מתקפת הסייבר של הנדלה על חברת Stryker.
כמה עדכונים נוספים בהמשך לדיווח הראשוני מלפני כמה ימים:
- בעקבות האירוע הסוכנות להגנת סייבר ותשתיות בארה"ב (CISA) מפרסמת הנחיות להקשחת Microsoft Intune.
- חברת Stryker דיווחה כי האירוע אכן פגע בחלק מהפעילות השוטפת אבל מניית החברה הגיב לאירוע באדישות.
- הנדלה טענו כי הם גנבו 50TB של מידע לפני שמחקו כ-80,000 מכשירים אך החברה טוענת כי אין ראיות בשלב זה לגניבת המידע.
- אלון גל מחברת האדסון רוק מפרסם כי בסבירות גבוהה ה"פריצה" התבצעה באמצעות שימוש בנתוני הזדהות גנובים שדלפו כבר לפני זמן רב.
https://t.me/CyberSecurityIL/8642
כמה עדכונים נוספים בהמשך לדיווח הראשוני מלפני כמה ימים:
- בעקבות האירוע הסוכנות להגנת סייבר ותשתיות בארה"ב (CISA) מפרסמת הנחיות להקשחת Microsoft Intune.
- חברת Stryker דיווחה כי האירוע אכן פגע בחלק מהפעילות השוטפת אבל מניית החברה הגיב לאירוע באדישות.
- הנדלה טענו כי הם גנבו 50TB של מידע לפני שמחקו כ-80,000 מכשירים אך החברה טוענת כי אין ראיות בשלב זה לגניבת המידע.
- אלון גל מחברת האדסון רוק מפרסם כי בסבירות גבוהה ה"פריצה" התבצעה באמצעות שימוש בנתוני הזדהות גנובים שדלפו כבר לפני זמן רב.
https://t.me/CyberSecurityIL/8642
🙏7❤3🤬2
שימו לב לחולשה (CVE-2026-20131) במוצר Cisco's Secure Firewall Management Center (FMC) המנוצלת בפועל ע"י קבוצות כופר מסביב לעולם.
סיסקו פרסמו תיקון ב-4.3.26 אבל מסתבר כי קבוצת הכופר Interlock מנצלת את החולשה כבר מחודש ינואר 26.
https://t.me/CyberSecurityIL/8643
סיסקו פרסמו תיקון ב-4.3.26 אבל מסתבר כי קבוצת הכופר Interlock מנצלת את החולשה כבר מחודש ינואר 26.
https://t.me/CyberSecurityIL/8643
🔥7
הודעות ההתחזות מהבוקר שהופצו ע"י האיראנים, פרטים נוספים ואינדיקטורים.
1. התוקפים עשו שימוש בחשבון בפלטפורמת החשבוניות דיגיטליות Weezmo, ככל הנראה לאחר שהשיגו גישה לחשבון של רשת הסופרים" דבאח".
דיברנו בעבר על השימוש בפלטפורמות דומות עבור מתקפות שונות.
2. האיראנים התחזו לפיקוד העורף (Oref) ושלחו קישור להורדת אפליקציית היכרויות זדונית.
האפליקציה הזדונית מבוססת על אפליקציית היכרויות אמיתית אך עם תוספות זדוניות.
בדומה למה שבוצע בקמפיין הקודם עם אפליקציית צבע אדום.
3. נתי מחברת גארדיו כתב פוסט על הקמפיין הזדוני הנוכחי, בחן את הקמפיין הזדוני ושיתף באינדיקטורים:
https://t.me/CyberSecurityIL/8644
1. התוקפים עשו שימוש בחשבון בפלטפורמת החשבוניות דיגיטליות Weezmo, ככל הנראה לאחר שהשיגו גישה לחשבון של רשת הסופרים" דבאח".
דיברנו בעבר על השימוש בפלטפורמות דומות עבור מתקפות שונות.
2. האיראנים התחזו לפיקוד העורף (Oref) ושלחו קישור להורדת אפליקציית היכרויות זדונית.
האפליקציה הזדונית מבוססת על אפליקציית היכרויות אמיתית אך עם תוספות זדוניות.
בדומה למה שבוצע בקמפיין הקודם עם אפליקציית צבע אדום.
3. נתי מחברת גארדיו כתב פוסט על הקמפיין הזדוני הנוכחי, בחן את הקמפיין הזדוני ושיתף באינדיקטורים:
https://shelfriend.com
https://shelfriend.com/shelfriend-latest.apk
https://9732.5486311.xyz/analytics/submit.php
5486311.xyz
167.160.187.43
SHA256: e3295b91a900c405627e4e4dc6fbb2b48a101583f26d15248659407f54317d0d
https://www.virustotal.com/gui/file/e3295b91a900c405627e4e4dc6fbb2b48a101583f26d15248659407f54317d0d/details
https://t.me/CyberSecurityIL/8644
❤18👌5👍2
חדשות סייבר - ארז דסה
אתר האינטרנט של קבוצת התקיפה הנדלה הושבת ע"י ה-FBI. כמו כן חשבונות ה-Xוויטר של הקבוצה נסגרים אחד אחרי השני. הקבוצה כמובן טוענת כי היא עובדת על אתר חדש, אבל בינתיים כיף לראות שה-FBI ושות' לוקחים חלק במלחמת הסייבר והתודעה הזו. https://t.me/CyberSecurityIL/8638
ועכשיו זה רשמי. האתר של קבוצת הנדלה עם הודעת השבתה של ה-FBI.
❤45👏28🏆12👍5
חדשות סייבר - ארז דסה
ועכשיו זה רשמי. האתר של קבוצת הנדלה עם הודעת השבתה של ה-FBI.
לא הכי נעים להגיד אבל עשרות תקיפות על ארגונים ואנשים בישראל והאתר הזה נשאר באוויר.
מתקפה אחת על חברה אמריקאית והאתר מושבת.
מתקפה אחת על חברה אמריקאית והאתר מושבת.
👍68🤬22🤔14💯4❤2
Media is too big
VIEW IN TELEGRAM
מתקפת סייבר מנעה מאלפי נהגים בארה"ב להתניע את הרכב.
המתקפה התבצעה על המערכות של חברת Intoxalock, המספקת מערכות נשיפה לזיהוי רמת האלכוהול בדם. המערכות מותקנות ברכבים של נהגים שהואשמו בנהיגה בשכרות תוך שהם מחויבים לנשוף לתוך המכשיר על מנת שיוכלו להניע את הרכב.
בעקבות המתקפה (ככל הנראה מתקפת דידוס), השרתים של החברה הפכו ללא זמינים ואלפי נהגים ב-45 מדינות בארה"ב לא יכלו להניע את הרכב.
לפי דיווחים בתקשורת המתקפה נמשכת מיום שבת, כך שמדובר במתקפה ארוכה יחסית למתקפות דידוס.
לפי הדיווח של החברה, המידע של הנהגים נשאר מוגן ולא נחשף.
מצ"ב כתבת ווידאו בנושא.
https://t.me/CyberSecurityIL/8647
המתקפה התבצעה על המערכות של חברת Intoxalock, המספקת מערכות נשיפה לזיהוי רמת האלכוהול בדם. המערכות מותקנות ברכבים של נהגים שהואשמו בנהיגה בשכרות תוך שהם מחויבים לנשוף לתוך המכשיר על מנת שיוכלו להניע את הרכב.
בעקבות המתקפה (ככל הנראה מתקפת דידוס), השרתים של החברה הפכו ללא זמינים ואלפי נהגים ב-45 מדינות בארה"ב לא יכלו להניע את הרכב.
לפי דיווחים בתקשורת המתקפה נמשכת מיום שבת, כך שמדובר במתקפה ארוכה יחסית למתקפות דידוס.
לפי הדיווח של החברה, המידע של הנהגים נשאר מוגן ולא נחשף.
מצ"ב כתבת ווידאו בנושא.
https://t.me/CyberSecurityIL/8647
🤣35🤯16❤7🤔6👍2🤬1
חדשות סייבר - ארז דסה
ועכשיו זה רשמי. האתר של קבוצת הנדלה עם הודעת השבתה של ה-FBI.
משרד המשפטים בארה"ב מפרסם הודעה מפורטת על השבתת ארבעה אתרי אינטרנט, של קבוצות תקיפה שפעלו תחת משרד המודיעין האיראני, ביניהן קבוצת הנדלה.
https://www.justice.gov/opa/pr/justice-department-disrupts-iranian-cyber-enabled-psychological-operations
https://www.justice.gov/opa/pr/justice-department-disrupts-iranian-cyber-enabled-psychological-operations
🙏29🔥10👍3
יותר ביטחון מידע מסייבר ובכל זאת: המיקום של נושאת המטוסים הצרפתית נחשף לאחר שקצין ביצע ריצה על הסיפון.
הקצין עשה שימוש בשעון ריצה ובאפליקציית הניטור Strava כשלאחר הריצה המידע הועלה לשרתים של Strava באופן ציבורי ומה שחשף למעשה את המיקום של נושאת המטוסים.
מזכיר שזו לא הפעם הראשונה שמיקומים רגישים נחשפים באמצעות שימוש באפליקציית Strava, גם בישראל.
https://t.me/CyberSecurityIL/8649
הקצין עשה שימוש בשעון ריצה ובאפליקציית הניטור Strava כשלאחר הריצה המידע הועלה לשרתים של Strava באופן ציבורי ומה שחשף למעשה את המיקום של נושאת המטוסים.
מזכיר שזו לא הפעם הראשונה שמיקומים רגישים נחשפים באמצעות שימוש באפליקציית Strava, גם בישראל.
https://t.me/CyberSecurityIL/8649
🤣98🤯20❤7🤬6👍2👌1
חדשות סייבר - ארז דסה
ולחדשות סייבר נוספות: חשבון גיטהאב בשם hackerbot-claw ניצל חולשות ב-Github Actions וניסה לפגוע בלא מעט פרויקטי קוד פתוח כשחלקם שייכים לחברות גדולות כמו Microsot, DataDog ועוד. התוקף מנסה להריץ קוד זדוני ולגנוב מפתחות גישה, סיסמאות ועוד. גם חברת Aqua הישראלית…
בפעם השניה החודש: פרויקט הקוד הפתוח Trivy, של חברת Aqua הישראלית, נמצא תחת מתקפה כשתוקפים שותלים קוד זדוני.
בהתחלה נאמר שהגרסה הפגיעה היא Trivy v0.69.4 אך לפי דיווח של חברת Socket ישנם מספר גרסאות נוספות פגיעות דרך Github Actions:
https://t.me/CyberSecurityIL/8650
בהתחלה נאמר שהגרסה הפגיעה היא Trivy v0.69.4 אך לפי דיווח של חברת Socket ישנם מספר גרסאות נוספות פגיעות דרך Github Actions:
Any CI/CD pipeline referencing aquasecurity/trivy-action by version tag, including commonly used tags such as @0.34.2, @0.33.0, or @0.18.0, is executing malicious code before the legitimate Trivy scan runs. This may prevent users from noticing any issues. At this time, @0.35.0 appears to be the only unaffected version tag
https://t.me/CyberSecurityIL/8650
🤯15❤3
ארה"ב, בשת"פ עם גופי אכיפה מסביב, לעולם השביתו את רשת ה-DDoS IoT הגדולה בעולם.
ההשבתה כוללת פגיעה בתשתיות שליטה ובקרה בה עשו שימוש ארבעה רשתות בוטנטים: Aisuru, KimWolf, JackSkid ו-Mossad (לא המוסד שלנו 😄)
במסגרת הפעילות של תשתית התקיפה הודבקו מיליוני מכשירי IoT מסביב לעולם כגון מצלמות, ראוטרים ועוד, ובעזרת אותן מכשירים בוצעו עשרות אלפי מתקפות דידוס כשחלקן מגיעות לנפח של 30 Terabits p/s וגורמות לנזק של עשרות אלפי דולרים לארגונים.
מדיווחים שקיבלתי עולה כי גם גופים בישראל נפגעו ממתקפות שבוצעו על ידי רשתות אלו.
https://t.me/CyberSecurityIL/8651
ההשבתה כוללת פגיעה בתשתיות שליטה ובקרה בה עשו שימוש ארבעה רשתות בוטנטים: Aisuru, KimWolf, JackSkid ו-Mossad (לא המוסד שלנו 😄)
במסגרת הפעילות של תשתית התקיפה הודבקו מיליוני מכשירי IoT מסביב לעולם כגון מצלמות, ראוטרים ועוד, ובעזרת אותן מכשירים בוצעו עשרות אלפי מתקפות דידוס כשחלקן מגיעות לנפח של 30 Terabits p/s וגורמות לנזק של עשרות אלפי דולרים לארגונים.
מדיווחים שקיבלתי עולה כי גם גופים בישראל נפגעו ממתקפות שבוצעו על ידי רשתות אלו.
https://t.me/CyberSecurityIL/8651
👍31❤12🏆7
סיכום אירועי השבת בסייבר (ישראל):
- מקבל מכם דיווחים על ארגונים שנפרצו ומאגרי המידע שלהם נמחקו (כולל גיבויים). התוקפים נכנסו ככל הנראה דרך פורטי לא מפוצ'פץ'.
שימו לב ותוודאו שאתם על גרסאות מעודכנות ללא חולשות ידועות.
- אחרי ירידה קלה, קבוצות תקיפה העלו את הקצב במהלך סופ"ש ("עיד אל פיטר" ).
גרף מעודכן של מתקפות דידוס, השחתה וכו' מצ"ב.
- קבוצת הנדלה מפרסמת מידע שגנבה כביכול מקצין בצה"ל (תא"ל), לא ברור לגמרי אם מדובר במתקפה חדשה או שיש קשר למתקפה שפורסמה בעבר על INSS.
- קבוצות תקיפה שונות פירסמו סרטוני ווידאו ממצלמות אבטחה במקומות שונים (בתים פרטיים, בתי כנסת).
https://t.me/CyberSecurityIL/8652
- מקבל מכם דיווחים על ארגונים שנפרצו ומאגרי המידע שלהם נמחקו (כולל גיבויים). התוקפים נכנסו ככל הנראה דרך פורטי לא מפוצ'פץ'.
שימו לב ותוודאו שאתם על גרסאות מעודכנות ללא חולשות ידועות.
- אחרי ירידה קלה, קבוצות תקיפה העלו את הקצב במהלך סופ"ש ("עיד אל פיטר" ).
גרף מעודכן של מתקפות דידוס, השחתה וכו' מצ"ב.
- קבוצת הנדלה מפרסמת מידע שגנבה כביכול מקצין בצה"ל (תא"ל), לא ברור לגמרי אם מדובר במתקפה חדשה או שיש קשר למתקפה שפורסמה בעבר על INSS.
- קבוצות תקיפה שונות פירסמו סרטוני ווידאו ממצלמות אבטחה במקומות שונים (בתים פרטיים, בתי כנסת).
https://t.me/CyberSecurityIL/8652
❤12👍4
קבוצת כופר חדשה בשם ALP-001 מפרסמת כקרבן את חברת Hikvision המייצרת ומשווקת מצלמות אבטחה.
בקרוב אני אקיים ראיון עם הקבוצה הזו, אז אם יש לכם שאלות מעניינות מוזמנים לשלוח בתגובות או בפרטי.
בינתיים אתם מוזמנים לקרוא את הראיונות הקודמים שביצעתי עם קבוצות כופר שונות.
https://t.me/CyberSecurityIL/8653
בקרוב אני אקיים ראיון עם הקבוצה הזו, אז אם יש לכם שאלות מעניינות מוזמנים לשלוח בתגובות או בפרטי.
בינתיים אתם מוזמנים לקרוא את הראיונות הקודמים שביצעתי עם קבוצות כופר שונות.
https://t.me/CyberSecurityIL/8653
👍13❤1
קבוצת Lapsus מפרסמת כקרבן את חברת התרופות AstraZeneca.
הקבוצה מפרסמת מספר הוכחות המעידות לכאורה על הפריצה.
https://t.me/CyberSecurityIL/8654
הקבוצה מפרסמת מספר הוכחות המעידות לכאורה על הפריצה.
https://t.me/CyberSecurityIL/8654
🤯6👍3❤1👌1
האם סטארטאפ "אמריקאי" שמספק הסמכות אבטחת מידע ופרטיות הוא למעשה חברה הודית בתחפושת המספקת הסמכות מזויפות?
בסופ"ש האחרון פורסם בפלטפורמת הבלוגים סאבסטאק מאמר ארוך המאשים את הסטארטאפ Delve בהנפקת הסמכות אבטחת מידע ופרטיות מזוייפות כמו ISO 27001, HIPAA, SOC 2, עבור לקוחות.
בבלוג, שנכתב ע"י לקוח לשעבר של Delve, נטען כי לפני כחודשיים דלף מידע פנימי מהרשת של Delve שנתן הצצה להונאה הרחבה שהסטארטאפ מבצע תוך שהוא מספק למאות חברות הסמכות מזויפות דרך גופים שונים בהודו המשמשים כחותמת גומי.
החברה מכחישה את הטענות בפוסט שפרסמה תוך שהיא טוענת כי הוא מכיל "אי דיוקים" וכי היא לא מספקת הסמכות, אלא רק מסייעת ללקוחות להיות מוכנים לקראת הביקורת הנדרשת להסמכה וכו' וכו'.
אם הסיפור של ההונאה יתברר כנכון אז מאות חברות חשופות לכאורה לסיכון משפטי/רגולטורי.
חברות משתמשות בהסמכות שקיבלו בעזרת Delve כדי להוכיח ללקוחות, רגולטורים וכו' שהן עומדות בדרישות אבטחה ופרטיות.
אם ההסמכות והבדיקות להסמכה מזוייפים או לא נבדקו בצורה עצמאית אז הרבה חברות יכולות להיות בבעיה רצינית.
עוד על הסיפור הזה - כאן
https://t.me/CyberSecurityIL/8655
בסופ"ש האחרון פורסם בפלטפורמת הבלוגים סאבסטאק מאמר ארוך המאשים את הסטארטאפ Delve בהנפקת הסמכות אבטחת מידע ופרטיות מזוייפות כמו ISO 27001, HIPAA, SOC 2, עבור לקוחות.
בבלוג, שנכתב ע"י לקוח לשעבר של Delve, נטען כי לפני כחודשיים דלף מידע פנימי מהרשת של Delve שנתן הצצה להונאה הרחבה שהסטארטאפ מבצע תוך שהוא מספק למאות חברות הסמכות מזויפות דרך גופים שונים בהודו המשמשים כחותמת גומי.
החברה מכחישה את הטענות בפוסט שפרסמה תוך שהיא טוענת כי הוא מכיל "אי דיוקים" וכי היא לא מספקת הסמכות, אלא רק מסייעת ללקוחות להיות מוכנים לקראת הביקורת הנדרשת להסמכה וכו' וכו'.
אם הסיפור של ההונאה יתברר כנכון אז מאות חברות חשופות לכאורה לסיכון משפטי/רגולטורי.
חברות משתמשות בהסמכות שקיבלו בעזרת Delve כדי להוכיח ללקוחות, רגולטורים וכו' שהן עומדות בדרישות אבטחה ופרטיות.
אם ההסמכות והבדיקות להסמכה מזוייפים או לא נבדקו בצורה עצמאית אז הרבה חברות יכולות להיות בבעיה רצינית.
עוד על הסיפור הזה - כאן
https://t.me/CyberSecurityIL/8655
🤯19❤6👍5
260320.pdf
744.5 KB
ב-FBI מפרסמים מסמך על פעילות סייבר איראנית תוך שימוש בטלגרם כשרת C2.
מסמך מצ"ב, כולל אינדיקטורים.
https://t.me/CyberSecurityIL/8656
מסמך מצ"ב, כולל אינדיקטורים.
https://t.me/CyberSecurityIL/8656
👍12🤔4❤1
ראיון עם קבוצת הכופר ALP-001. בלעדי לערוץ חדשות סייבר 🛡️
הראיון התקיים עם המנהל של הקבוצה.
------------------------
ש: ALP-001 צצה ממש לאחרונה. האם מדובר בקבוצה חדשה לגמרי, או במיתוג מחדש של קבוצה ישנה?
ת: קבוצת ALP-001 היא קבוצה חדשה, מתקפות חדשות ושיטות עבודה חדשות כדי להשיג גישה לרשתות של חברות גדולות.
ש: האתר שלכם מציג את ALP-001 גם כפלטפורמת הדלפות וגם כשוק למכירת גישה. מהו למעשה המודל העסקי המרכזי שלכם כיום - מתקפות כופר, סחיטת מידע בלבד, מכירת גישה ראשונית או הכל מהכל?
ת: האתר שלנו לא נועד רק להדלפות. יש לנו גם אקספלויטים ו-0days, וגם גישה לחברות גדולות. אנחנו יכולים למכור גישה לכל אחד.
אם הקורבנות שלנו משלמים אז אנחנו לא מוכרים כלום.
ש: מה ווקטור הכניסה המרכזי שלכם לארגונים? האם אתם רוכשים פרטי גישה גנובים, מנצלים חולשות, או משהו אחר?
ת: אנחנו לא קונים גישה. אנחנו מפתחים את האקספלויטים שלנו בעצמנו.
ש: האם אתם עובדים עם שותפים או שהקבוצה היא צוות סגור? ואם אתם כן עובדים עם אחרים, איך אתם בודקים אותם ומצמצמים את הסיכון להונאות או לחדירה של גורמי אכיפה?
ת: אנחנו לא עובדים עם אף אחד. אנחנו עובדים לבד. אם אנחנו מכניסים שותפים זה רק עם גורמים שאנחנו סומכים עליהם.
ש: איך אתם מחליטים אם יעד מסוים שווה תקיפה? אילו גורמים הכי משמעותיים מבחינתכם, למשל הכנסות, מגזר, רמת הבשלות בסייבר, ביטוח סייבר, מיקום גיאוגרפי, או רגישות המידע שאתם טוענים שהשגתם?
ת: בחירת מטרות היא החלטה עסקית מחושבת. הגורמים המרכזיים כוללים את הפוטנציאל הכלכלי, כמו הכנסות וביטוח, רגישות המידע, קלות הסחיטה, סיכון משפטי לפי אזור גיאוגרפי, וההערכה שלנו לגבי היכולת או הנכונות של הארגון לשלם. רמת אבטחה נמוכה היא גורם מרכזי.
ש: פרסמתם קורבנות אבל לא הצגתם הוכחות לפריצה ולא חשפתם את סכום הכופר שנדרש. למה?
ת: בדיוק הוספנו טיימר לפרסום דוגמאות וקבצים. זה נכון גם עבור הקורבן, כשהוא יוצר איתנו קשר, וגם עבור הציבור (לאחר 8 שעות).
ש: לגבי Hikvision - מדובר בחברה גדולה ובולטת. האם תוכלו לשתף יותר על המקרה הזה? איזה סוג גישה השגתם, איזה סוג מידע לטענתכם נלקח, כמה זמן הייתם בתוך הרשת, ולמה החלטתם לתקוף דווקא את הארגון הזה?
ת: השגנו גישה משמעותית לרשת באמצעות שילוב של כמה שיטות. הוצאנו כמויות גדולות של מידע, כולל מסמכים פנימיים, קבצי פרויקטים, ומידע מסוים על עובדים.
היינו בתוך הרשת שלהם במשך תקופה ממושכת כדי למפות היטב את התשתית שלהם, בערך חמישה חודשים. הם נבחרו בגלל הגודל שלהם, הפרופיל הגלובלי שלהם, והאופי הרגיש של תחום הפעילות שלהם. הם בעל ערך גבוה עם פוטנציאל לתשלום משמעותי.
ש: עוד שאלה שקשורה ל-Hikvision - האם הגודל והפרופיל של החברה שינו את האסטרטגיה שלכם בצורה כלשהי? (משא ומתן, דדליין וכדו')
ת: בהחלט. כאשר מדובר ביעד בפרופיל כזה, האסטרטגיה שלנו הופכת לסבלנית יותר. דרישת הכופר מותאמת לגודל החברה כמובן ולוח הזמנים של המשא ומתן עשוי להתארך.
אנחנו מפעילים לחץ בצורה זהירה יותר כדי לא לעורר תגובת אכיפה חריגה. ההחלטה לא לפרסם הוכחות לפריצה לכולם היא חלק מאסטרטגיית הלחץ שלנו.
ש: כל אדם, גם אם בחר בדרך לא שגרתית, שואב השראה ממקום כלשהו. האם יש ספר, אדם או סרט מסוים שעיצב את תפיסת העולם שלכם או השפיע על הדרך שבה אתם פועלים?
ת: ההשראה מגיעה מעקרונות שונים ומהמציאות הטכנולוגית. אנחנו לומדים את ההצלחות והכישלונות של מי שהיו לפנינו, לא כדי לחקות, אלא כדי להתפתח.
ש: משהו אחרון שתרצו לשתף עם העוקבים בערוץ?
ת: ההגנות הן סטטיות, ואילו ההתקפה מותאמת לכל ארגון. לארגונים שצופים בנו, המידע שלכם מאובטח רק כמו החוליה החלשה ביותר שלכם, ואנחנו עוסקים בלמצוא אותה. לאחרים שפועלים בזירה הזו, תתחדשו או תהפכו ללא רלוונטיים. זה לא משחק, זה שוק. תפעלו בהתאם.
--------------------------
לכל הראיונות הקודמים שלי עם קבוצות הכופר - לחצו כאן.
https://t.me/CyberSecurityIL/8657
הראיון התקיים עם המנהל של הקבוצה.
------------------------
ש: ALP-001 צצה ממש לאחרונה. האם מדובר בקבוצה חדשה לגמרי, או במיתוג מחדש של קבוצה ישנה?
ת: קבוצת ALP-001 היא קבוצה חדשה, מתקפות חדשות ושיטות עבודה חדשות כדי להשיג גישה לרשתות של חברות גדולות.
ש: האתר שלכם מציג את ALP-001 גם כפלטפורמת הדלפות וגם כשוק למכירת גישה. מהו למעשה המודל העסקי המרכזי שלכם כיום - מתקפות כופר, סחיטת מידע בלבד, מכירת גישה ראשונית או הכל מהכל?
ת: האתר שלנו לא נועד רק להדלפות. יש לנו גם אקספלויטים ו-0days, וגם גישה לחברות גדולות. אנחנו יכולים למכור גישה לכל אחד.
אם הקורבנות שלנו משלמים אז אנחנו לא מוכרים כלום.
ש: מה ווקטור הכניסה המרכזי שלכם לארגונים? האם אתם רוכשים פרטי גישה גנובים, מנצלים חולשות, או משהו אחר?
ת: אנחנו לא קונים גישה. אנחנו מפתחים את האקספלויטים שלנו בעצמנו.
ש: האם אתם עובדים עם שותפים או שהקבוצה היא צוות סגור? ואם אתם כן עובדים עם אחרים, איך אתם בודקים אותם ומצמצמים את הסיכון להונאות או לחדירה של גורמי אכיפה?
ת: אנחנו לא עובדים עם אף אחד. אנחנו עובדים לבד. אם אנחנו מכניסים שותפים זה רק עם גורמים שאנחנו סומכים עליהם.
ש: איך אתם מחליטים אם יעד מסוים שווה תקיפה? אילו גורמים הכי משמעותיים מבחינתכם, למשל הכנסות, מגזר, רמת הבשלות בסייבר, ביטוח סייבר, מיקום גיאוגרפי, או רגישות המידע שאתם טוענים שהשגתם?
ת: בחירת מטרות היא החלטה עסקית מחושבת. הגורמים המרכזיים כוללים את הפוטנציאל הכלכלי, כמו הכנסות וביטוח, רגישות המידע, קלות הסחיטה, סיכון משפטי לפי אזור גיאוגרפי, וההערכה שלנו לגבי היכולת או הנכונות של הארגון לשלם. רמת אבטחה נמוכה היא גורם מרכזי.
ש: פרסמתם קורבנות אבל לא הצגתם הוכחות לפריצה ולא חשפתם את סכום הכופר שנדרש. למה?
ת: בדיוק הוספנו טיימר לפרסום דוגמאות וקבצים. זה נכון גם עבור הקורבן, כשהוא יוצר איתנו קשר, וגם עבור הציבור (לאחר 8 שעות).
ש: לגבי Hikvision - מדובר בחברה גדולה ובולטת. האם תוכלו לשתף יותר על המקרה הזה? איזה סוג גישה השגתם, איזה סוג מידע לטענתכם נלקח, כמה זמן הייתם בתוך הרשת, ולמה החלטתם לתקוף דווקא את הארגון הזה?
ת: השגנו גישה משמעותית לרשת באמצעות שילוב של כמה שיטות. הוצאנו כמויות גדולות של מידע, כולל מסמכים פנימיים, קבצי פרויקטים, ומידע מסוים על עובדים.
היינו בתוך הרשת שלהם במשך תקופה ממושכת כדי למפות היטב את התשתית שלהם, בערך חמישה חודשים. הם נבחרו בגלל הגודל שלהם, הפרופיל הגלובלי שלהם, והאופי הרגיש של תחום הפעילות שלהם. הם בעל ערך גבוה עם פוטנציאל לתשלום משמעותי.
ש: עוד שאלה שקשורה ל-Hikvision - האם הגודל והפרופיל של החברה שינו את האסטרטגיה שלכם בצורה כלשהי? (משא ומתן, דדליין וכדו')
ת: בהחלט. כאשר מדובר ביעד בפרופיל כזה, האסטרטגיה שלנו הופכת לסבלנית יותר. דרישת הכופר מותאמת לגודל החברה כמובן ולוח הזמנים של המשא ומתן עשוי להתארך.
אנחנו מפעילים לחץ בצורה זהירה יותר כדי לא לעורר תגובת אכיפה חריגה. ההחלטה לא לפרסם הוכחות לפריצה לכולם היא חלק מאסטרטגיית הלחץ שלנו.
ש: כל אדם, גם אם בחר בדרך לא שגרתית, שואב השראה ממקום כלשהו. האם יש ספר, אדם או סרט מסוים שעיצב את תפיסת העולם שלכם או השפיע על הדרך שבה אתם פועלים?
ת: ההשראה מגיעה מעקרונות שונים ומהמציאות הטכנולוגית. אנחנו לומדים את ההצלחות והכישלונות של מי שהיו לפנינו, לא כדי לחקות, אלא כדי להתפתח.
ש: משהו אחרון שתרצו לשתף עם העוקבים בערוץ?
ת: ההגנות הן סטטיות, ואילו ההתקפה מותאמת לכל ארגון. לארגונים שצופים בנו, המידע שלכם מאובטח רק כמו החוליה החלשה ביותר שלכם, ואנחנו עוסקים בלמצוא אותה. לאחרים שפועלים בזירה הזו, תתחדשו או תהפכו ללא רלוונטיים. זה לא משחק, זה שוק. תפעלו בהתאם.
--------------------------
לכל הראיונות הקודמים שלי עם קבוצות הכופר - לחצו כאן.
https://t.me/CyberSecurityIL/8657
Please open Telegram to view this post
VIEW IN TELEGRAM
❤32👍16🔥8👻3🙏2🤯1💅1
חדשות סייבר - ארז דסה
בפעם השניה החודש: פרויקט הקוד הפתוח Trivy, של חברת Aqua הישראלית, נמצא תחת מתקפה כשתוקפים שותלים קוד זדוני. בהתחלה נאמר שהגרסה הפגיעה היא Trivy v0.69.4 אך לפי דיווח של חברת Socket ישנם מספר גרסאות נוספות פגיעות דרך Github Actions: Any CI/CD pipeline referencing…
זה הולך ומחמיר - קבוצת תקיפה בשם TeamPCP השיגה שליטה על חשבון הגיטהאב הפרטי של Aqua Security, וביצעה השחתה לרפוסיטורים של החברה.
מזכיר שזה התחיל עם פריצה כפולה לפרויקט Trivy.
פרטים נוספים כאן.
https://t.me/CyberSecurityIL/8658
מזכיר שזה התחיל עם פריצה כפולה לפרויקט Trivy.
פרטים נוספים כאן.
https://t.me/CyberSecurityIL/8658
🤯29❤5🤬1
קבוצה בשם APT Iran טוענת כי היא פרצה לחברת לוקהיד מרטין.
מדובר בקבוצה עם מוניטין מפוקפק והסרטון שהם מפרסמים, בו הם משוטטים בתוך המיילים של לוקהיד, נראה כמו תיבת דוא"ל שנבנתה עם AI ויותר מדי סימנים מחשידים.
בקיצור, אין שום הוכחה בשלב זה מעבר לסרטון המפוקפק.
כמובן שאם הכל יתברר כנכון ויש כאן באמת פריצה ללוקהיד מרטין אני אפרסם עדכון.
https://t.me/CyberSecurityIL/8659
מדובר בקבוצה עם מוניטין מפוקפק והסרטון שהם מפרסמים, בו הם משוטטים בתוך המיילים של לוקהיד, נראה כמו תיבת דוא"ל שנבנתה עם AI ויותר מדי סימנים מחשידים.
בקיצור, אין שום הוכחה בשלב זה מעבר לסרטון המפוקפק.
כמובן שאם הכל יתברר כנכון ויש כאן באמת פריצה ללוקהיד מרטין אני אפרסם עדכון.
https://t.me/CyberSecurityIL/8659
🎃14👍4❤1🙏1👻1
- תוכן שיווקי -
פתרון AdminByRequest ל-macOS - הסוף לעידן משתמשי Admin במחשבי מק🍏
מי שמנהל מחשבי Mac בארגון יודע: מפתחים, DevOps וצוותי תמיכה חייבים אדמין.
פתרון AdminByRequest משנה את התמונה ומבטל צורך בהרשאות אדמין בסביבת macOS בלי לשבור תהליכי עבודה✅
מה הפתרון נותן?
🔐 הסרת הרשאות אדמין לכל משתמשי הארגון - כולל מפתחים.
👥 ביטול חשבונות אדמין מקומיים
🎧 הסרת הרשאות אדמין מצוות התמיכה
🛡 הגנת OPSWAT מובנית ללא עלות בכל Elevation.
⚙️ סוכן של 4mb בלבד בתחנה - פועל ללא כל השפעה על ביצועים.
🍏 אופציה להטמעת מוצר השתלטות (Remote Control) באותו סוכן, כולל הקלטת סשן.
אינטגרציות מובנות עם - Okta, Jamf, Kandji, Intune, Entra ID
לפרטים נוספים:
Shlomi@oncld.io
-----------------------------
מעוניינים לפרסם בערוץ? דברו איתי
פתרון AdminByRequest ל-macOS - הסוף לעידן משתמשי Admin במחשבי מק
מי שמנהל מחשבי Mac בארגון יודע: מפתחים, DevOps וצוותי תמיכה חייבים אדמין.
פתרון AdminByRequest משנה את התמונה ומבטל צורך בהרשאות אדמין בסביבת macOS בלי לשבור תהליכי עבודה
מה הפתרון נותן?
אינטגרציות מובנות עם - Okta, Jamf, Kandji, Intune, Entra ID
לפרטים נוספים:
Shlomi@oncld.io
-----------------------------
מעוניינים לפרסם בערוץ? דברו איתי
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥3👍1
העיתונאי נרימאן גריב מדווח כי ישראל וארה"ב הפציצו מבנה השייך ליחידת סייבר של המודיעין האיראני.
בתמונות - המבנה לפני ואחרי.
לפי נרימאן, מתוך המבנה פעלו אנשי סייבר שונים, כשעבור מידע על חלקם הציעה ארה"ב בעבר תגמול של עד 10 מיליון דולר.
https://t.me/CyberSecurityIL/8663?single
בתמונות - המבנה לפני ואחרי.
לפי נרימאן, מתוך המבנה פעלו אנשי סייבר שונים, כשעבור מידע על חלקם הציעה ארה"ב בעבר תגמול של עד 10 מיליון דולר.
https://t.me/CyberSecurityIL/8663?single
🔥44❤6👍6