קבוצת ShinyHunters לוקחת אחריות על הפריצה ל-Cisco.
הקבוצה מפרסמת מספר צילומי מסך, וטוענת כי גנבה מהחברה 3 מיליון רשומות Salesforce, קוד מקור מגיטהאב, מידע רגיש מ-aws buckets ועוד.
הקבוצה מציבה ל-Cisco דדליין של 3 ימים ליצירת קשר לפני שהיא מפרסמת את המידע שגנבה.
שאלה שנשארה פתוחה: מה הקשר בין TeamPCP ל-ShinyHunters....
https://t.me/CyberSecurityIL/8705
הקבוצה מפרסמת מספר צילומי מסך, וטוענת כי גנבה מהחברה 3 מיליון רשומות Salesforce, קוד מקור מגיטהאב, מידע רגיש מ-aws buckets ועוד.
הקבוצה מציבה ל-Cisco דדליין של 3 ימים ליצירת קשר לפני שהיא מפרסמת את המידע שגנבה.
שאלה שנשארה פתוחה: מה הקשר בין TeamPCP ל-ShinyHunters....
https://t.me/CyberSecurityIL/8705
🤯23🤔6❤2🤬1🤩1🤣1😎1
חדשות סייבר - ארז דסה
שאלה שנשארה פתוחה: מה הקשר בין TeamPCP ל-S
אז מסתבר ש-TeamPCP משתפים פעולה עם קבוצת ShinyHunters, Lapsus$ ועם קבוצת הכופר Vect על מנת לסחוט את הקרבנות.
גם לתוקפים יש סוג של שרשרת אספקה...
קבוצה אחת גונבת נתוני הזדהות, אותם היא מעבירה הלאה לקבוצה אחרת שחודרת לרשת של הקרבן, גונבת מידע ומבצעת סחיטה.
גם לתוקפים יש סוג של שרשרת אספקה...
קבוצה אחת גונבת נתוני הזדהות, אותם היא מעבירה הלאה לקבוצה אחרת שחודרת לרשת של הקרבן, גונבת מידע ומבצעת סחיטה.
🤯16🤬8😢2🤣2🔥1😎1
שלושה חודשים של כופר 🔒 💰
2,320 קרבנות פורסמו באתרים של קבוצות הכופר מאז החלה שנת 2026. (אנחנו חוזרים לקצב של שנת 2025 שהייתה שנת שיא של כל הזמנים...)
בחודש מרץ 26 פורסמו 832 קרבנות חדשים באתרים של קבוצות הכופר.
קבוצת Qilin עדיין מובילה בפער עם כמעט 400 קרבנות מאז תחילת השנה...
https://t.me/CyberSecurityIL/8707
2,320 קרבנות פורסמו באתרים של קבוצות הכופר מאז החלה שנת 2026. (אנחנו חוזרים לקצב של שנת 2025 שהייתה שנת שיא של כל הזמנים...)
בחודש מרץ 26 פורסמו 832 קרבנות חדשים באתרים של קבוצות הכופר.
קבוצת Qilin עדיין מובילה בפער עם כמעט 400 קרבנות מאז תחילת השנה...
https://t.me/CyberSecurityIL/8707
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16❤3🤬2🤩1
חברת Bright Data הישראלית (שירותי כריית נתונים) מדווחת למשתמשים על חשש לדלף מידע ודרישה לאיפוס סיסמאות.
https://t.me/CyberSecurityIL/8708
https://t.me/CyberSecurityIL/8708
👍13🤯3🔥1😱1
כמה אירועי סייבר מסביב לעולם:
- קבוצת הנדלה טוענת כי תקפה את מחוז St. Joseph בארה"ב, ואת גוף החדשות IranWire.
- גוגל מפרסמת תיקון לכרום הסוגר חולשת Zero-Day, הגרסאות התקינות:
- בית המשפט בארה"ב קבע כי התוקף שגנב כ-53 מיליון דולר מפרויקט הקריפטו Uranium (זוכרים?) אשם, והוא עומד כעת בפני גזר דין של עד 20 שנות מאסר.
- משרד האוצר בהולנד נאלץ להשבית חלק ממערכות המחשוב בשל מתקפת סייבר.
- חברת CareCloud, המספקת שירותי IT לתחום הבריאות מדווחת לבורסה בארה"ב כי מידע של מטופלים דלף במתקפת סייבר.
- גם יצרנית הצעצועים HASBRO פירסמה לאחרונה דיווח לבורסה בארה"ב כי היא זיהתה גישה בלתי מורשית לרשת החברה.
- הפריצה לספריית Axios - גוגל, ומספר חוקרים נוספים, מצביעים על כך כי המתקפה בוצעה ע"י קבוצת תקיפה צפון-קוריאנית.
https://t.me/CyberSecurityIL/8709
- קבוצת הנדלה טוענת כי תקפה את מחוז St. Joseph בארה"ב, ואת גוף החדשות IranWire.
- גוגל מפרסמת תיקון לכרום הסוגר חולשת Zero-Day, הגרסאות התקינות:
- Windows, macOS (146.0.7680.177/178)
- Linux users (146.0.7680.177)
- בית המשפט בארה"ב קבע כי התוקף שגנב כ-53 מיליון דולר מפרויקט הקריפטו Uranium (זוכרים?) אשם, והוא עומד כעת בפני גזר דין של עד 20 שנות מאסר.
- משרד האוצר בהולנד נאלץ להשבית חלק ממערכות המחשוב בשל מתקפת סייבר.
- חברת CareCloud, המספקת שירותי IT לתחום הבריאות מדווחת לבורסה בארה"ב כי מידע של מטופלים דלף במתקפת סייבר.
- גם יצרנית הצעצועים HASBRO פירסמה לאחרונה דיווח לבורסה בארה"ב כי היא זיהתה גישה בלתי מורשית לרשת החברה.
- הפריצה לספריית Axios - גוגל, ומספר חוקרים נוספים, מצביעים על כך כי המתקפה בוצעה ע"י קבוצת תקיפה צפון-קוריאנית.
https://t.me/CyberSecurityIL/8709
❤17🙏2
אם עדיין היה לכם ספק...
ארה"ב מפרסמת אזהרה רשמית (FBI) משימוש באפליקציות שפותחו בסין.
בפרסום של ה-FBI הם מציינים כי הרבה אפליקציות מובילות מפותחות בסין ומשכך, החשש לפרטיות של המשתמשים גובר משמעותית.
החשש המרכזי הוא מאיסוף מידע רגיש, ובפרסום הם מציינים כי חלק מהאפליקציות מכילות נוזקות שנועדו לאסוף מידע מעבר למה שהמשתמש מאשר.
הפרסום המלא זמין כאן.
https://t.me/CyberSecurityIL/8710
ארה"ב מפרסמת אזהרה רשמית (FBI) משימוש באפליקציות שפותחו בסין.
בפרסום של ה-FBI הם מציינים כי הרבה אפליקציות מובילות מפותחות בסין ומשכך, החשש לפרטיות של המשתמשים גובר משמעותית.
החשש המרכזי הוא מאיסוף מידע רגיש, ובפרסום הם מציינים כי חלק מהאפליקציות מכילות נוזקות שנועדו לאסוף מידע מעבר למה שהמשתמש מאשר.
הפרסום המלא זמין כאן.
https://t.me/CyberSecurityIL/8710
👍14❤13🏆2🔥1
סיכום חדשות החג בסייבר:
בישראל🇮🇱
- קבוצת הנדלה טוענת כי מחקה מידע מ-14 ארגונים בישראל.
בנוסף, הקבוצה מציינת כי השיגה גישה למידע של חברה ישראלית המפתחת פתרונות טכנולוגיים לתעשיות הביטחוניות.
הקבוצה מפרסמת סרטונים ותמונות המעידים לכאורה על מחיקת המידע והפריצה לחברה.
- החולשה ב-F5 שהזכרתי כאן - לפי חברת ShadowServer יש למעלה מ-200 ממשקי F5 APM בישראל שחשופים ברשת האינטרנט. לא מחייב שכולם פגיעים אבל שימו לב בכל זאת שאתם מכוסים.
בעולם🌎
- פרויקט הקריפטו Drift מדווח כי תוקפים מצפון קוריאה הצליחו לגנוב מהפרויקט מטבעות דיגיטליים בשווי של כ-280 מיליון דולר!
- קבוצת התקיפה Everest מפרסמת כקרבן את חברת הרכבים Nissan. החברה מאשרת כי דלף מידע התבצע דרך ספק צד ג'.
- חברת Mercor, המספקת שירותים לחברות בינה מלאכותית, מדווחת כי היא סובלת ממתקפת סייבר בעקבות הפריצה לספריית LiteLLM.
קבוצת Lapsus$ לוקחת אחריות על גניבת המידע והסחיטה כשהיא טוענת שברשותה 4TB של מידע.
מזכיר שיש קשר ל-TeamPCP.
- עיריית Minot שבצפון דקוטה מדווחת כי היא סובלת ממתקפת כופר שבוצעה על מערכות טיהור המים.
https://t.me/CyberSecurityIL/8711
בישראל
- קבוצת הנדלה טוענת כי מחקה מידע מ-14 ארגונים בישראל.
בנוסף, הקבוצה מציינת כי השיגה גישה למידע של חברה ישראלית המפתחת פתרונות טכנולוגיים לתעשיות הביטחוניות.
הקבוצה מפרסמת סרטונים ותמונות המעידים לכאורה על מחיקת המידע והפריצה לחברה.
- החולשה ב-F5 שהזכרתי כאן - לפי חברת ShadowServer יש למעלה מ-200 ממשקי F5 APM בישראל שחשופים ברשת האינטרנט. לא מחייב שכולם פגיעים אבל שימו לב בכל זאת שאתם מכוסים.
בעולם
- פרויקט הקריפטו Drift מדווח כי תוקפים מצפון קוריאה הצליחו לגנוב מהפרויקט מטבעות דיגיטליים בשווי של כ-280 מיליון דולר!
- קבוצת התקיפה Everest מפרסמת כקרבן את חברת הרכבים Nissan. החברה מאשרת כי דלף מידע התבצע דרך ספק צד ג'.
- חברת Mercor, המספקת שירותים לחברות בינה מלאכותית, מדווחת כי היא סובלת ממתקפת סייבר בעקבות הפריצה לספריית LiteLLM.
קבוצת Lapsus$ לוקחת אחריות על גניבת המידע והסחיטה כשהיא טוענת שברשותה 4TB של מידע.
מזכיר שיש קשר ל-TeamPCP.
- עיריית Minot שבצפון דקוטה מדווחת כי היא סובלת ממתקפת כופר שבוצעה על מערכות טיהור המים.
https://t.me/CyberSecurityIL/8711
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯12❤7🔥1🤬1
חדשות סייבר - ארז דסה
אמזון מאשרת לגופי התקשורת: שלושה כטב"מים (לא טילים) מאיראן פגעו במתקנים שלנו באיחוד האמירויות ובבחריין וגרמו לשיבושים בפעילות השוטפת. בעוד שבאיחוד האמירויות הפגיעות היו ישירות בדאטה-סנטר, בבחריין הפגיעה הייתה בסמוך וההשפעה הייתה נמוכה יותר. https://t.me…
לא סייבר קלאסי ובכל זאת: אמזון מדווחת שוב על שיבושים בדאטה-סנטרים באיחוד האמירויות ובבחריין בעקבות מתקפת כטב"מים איראנית (לא פעם ראשונה)
בשעה האחרונה האיראנים טענו כי הם תקפו גם דאטה סנטר של אורקל בדובאי אבל בשלב זה אין דיווח רשמי של אורקל על שיבושים כלשהם.
המתקפות מגיעות אחרי איומים איראנים על חברות טכנולוגיה אמריקאיות/ישראליות.
https://t.me/CyberSecurityIL/8712
בשעה האחרונה האיראנים טענו כי הם תקפו גם דאטה סנטר של אורקל בדובאי אבל בשלב זה אין דיווח רשמי של אורקל על שיבושים כלשהם.
המתקפות מגיעות אחרי איומים איראנים על חברות טכנולוגיה אמריקאיות/ישראליות.
https://t.me/CyberSecurityIL/8712
🔥5🤯3❤2🤬2👌1
קמפיין התקיפה של קבוצת TeamPCP:
חשבון ה-Xוויטר של International Cyber Digest מפרסם אתר למעקב אחרי הקרבנות של הקבוצה.
כרגע מופיעים שם 61 קרבנות, 4 מתוכם מאומתים.
מוזמנים להציץ:
https://teampcp.cyberdigest.international/
https://t.me/CyberSecurityIL/8713
חשבון ה-Xוויטר של International Cyber Digest מפרסם אתר למעקב אחרי הקרבנות של הקבוצה.
כרגע מופיעים שם 61 קרבנות, 4 מתוכם מאומתים.
מוזמנים להציץ:
https://teampcp.cyberdigest.international/
https://t.me/CyberSecurityIL/8713
❤10👍3💅1
אני מקבל דיווחים על חברות שהמידע שלהם נמחק ע"י תוקפים, לאחר שאלו הצליחו להיכנס לרשת דרך מערכות הגנה המנוהלות ע"י צד ג'.
לא מעט עסקים קטנים וארגונים משתמשים בספקים שונים על מנת שאלה ינהלו עבורם חלק מהציוד.
כך לדוגמא ספק X מנהל את מוצר ה-Forti של עסק Y.
הארגון סומך על הספק שינהל עבורו את המוצר, אך בפועל הספק לא תמיד מעדכן את המוצר לגרסה האחרונה, ותוקפים מנצלים חולשות קיימות, כדי לחדור למוצר ומשם לרשת של הארגון.
מספר ארגונים בישראל נאלצו להתמודד עם מחיקה רחבה של מידע לאחר אירוע שכזה.
עכשיו אתם יכולים להיות צודקים ולהגיד זה אחריות של הספק וכו' וכו'. אבל זה לא משנה. תהיו חכמים, ואם יש לכם מוצר מנוהל, תתקשרו עוד עכשיו לספק שלכם ותוודאו שהמוצר שלכם מעודכן לגרסה האחרונה המפוצ'פצ'ת כדי שלא תהיו הקרבן הבא ברשימה.
https://t.me/CyberSecurityIL/8714
לא מעט עסקים קטנים וארגונים משתמשים בספקים שונים על מנת שאלה ינהלו עבורם חלק מהציוד.
כך לדוגמא ספק X מנהל את מוצר ה-Forti של עסק Y.
הארגון סומך על הספק שינהל עבורו את המוצר, אך בפועל הספק לא תמיד מעדכן את המוצר לגרסה האחרונה, ותוקפים מנצלים חולשות קיימות, כדי לחדור למוצר ומשם לרשת של הארגון.
מספר ארגונים בישראל נאלצו להתמודד עם מחיקה רחבה של מידע לאחר אירוע שכזה.
עכשיו אתם יכולים להיות צודקים ולהגיד זה אחריות של הספק וכו' וכו'. אבל זה לא משנה. תהיו חכמים, ואם יש לכם מוצר מנוהל, תתקשרו עוד עכשיו לספק שלכם ותוודאו שהמוצר שלכם מעודכן לגרסה האחרונה המפוצ'פצ'ת כדי שלא תהיו הקרבן הבא ברשימה.
https://t.me/CyberSecurityIL/8714
👍32❤5🔥3🤣1
האיראנים מטרגטים עיריות בישראל: מחקר של חברת צ'קפוינט מציג כיצד האיראנים מפעילים קמפיין רחב בחודש האחרון כנגד ארגונים בישראל ובאיחוד האמירויות.
לדברי צ'קפוינט, האיראנים מנסים לגשת לסביבות Microsoft 365, תוך התמקדות בעיריות, זאת בשל האחריות של העיריות למתן תגובה מהיר בעת פגיעה של טילים ברחבי העיר (מה שמסייע לאיראנים להבין את היקף הנזק שנגרם).
לפי צ'קפוינט, ישנן אף קורלציות בין העיריות שהותקפו בסייבר לערים שספגו נזק ממתקפות טילים.
המחקר המלא זמין כאן.
https://t.me/CyberSecurityIL/8715
לדברי צ'קפוינט, האיראנים מנסים לגשת לסביבות Microsoft 365, תוך התמקדות בעיריות, זאת בשל האחריות של העיריות למתן תגובה מהיר בעת פגיעה של טילים ברחבי העיר (מה שמסייע לאיראנים להבין את היקף הנזק שנגרם).
לפי צ'קפוינט, ישנן אף קורלציות בין העיריות שהותקפו בסייבר לערים שספגו נזק ממתקפות טילים.
The activity primarily targeted municipalities, which play a critical role in responding to missile-related physical damage. Also, we observe some correlation between the targets of this campaign to cities that were targeted by missile attacks from Iran during March. This suggests the campaign was likely intended to support kinetic operations and Bombing Damage Assessment (BDA) efforts
המחקר המלא זמין כאן.
https://t.me/CyberSecurityIL/8715
👏15❤8🤬7👍5🔥3
חדשות סייבר - ארז דסה
שימו לב - ספריית ה-Javascript הפופולרית Axios (עם 100 מיליון הורדות בשבוע) נפרצה ותוקפים פרסמו גרסה זדונית. הגרסאות הזדוניות שהופצו: axios@1.14.1 axios@0.30.4 plain-crypto-js@4.2.1 פרטים נוספים כאן. https://t.me/CyberSecurityIL/8697
הפריצה ל-Axios - המפתח של הספריה מפרסם פרטים על הפריצה, ומתאר כיצד התוקפים הצלחו להערים עליו.
השרשור המקורי מתחיל כאן, אבל שימו לב לתגובה הזו מהיממה האחרונה.
https://t.me/CyberSecurityIL/8716
השרשור המקורי מתחיל כאן, אבל שימו לב לתגובה הזו מהיממה האחרונה.
https://t.me/CyberSecurityIL/8716
🔥19🤯6👍3❤1
חדשות סייבר - ארז דסה
חברת Mercor, המספקת שירותים לחברות בינה מלאכותית, מדווחת כי היא סובלת ממתקפת סייבר בעקבות הפריצה לספריית LiteLLM.
קבוצת Lapsus$ לוקחת אחריות על גניבת המידע והסחיטה כשהיא טוענת שברשותה 4TB של מידע.
מזכיר שיש קשר ל-TeamPCP.
קבוצת Lapsus$ לוקחת אחריות על גניבת המידע והסחיטה כשהיא טוענת שברשותה 4TB של מידע.
מזכיר שיש קשר ל-TeamPCP.
קבוצת Lapsus מסירה מאתר ההדלפות את חברת Mercor AI.
לאחר שיחה שעשיתי עם Lapsus, אני אומר בזהירות כי נראה שההסרה בוצעה בעקבות תשלום דמי כופר.
https://t.me/CyberSecurityIL/8717
לאחר שיחה שעשיתי עם Lapsus, אני אומר בזהירות כי נראה שההסרה בוצעה בעקבות תשלום דמי כופר.
https://t.me/CyberSecurityIL/8717
🤯17
לינקדין מרגלת אחרי משתמשים?
מחקר מטריד שמפורסם לאחרונה טוען כי לינקדין שותלת קוד JS שאוסף נתונים על תוספים בדפדפן בהם משתמשים עושים שימוש.
לפי המחקר, לינקדין (של מייקרוסופט) ממפה את התוספים שבהם המשתמש עושה שימוש ומייצרת מאגר המחבר בין זהויות, ארגונים ומוצרים. כך לדוגמה, אם גלשתם ללינקדין והארגון שלכם, שנקרא לו Y, משתמש בתוסף מסחרי של חברה X, אז מעכשיו לינקדין יודעת שבחברה Y משתמשים בתוסף X.
ללינקדין כבר יש מידע על זהויות אמיתית של משתמשים והיכן כל אחד עובד, ולכן החיבור בין מקום העבודה לשימוש בכלים מסחריים נותן לה ערך במיפוי הצרכים של המשתמש וכו'.
מלבד הנתונים אודות אלפי תוספים, הסקריפט של לינקדין אוסף מידע נוסף על נתוני המחשב של המשתמש כגון זיכרון, אזור זמן, שפה, מצב סוללה ועוד.
בתגובה לפניה מאתר BleepingComputer השיבה לינקדין כי המידע נאסף על מנת להגן על משתמשים וכי המחקר נכתב על ידי גורם שהושעה מלינקדין בשל סקרייפינג (איסוף מידע באמצעות בוטים וכדו'.).
המחקר המלא, שקיבל את השם BrowserGate זמין לקריאה כאן.
https://t.me/CyberSecurityIL/8718
מחקר מטריד שמפורסם לאחרונה טוען כי לינקדין שותלת קוד JS שאוסף נתונים על תוספים בדפדפן בהם משתמשים עושים שימוש.
לפי המחקר, לינקדין (של מייקרוסופט) ממפה את התוספים שבהם המשתמש עושה שימוש ומייצרת מאגר המחבר בין זהויות, ארגונים ומוצרים. כך לדוגמה, אם גלשתם ללינקדין והארגון שלכם, שנקרא לו Y, משתמש בתוסף מסחרי של חברה X, אז מעכשיו לינקדין יודעת שבחברה Y משתמשים בתוסף X.
ללינקדין כבר יש מידע על זהויות אמיתית של משתמשים והיכן כל אחד עובד, ולכן החיבור בין מקום העבודה לשימוש בכלים מסחריים נותן לה ערך במיפוי הצרכים של המשתמש וכו'.
מלבד הנתונים אודות אלפי תוספים, הסקריפט של לינקדין אוסף מידע נוסף על נתוני המחשב של המשתמש כגון זיכרון, אזור זמן, שפה, מצב סוללה ועוד.
בתגובה לפניה מאתר BleepingComputer השיבה לינקדין כי המידע נאסף על מנת להגן על משתמשים וכי המחקר נכתב על ידי גורם שהושעה מלינקדין בשל סקרייפינג (איסוף מידע באמצעות בוטים וכדו'.).
המחקר המלא, שקיבל את השם BrowserGate זמין לקריאה כאן.
https://t.me/CyberSecurityIL/8718
🤯42🤔14❤13👍2🤬2😈2
בוקר טוב ומועדים לשמחה.
שימו לב לקמפיין פישינג תוך התחזות לביטוח לאומי.
הקמפיין מופץ באמצעות סמס, ובלחיצה על הקישור מופנים לאתר מתחזה שאוסף פרטים על מזהים מכל הבא ליד (כרטיסי אשראי, תאריך הנפקת ת.ז, דרכון, תאריך יציאה אחרונה מהארץ, חשבון בנק ועוד ועוד).
בכדי להגביר אמינות, בסוף התהליך, המשתמש מועבר לאתר הרשמי של ביטוח לאומי.
נראה כי התוקפים גם מחזיקים במאגר של ת.ז ושמות של אזרחים כי במהלך הפישינג התוקף עושה שימוש בשם של האזרח לאחר הקשת מספר הזהות.
אינדיקטור:
תודה לצבי אדלר שהפנה את תשומת ליבי לנושא.
https://t.me/CyberSecurityIL/8719
שימו לב לקמפיין פישינג תוך התחזות לביטוח לאומי.
הקמפיין מופץ באמצעות סמס, ובלחיצה על הקישור מופנים לאתר מתחזה שאוסף פרטים על מזהים מכל הבא ליד (כרטיסי אשראי, תאריך הנפקת ת.ז, דרכון, תאריך יציאה אחרונה מהארץ, חשבון בנק ועוד ועוד).
בכדי להגביר אמינות, בסוף התהליך, המשתמש מועבר לאתר הרשמי של ביטוח לאומי.
נראה כי התוקפים גם מחזיקים במאגר של ת.ז ושמות של אזרחים כי במהלך הפישינג התוקף עושה שימוש בשם של האזרח לאחר הקשת מספר הזהות.
אינדיקטור:
https[:]//m3ynrlpb[.]pages[.]devתודה לצבי אדלר שהפנה את תשומת ליבי לנושא.
https://t.me/CyberSecurityIL/8719
🤬26👍15❤4🔥3🤯1
בהמשך היום אפרסם כאן ראיון שעשיתי עם קבוצת LAPSUS 🛡️
שאלתי על החיבור ל-ShinyHunters, על הקמפיין שרץ עכשיו עם TeamPCP ועוד.
בינתיים, מוזמנים לקרוא ראיונות קודמים שקיימתי, כאן.
שאלתי על החיבור ל-ShinyHunters, על הקמפיין שרץ עכשיו עם TeamPCP ועוד.
בינתיים, מוזמנים לקרוא ראיונות קודמים שקיימתי, כאן.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍27🤯8
לפי דיווח של International Cyber Digest קבוצת TeamPCP תקפה את חברת Illusive Networks הישראלית.
החברה הישראלית שעוסקת בתחום המלכודות דבש וכדו', נרכשה ע"י Proofpoint ב-2022.
בשלב זה אין אזכור למתקפה מלבד מה שפורסם ע"י International Cyber Digest, כשלטענתם המידע שלהם מגיע מגורמים שהצליחו להשתחל לתוך קבוצת TeamPCP.
https://t.me/CyberSecurityIL/8721
החברה הישראלית שעוסקת בתחום המלכודות דבש וכדו', נרכשה ע"י Proofpoint ב-2022.
בשלב זה אין אזכור למתקפה מלבד מה שפורסם ע"י International Cyber Digest, כשלטענתם המידע שלהם מגיע מגורמים שהצליחו להשתחל לתוך קבוצת TeamPCP.
https://t.me/CyberSecurityIL/8721
🤬5🤯3❤1👍1
ש: בעבר פעלתם יחד עם ShinyHunters תחת השם Scattered LAPSUS$ Hunters, אבל כעת נראה שאתם שוב פועלים בנפרד עם אתרי הדלפות שונים - מה קרה שם, ולמה התפצלתם?
ת: מעולם לא היינו בעלי ברית של ShinyHunters. בפועל, הם כבר לא מה שהם היו במקור. ג'יימס פשוט השתלט על זה.
כיום, הם בעיקר מתחזים שמנסים לנצל שם שכבר לא שייך להם.
ש: TeamPCP הפיצה עדכונים זדוניים דרך ספריות לגיטימיות ופופולריות כמו Trivy, LiteLLM ו-Telnyx - עד כמה לדעתכם שרשרת האספקה היא שברירית, ועד כמה רחוק עוד אפשר לקחת את זה?
ת: ברור שההשפעה הייתה יכולה להיות גדולה הרבה יותר אם הכלים היו "מלוטשים" יותר. זה היה מאפשר התפשטות רחבה משמעותית. אבל החלק הזה לא היה בשליטתנו.
מאז, יחד עם TeamPCP, ארגנו מחדש את התשתית הפנימית שלנו כדי למנוע מצב כזה בעתיד.
ש: אנחנו רואים שקבוצת TeamPCP עברה לשלב שבו היא מנסה להרוויח כסף מהמתקפות תוך שיתוף פעולה אתכם ועם קבוצות אחרות.
איך השותפות הזאת עובדת בפועל?
ת: בתחילה, שיתוף הפעולה היה רק בין LAPSUS$ ל-TeamPCP. בהמשך הם גם התחילו לעבוד עם Vect, שבסופו של דבר המידע שאספה נגנב על ידי גורמים שהתחזו ל-ShinyHunters...
באשר לשיתוף הפעולה שלנו עם TeamPCP, זה דיי מסודר: הם טיפלו בהיבטים הטכניים, אנחנו מקבלים גישה, ועכשיו אנחנו מתמקדים בניצול.
כמה מטרות כבר הותקפו, ועוד קרבנות יושפעו בהמשך.
ש: הפריצה ל-Rockstar ול-GTA 6 מיוחסת ל-Arion Kurtaj, שכעת נמצא תחת צו אשפוז ללא הגבלת זמן - עד כמה הוא היה דמות מרכזית ב-LAPSUS$, וכיצד המעצר שלו שינה את אופן הפעולה של שאר הקבוצה?
ת: אני לא יכול לענות על השאלה הזאת.
ש: ה-FBI שם את LAPSUS על הכוונת, משטרת לונדון עצרה שבעה בני נוער במרץ 2022, והמשטרה הפדרלית בברזיל פתחה במבצע Dark Cloud עם מעצרים נוספים...
איך זה משפיע על הפעילות שלכם?
ת: כל מעצר משפיע על הפעילות שלנו. זה בדיוק מה שהוביל לתקופה ממושכת של חוסר פעילות. אבל עכשיו חזרנו. מה שיבוא בהמשך כבר ידבר בעד עצמו.
ש: הפכתם למוכרים גם בזכות גיוס של Insiders באופן גלוי, תוך הצעת תשלומים גבוהים עבור גישה ל-VPN וכו'.
איך אתם מחליטים על מי אפשר לסמוך, ועד כמה אמיתי החשש שאחד מה-Insiders הוא בעצם מסתנן של גופי אכיפה?
ת: אנחנו סומכים רק על אנשים שיכולים להוכיח באופן ממשי שהם Insiders אמיתיים.
הסיכון תמיד קיים, אבל זה לא משהו שבאמת משפיע על ההחלטות שלנו או מטריד אותנו, אנחנו קבוצה די סגורה.
ש: היה לכם מתקפות נגד מטרות גדולות כמו Microsoft, Okta, Uber וכו'.
אילו טכניקות התבררו כדרך הכניסה הכי טובה עבורכם, ומה ממשיך לגרום לעובדים ליפול בזה?
ת: השיטות היעילות ביותר במשך זמן רב היו MFA ו- Sim Swapping.
כיום, אנחנו מסתמכים יותר גם על Insiders וגם על טכניקות של שיחות טלפון.
עם המידע שיש לנו היום, שהושג ממתקפות שרשרת אספקה, הגישה שלנו כיום טכנית יותר ופחות הנדסה חברתית.
ש: איך אתם רואים את LAPSUS$ מתפתחת בשנתיים הקרובות, ומה, אם בכלל, יגרום לכם לעצור?
ת: ההתפתחות שלנו תימשך באותו כיוון: נראות, השפעה ושיתופי פעולה, במיוחד עם TeamPCP. נמשיך לחשוף ולסחוט חברות.
הדבר היחיד שבאמת יכול לעצור אותנו הוא שינוי מלא בגישה המחשבתית של גופים וארגונים, מה שלא סביר שיקרה.
ש: מה נתן לכם השראה לבחור בדרך הזו?
ת: כסף והנאה, פשוט כך.
ש: האם אתם משתמשים ב-AI במסגרת הפעילות שלכם, ואם כן, איך זה מסייע לכם בשרשרת התקיפה?
ת: אנחנו כמעט שלא משתמשים ב-AI בפעילות שלנו.
משתמשים בעיקר כדי לארגן ולמיין את המידע שאנחנו משיגים.
ש: משהו אחרון שתרצו להגיד לעוקבים בערוץ?
ת:
(ארז: כמובן שאני מציע להימנע מלעשות זאת 😊)
https://t.me/CyberSecurityIL/8722
Please open Telegram to view this post
VIEW IN TELEGRAM
❤27👍21🔥8🏆4🙏1
This media is not supported in your browser
VIEW IN TELEGRAM
נראה שאתר ILSpy* נפרץ באופן כלשהו והתחיל להפנות משתמשים להורדת תוספים לדפדפן ועוד...
וגם מה הקשר המוזר לישראל...
קיבלתי מכם דיווחים לפני מספר שעות בנושא, לאחר שמשתמשים שגלשו באתר נתקלו ברידיירקט לאתר צד ג' המבקש מהם להוריד תוסף לדפדפן.
בינתיים התוספים אליהם הופנו המשתמשים לא מזוהים כזדוניים ב-VT אבל אין ספק שמשהו כאן חשוד וזה נראה כמו קמפיין זדוני.
אתר ILSpy ירד מהאוויר לזמן מה בשעות האחרונות אבל כרגע הוא שוב באוויר וזה עדיין לא תוקן.
בקיצור סיפור מוזר. מניח שדברים יתבהרו בהמשך.
מצ"ב ווידאו ששלח אלי אחד העוקבים בערוץ.
עדכון: מקבל דיווח כי בחלק מהפעמים בלחיצה על הורדה באתר ILSpy מתבצעת הורדה של קובץ exe שמזוהה ב-VT כזדוני על ידי מנוע אחד, וכן הפניות לפופאפים שונים.
*מוצר ILSpy הוא כלי קוד פתוח לניתוח והרצה לאחור של קבצי .NET
https://t.me/CyberSecurityIL/8723
וגם מה הקשר המוזר לישראל...
קיבלתי מכם דיווחים לפני מספר שעות בנושא, לאחר שמשתמשים שגלשו באתר נתקלו ברידיירקט לאתר צד ג' המבקש מהם להוריד תוסף לדפדפן.
בינתיים התוספים אליהם הופנו המשתמשים לא מזוהים כזדוניים ב-VT אבל אין ספק שמשהו כאן חשוד וזה נראה כמו קמפיין זדוני.
אתר ILSpy ירד מהאוויר לזמן מה בשעות האחרונות אבל כרגע הוא שוב באוויר וזה עדיין לא תוקן.
בקיצור סיפור מוזר. מניח שדברים יתבהרו בהמשך.
מצ"ב ווידאו ששלח אלי אחד העוקבים בערוץ.
עדכון: מקבל דיווח כי בחלק מהפעמים בלחיצה על הורדה באתר ILSpy מתבצעת הורדה של קובץ exe שמזוהה ב-VT כזדוני על ידי מנוע אחד, וכן הפניות לפופאפים שונים.
*מוצר ILSpy הוא כלי קוד פתוח לניתוח והרצה לאחור של קבצי .NET
https://t.me/CyberSecurityIL/8723
👀16❤6👍3🔥2🤯2
שימו לב לחולשה קריטית במוצר FortiClient EMS המנוצלת בפועל על ידי תוקפים מסביב לעולם.
החברה פרסמה עדכון חירום.
החולשה, CVE-2026-35616, משפיעה על גרסאות:
FortiClient EMS 7.4.5/6
https://t.me/CyberSecurityIL/8724
החברה פרסמה עדכון חירום.
החולשה, CVE-2026-35616, משפיעה על גרסאות:
FortiClient EMS 7.4.5/6
https://t.me/CyberSecurityIL/8724
👍10❤2