכיל מיקומים של מאות אלפי רכבים בזמן אמת, כולל רכבי משטרה, רכבים של אנשי ממשל, פוליטיקה ועוד.

המאמר המלא בנושא זמין לקריאה כאן.

https://t.me/CyberSecurityIL/6316

#דלף_מידע #תחבורה #טכנולוגיה

משרד האוצר בארה"ב מדווח כי קבוצת תקיפה מסין פרצה למערכות המשרד בתחילת החודש.

אחרי שפורסם כי קבוצות תקיפה סיניות החזיקו בגישה לתשע חברות תקשורת בארה"ב, כעת מגיע תורם של משרדי הממשלה.

במשרד האוצר מדווחים כי קבוצת התקיפה מסין הצליחה להתחבר למערכות המשרד באמצעות מפתח גישה שהחזיק אחד מספקי המשרד (BeyondTrust).

הקבוצה הצליחה להשיג גישה למספר עמדות של עובדים ולמסמכים שונים, כשלפי הדיווחים הם החזיקו בגישה זו למשך מספר ימים.

שגרירות סין בוושינגטון התייחסה לפריצה וטענה כי מדובר בהכפשות חסרות כל בסיס.

https://t.me/CyberSecurityIL/6319

#דלף_מידע

שירות הביטחון הכללי מפרסם את סיכום הפעילות של הארגון לשנת 2024 כשהוא כולל גם התייחסות לנושא הסייבר.

כמות מתקפות הסייבר עלתה פי 5, הארגון סיכל כ-700 מתקפות סייבר, רוב המתקפות הן לצורך איסוף מידע/ריגול.

פרטים נוספים כאן

מצרף לכם את המסמך המלא בתגובות.

https://t.me/CyberSecurityIL/6320