קבוצת התקיפה Killsec מפרסמת כקרבן את חברת "פלרם" הישראלית.

חברת פלרם עוסקת בתחום הטכנולוגיה והפיתוח של לוחות תרמו-פלסטיים לבניה, תעשיה וחקלאות ונסחרת בבורסה בישראל

הקבוצה מפרסמת מספר צילומי מסמכים המעידים לכאורה על הפריצה ומציבה דדליין של 7 ימים לתשלום דמי הכופר.

אגב, מדובר באותה קבוצה שתקפה לכאורה את חברת שלמה ביטוח לפני כמה ימים, והקבוצה מפרסמת גם עדכון לגבי שלמה. דמי הכופר הנדרשים הם 25,000 דולר.
הדדליין לתשלום הוארך מ-8 ימים ל-24 שנים! אולי טעות של Killsec אולי סתם חוסר מקצועיות, אבל אם שלמה תרצה לשלם אז היא יש לה מספיק זמן לגייס את הסכום, הפרשה של בערך 3 דולר ביום והיא מגיעה לסכום אפילו לפני הדדליין 😄

נקודה חשובה לגבי Killsec, מדובר בקבוצה מהמדרג הנמוך יחסית בקבוצות הכופר, הקבוצה התחילה את הפעילות ההתקפית שלה בכלל בדידוס, השחתה וכדו' והתפתחה בהמשך לקבוצת כופר עם תכנית שותפים.
הקבוצה פעילה מזה כשנתיים בתחום הכופר כשהיא מפרסמת מאות קרבנות.
למרות כמות הקרבנות המכובדת, גם כשעובר הדדליין הקבוצה לא תמיד מפרסמת את המידע שגנבה, או כי אין לה מידע כזה או חוסר מקצועיות.

https://t.me/CyberSecurityIL/8633

כמה מילים על הפעילות של קבוצת Anonymous For Justice.

הקבוצה, שככל הנראה משוייכת לאיראן, הצטרפה קצת באיחור למתקפות הסייבר על ישראל תוך שהיא מתמקדת בעיקר במחיקה של מידע מארגונים שונים.
למי שזוכר, מדובר באותה קבוצה שבעבר פירסמה מידע ממשרד המשפטים.

בשבוע וחצי האחרונים הקבוצה פרסמה כ-20 קרבנות מהם היא מחקה כביכול מידע רב. הקבוצה גם מצרפת סרטון המציג לכאורה את תהליך המחיקה.
בין הקרבנות: משרדי עו"ד, משרדי רו"ח, חברות נדל"ן, מוסדות ועוד.

דברים שכדאי לשים אליהם לב כל השנה, אבל בעיקר בתקופה הזו ובעקבות המתקפות האלו:

1. גיבויים - תוודאו שיש לכם גיבוי מסודר למידע.
תדמיינו שמחקו לכם עמדות, שרתים, מחשב בודד וכדו', מה אתם עושים?
כתבתי על זה כאן לפני כשבוע, תחזרו לפוסט הזה.

2. אתם משתמשים בתוכנות התחברות מרחוק כמו AnyDesk, TeamViewer וכדו'?
תשקלו לנתק את החיבור הזה לתקופת המלחמה, זה ממשק פתוח לעולם בדיוק כמו ממשקים אחרים, כתבתי על זה פוסט כאן.

אתם לא יכולים לנתק?
תקשיחו את ההגדרות של המערכות ותוודאו כי אתם מעודכנים לגרסה האחרונה.
לגבי הקשחות, הנה ההמלצות הבסיסיות של Teamviewer ושל Anydesk - הגדרת סיסמה, הגדרת Allowlist ועוד.

https://t.me/CyberSecurityIL/8634

קבוצת תקיפה המשוייכת ככל הנראה לאיראן טוענת כי הצליחה לגשת לפורטל העובדים של חברת "טבע" - MyTeva.

הקבוצה מפרסמת מידע שהשיגה כביכול מהפורטל כשהוא כולל פרטים על עובדי טבע כגון, שמות, כתובות דוא"ל ארגוניות, מספרי טלפון וכדו'.

הקבוצה טוענת כי גנבה מידע נוסף מהפורטל אך לא מפרסמת הוכחות לכך בשלב זה

https://t.me/CyberSecurityIL/8636

🚨 התרעת סייבר – הודעות SMS מתחזות לפיקוד העורף (מהשעות האחרונות)

מערך הסייבר הלאומי מתריע כי בשעות האחרונות מופצות הודעות SMS המתחזות להודעות רשמיות של פיקוד העורף.

בהודעות מופיעים קישורים מזיקים להורדת אפליקציה “לשהייה במקלטים”.

במערך מדגישים כי אין ללחוץ על הקישור וכי קישורים מסוג זה עלולים לשמש לגניבת מידע אישי, פרטי הזדהות או לפגיעה במכשיר.

⚠️ חשוב להדגיש:
פיקוד העורף אינו מפיץ קישורים להורדת אפליקציות באמצעות הודעות SMS.

🛡️ הנחיות לציבור:
▪️ אין ללחוץ על הקישורים.
▪️ אין למסור פרטים.
▪️ להוריד אפליקציות רק מהחנויות הרשמיות.
▪️ במקרה של ספק – יש להסתמך על מקורות מידע רשמיים בלבד.

אתר האינטרנט של קבוצת התקיפה הנדלה הושבת ע"י ה-FBI.
כמו כן חשבונות ה-Xוויטר של הקבוצה נסגרים אחד אחרי השני.

הקבוצה כמובן טוענת כי היא עובדת על אתר חדש, אבל בינתיים כיף לראות שה-FBI ושות' לוקחים חלק במלחמת הסייבר והתודעה הזו.

https://t.me/CyberSecurityIL/8638

מתקפת הסייבר של הנדלה על חברת Stryker.
כמה עדכונים נוספים בהמשך לדיווח הראשוני מלפני כמה ימים:

- בעקבות האירוע הסוכנות להגנת סייבר ותשתיות בארה"ב (CISA) מפרסמת הנחיות להקשחת Microsoft Intune.

- חברת Stryker דיווחה כי האירוע אכן פגע בחלק מהפעילות השוטפת אבל מניית החברה הגיב לאירוע באדישות.

- הנדלה טענו כי הם גנבו 50TB של מידע לפני שמחקו כ-80,000 מכשירים אך החברה טוענת כי אין ראיות בשלב זה לגניבת המידע.

- אלון גל מחברת האדסון רוק מפרסם כי בסבירות גבוהה ה"פריצה" התבצעה באמצעות שימוש בנתוני הזדהות גנובים שדלפו כבר לפני זמן רב.

https://t.me/CyberSecurityIL/8642

שימו לב לחולשה (CVE-2026-20131) במוצר Cisco's Secure Firewall Management Center (FMC) המנוצלת בפועל ע"י קבוצות כופר מסביב לעולם.

סיסקו פרסמו תיקון ב-4.3.26 אבל מסתבר כי קבוצת הכופר Interlock מנצלת את החולשה כבר מחודש ינואר 26.

https://t.me/CyberSecurityIL/8643

הודעות ההתחזות מהבוקר שהופצו ע"י האיראנים, פרטים נוספים ואינדיקטורים.

1. התוקפים עשו שימוש בחשבון בפלטפורמת החשבוניות דיגיטליות Weezmo, ככל הנראה לאחר שהשיגו גישה לחשבון של רשת הסופרים" דבאח".
דיברנו בעבר על השימוש בפלטפורמות דומות עבור מתקפות שונות.

2. האיראנים התחזו לפיקוד העורף (Oref) ושלחו קישור להורדת אפליקציית היכרויות זדונית.
האפליקציה הזדונית מבוססת על אפליקציית היכרויות אמיתית אך עם תוספות זדוניות.
בדומה למה שבוצע בקמפיין הקודם עם אפליקציית צבע אדום.

3. נתי מחברת גארדיו כתב פוסט על הקמפיין הזדוני הנוכחי, בחן את הקמפיין הזדוני ושיתף באינדיקטורים:

https://shelfriend.com
https://shelfriend.com/shelfriend-latest.apk

https://9732.5486311.xyz/analytics/submit.php
5486311.xyz

167.160.187.43

SHA256: e3295b91a900c405627e4e4dc6fbb2b48a101583f26d15248659407f54317d0d

https://www.virustotal.com/gui/file/e3295b91a900c405627e4e4dc6fbb2b48a101583f26d15248659407f54317d0d/details

https://t.me/CyberSecurityIL/8644

ועכשיו זה רשמי. האתר של קבוצת הנדלה עם הודעת השבתה של ה-FBI.

לא הכי נעים להגיד אבל עשרות תקיפות על ארגונים ואנשים בישראל והאתר הזה נשאר באוויר.
מתקפה אחת על חברה אמריקאית והאתר מושבת.

מתקפת סייבר מנעה מאלפי נהגים בארה"ב להתניע את הרכב.

המתקפה התבצעה על המערכות של חברת Intoxalock, המספקת מערכות נשיפה לזיהוי רמת האלכוהול בדם. המערכות מותקנות ברכבים של נהגים שהואשמו בנהיגה בשכרות תוך שהם מחויבים לנשוף לתוך המכשיר על מנת שיוכלו להניע את הרכב.

בעקבות המתקפה (ככל הנראה מתקפת דידוס), השרתים של החברה הפכו ללא זמינים ואלפי נהגים ב-45 מדינות בארה"ב לא יכלו להניע את הרכב.

לפי דיווחים בתקשורת המתקפה נמשכת מיום שבת, כך שמדובר במתקפה ארוכה יחסית למתקפות דידוס.

לפי הדיווח של החברה, המידע של הנהגים נשאר מוגן ולא נחשף.

מצ"ב כתבת ווידאו בנושא.

https://t.me/CyberSecurityIL/8647

משרד המשפטים בארה"ב מפרסם הודעה מפורטת על השבתת ארבעה אתרי אינטרנט, של קבוצות תקיפה שפעלו תחת משרד המודיעין האיראני, ביניהן קבוצת הנדלה.

https://www.justice.gov/opa/pr/justice-department-disrupts-iranian-cyber-enabled-psychological-operations

יותר ביטחון מידע מסייבר ובכל זאת: המיקום של נושאת המטוסים הצרפתית נחשף לאחר שקצין ביצע ריצה על הסיפון.

הקצין עשה שימוש בשעון ריצה ובאפליקציית הניטור Strava כשלאחר הריצה המידע הועלה לשרתים של Strava באופן ציבורי ומה שחשף למעשה את המיקום של נושאת המטוסים.

מזכיר שזו לא הפעם הראשונה שמיקומים רגישים נחשפים באמצעות שימוש באפליקציית Strava, גם בישראל.

https://t.me/CyberSecurityIL/8649

בפעם השניה החודש: פרויקט הקוד הפתוח Trivy, של חברת Aqua הישראלית, נמצא תחת מתקפה כשתוקפים שותלים קוד זדוני.

בהתחלה נאמר שהגרסה הפגיעה היא Trivy v0.69.4 אך לפי דיווח של חברת Socket ישנם מספר גרסאות נוספות פגיעות דרך Github Actions:

Any CI/CD pipeline referencing aquasecurity/trivy-action by version tag, including commonly used tags such as @0.34.2, @0.33.0, or @0.18.0, is executing malicious code before the legitimate Trivy scan runs. This may prevent users from noticing any issues. At this time, @0.35.0 appears to be the only unaffected version tag

https://t.me/CyberSecurityIL/8650

ארה"ב, בשת"פ עם גופי אכיפה מסביב, לעולם השביתו את רשת ה-DDoS IoT הגדולה בעולם.

ההשבתה כוללת פגיעה בתשתיות שליטה ובקרה בה עשו שימוש ארבעה רשתות בוטנטים: Aisuru, KimWolf, JackSkid ו-Mossad (לא המוסד שלנו 😄)

במסגרת הפעילות של תשתית התקיפה הודבקו מיליוני מכשירי IoT מסביב לעולם כגון מצלמות, ראוטרים ועוד, ובעזרת אותן מכשירים בוצעו עשרות אלפי מתקפות דידוס כשחלקן מגיעות לנפח של 30 Terabits p/s וגורמות לנזק של עשרות אלפי דולרים לארגונים.

מדיווחים שקיבלתי עולה כי גם גופים בישראל נפגעו ממתקפות שבוצעו על ידי רשתות אלו.

https://t.me/CyberSecurityIL/8651