מערך התחבורה הציבורית בלוס אנג'לס - L.A מטרו, מדווח לאחרונה כי הם סבלו ממתקפת סייבר רחבה שגרמה להשבתה של מספר מערכות.
ממידע שנמצא אצלי עולה כי קבוצה איראנית היא זו שאחראית למתקפה.
מדובר בקבוצה חדשה שתוקפת בין היתר בקרים של חברת Rockwell.
הסוכנות להגנת סייבר ותשתיות בארה"ב (CISA), פרסמה אזהרה בנושא לפני כיומיים.
https://t.me/CyberSecurityIL/8737
ממידע שנמצא אצלי עולה כי קבוצה איראנית היא זו שאחראית למתקפה.
מדובר בקבוצה חדשה שתוקפת בין היתר בקרים של חברת Rockwell.
הסוכנות להגנת סייבר ותשתיות בארה"ב (CISA), פרסמה אזהרה בנושא לפני כיומיים.
https://t.me/CyberSecurityIL/8737
🔥10😱10❤2
קבוצת הנדלה טוענת כי פרצה למידע השייך לרמטכ"ל לשעבר הרצי הלוי.
הקבוצה מפרסמת תמונות וסרטונים, חלקם צבאיים וחלקם אישיים המעידים לכאורה על גישה למידע.
הקבוצה לא מפרסמת מה מקור המידע (טלפון, שירות אחסון בענן וכדו'), אך טוענת כי ברשותה אלפי תמונות וקבצים נוספים.
https://t.me/CyberSecurityIL/8738
הקבוצה מפרסמת תמונות וסרטונים, חלקם צבאיים וחלקם אישיים המעידים לכאורה על גישה למידע.
הקבוצה לא מפרסמת מה מקור המידע (טלפון, שירות אחסון בענן וכדו'), אך טוענת כי ברשותה אלפי תמונות וקבצים נוספים.
https://t.me/CyberSecurityIL/8738
😱20🤔8🤣5❤2☃2👌1🦄1
כולל שרטוטי טילים: האקר טוען שפרץ למחשבי העל הסיניים - ומציע את החומר למכירה.
האקר אלמוני טוען כי הצליח לשאוב 10 פטהבייט של מידע רגיש ממרכז מחשבי-על ממשלתי, כולל שרטוטי פצצות וטכנולוגיות חלל מסווגות, מומחי סייבר מעריכים כי המידע אותנטי והוצא באין מפריע במשך חצי שנה.
כעת, המאגר מוצע למכירה לכל המרבה במחיר (ישראל היום)
https://t.me/CyberSecurityIL/8739
האקר אלמוני טוען כי הצליח לשאוב 10 פטהבייט של מידע רגיש ממרכז מחשבי-על ממשלתי, כולל שרטוטי פצצות וטכנולוגיות חלל מסווגות, מומחי סייבר מעריכים כי המידע אותנטי והוצא באין מפריע במשך חצי שנה.
כעת, המאגר מוצע למכירה לכל המרבה במחיר (ישראל היום)
https://t.me/CyberSecurityIL/8739
🤩45🔥23🤔8❤3🤣3👍2🤯2
חדשות סייבר - ארז דסה
מתוך הכתבה: לפי Anthropic, יכולות הסייבר החריגות שלו צמחו כחלק מאימון רחב על משימות תכנות וניתוח מערכות בסקייל, ולא מאימון ייעודי לפריצה. אחת היכולות המרכזיות שנובעות מזה היא היכולת לבצע מחקר חולשות מקצה לקצה בצורה אוטונומית יחסית: לנתח קוד, לזהות נקודות…
ביקשתי מ-Base44 שיבנה אתר שיסביר למה Claude Mythos מייצר כזו דרמה בעולם הסייבר.
המידע כאן. תתעלמו מהדרמטיות ומשגיאות התחביר בעברית.
https://t.me/CyberSecurityIL/8740
המידע כאן. תתעלמו מהדרמטיות ומשגיאות התחביר בעברית.
https://t.me/CyberSecurityIL/8740
👍38🆒5❤4💅3
1. במהלך המבצע פורסמו כ-1,300 מתקפות סייבר כנגד ארגונים בישראל.
המתקפות פורסמו בעיקר בטלגרם, באתרים של תוקפים, בפורומים וכו'. שימו לב שהמידע בפוסט הזה מתייחס רק למתקפות שפורסמו ושעקבתי אחריהן.
2. למעלה מ-100 קבוצות תקיפה לקחו חלק בפעילות ההתקפית נגד ישראל.
3. רוב הקבוצות היו עסוקות במתקפות שהיו כמעט חסרות משמעות כמו דידוס, השחתה ומיחזור של מידע שדלף כבר בעבר.
4. בראש הנחש עמדה כמובן איראן שהובילה את מתקפות הסייבר על ישראל (ולא רק...)
5. בין הקבוצות האיראניות, שלקחו חלק במתקפות על ישראל וגופים נוספים בעולם, ניתן למצוא את קבוצת הנדלה, Homeland Justice, בני ישמעאל, Anonymous For Justice, Ababil of Minab, APT iran, ועוד.
6. האיראנים ושות' ביצעו מספר סוגים של מתקפות:
6.1 מחיקת מידע מארגונים:
אנונימוס פרסמו מחיקת מידע מכ-35 ארגונים.
הנדלה פרסמה מחיקת מידע של עוד 14 ארגונים.
אני קיבלתי בפרטי דיווחים על ארגונים נוספים שהמידע שלהם נמחק ולא מופיעים ברשימות הנ"ל.
המספרים מסתדרים עם הדיווח של מערך הסייבר על כ-50 ארגונים שנפגעו.
6.2 דלף מידע מגופים ואישים בכירים בישראל:
כאן פעלה בעיקר הנדלה תוך שהיא מתמקדת באישים בכירים מתחום הביטחון, מכון INSS, ועוד כמה גופים עסקיים.
6.3 מתקפות על ארגונים במדינות נוספות בהקשר של המלחמה:
כך לדוגמה קבוצות הנדלה, APT Iran ו-Minab תקפו גופים בארה"ב, קבוצת Homeland Justice תקפה גופי ממשל באלבניה, ועוד.
7. כצפוי, פעולות הסייבר ההתקפיות של ישראל כמעט ולא מתפרסמות, ישראל עסוקה בהשפעה תכלס ולא ביח"צ ולכן רב הנסתר על הגלוי.
במהלך המלחמה פירסמתי דיווח על שיבושים בבנקים באיראן ועל השמדה של מתקנים, בניינים וגורמי משטר שהיו קשורים למרחב הסייבר האיראני.
8. מצ"ב גרף מעודכן, שמציג מגמה של כמות המתקפות שפורסמו בכל יום.
9. אתם אוהבים אתרים, אז ביקשתי מ-Manus שיכין גם אתר לסיכומון הזה.
https://t.me/CyberSecurityIL/8741
Please open Telegram to view this post
VIEW IN TELEGRAM
❤21🏆7👍3🤯1👌1
כמה נקודות לגבי TeamPCP, קבוצת LAPSUS וכו'...
ניסיתי להבין קצת יותר מה הסיפור של TeamPCP ומה "יחסי הכוחות" בין הקבוצות שתנהלו סביב המתקפות של שרשרת האספקה.
מצד אחד היו מחקרים שהציגו כי קבוצת TeamPCP הפעילה נוזקת Wiper בשם kamikaze, המוחקת באופן אוטומטי מערכות מחשוב אליהם פרצה במידה והמערכות שייכות לגורם איראני....
אז הקבוצה היא לכאורה אנטי איראנית, או אולי פרו ישראלית?
בנוסף, בחשבון ה-Xוויטר של הקבוצה הקבוצה מציגה כמיקום את "ישראל" ותאריך פתיחת החשבון הוא אוקטובר 2023.
זה קצת מחזק את האפשרות שהקבוצה אולי פרו ישראלית...
מצד שני, הקבוצה פרצה ל-Trivy ששייכת לחברת Aqua, שהיא חברה ישראלית, ומשם הגיעה לחברות נוספות, שחלקן גם כן ישראליות..
אז אולי כל הקטע עם ישראל זה סתם לבלבל את כולם?
דיברתי שוב עם Lapsus כדי לנסות להבין מה הולך שם...
לטענת Lapsus הם אלו שהחזיקו בגישה ל-Trivy מלכתחילה, אבל מאחר והם מתעסקים יותר בגניבת מידע וסחיטה הם העבירו את הגישה בהסכם ל-TeamPCP כדי שאלו ייכתבו את הנוזקה הטכנית שתביא אותם מ-Trivy לכל ה-1000+ ארגונים שנפגעו מהמתקפה....
עוד טוענים ב-Lapsus כי Trivy הייתה נקודת הכניסה לכל השאר, דהיינו, LiteLLM, Checkmarx, Telnyx וכו'. אלו לא היו מתקפות נפרדות אלא חלק מאותה שרשרת...
אז בעצם, אם מה ש-Lapsus אומרים נכון, הם החזיקו בגישה ל-Trivy, העבירו אותה ל-TeamPCP איתם הייתה להם היכרות מוקדמת, ו-TeamPCP ניצלו את הגישה כדי להפיץ את הנוזקה שגונבת טוקנים של מאות ארגונים שונים....
עם הפצת הנוזקה לגניבת טוקנים הם גם ביצעו פעולה אנטי איראנית של זיהוי ומחיקת מידע באופן אוטומטי לכל ארגון איראני, סתם כבונוס/נספח למתקפה הרחבה יותר...
ברגע שהם השיגו את הטוקנים הם העבירו חלק ל-Lapsus, ואלה השתמשו בגישה כדי לגנוב מידע ולהתחיל בתהליך הסחיטה.
שאלתי את לפסוס אם יש קשר כלשהו בין TeamPCP לישראל אבל לטענתם הם לא מכירים קשר כזה🤷♂️
סיפור מעניין, נראה לאן זה יתגלגל ומה עוד ייחשף.
https://t.me/CyberSecurityIL/8742
ניסיתי להבין קצת יותר מה הסיפור של TeamPCP ומה "יחסי הכוחות" בין הקבוצות שתנהלו סביב המתקפות של שרשרת האספקה.
מצד אחד היו מחקרים שהציגו כי קבוצת TeamPCP הפעילה נוזקת Wiper בשם kamikaze, המוחקת באופן אוטומטי מערכות מחשוב אליהם פרצה במידה והמערכות שייכות לגורם איראני....
אז הקבוצה היא לכאורה אנטי איראנית, או אולי פרו ישראלית?
בנוסף, בחשבון ה-Xוויטר של הקבוצה הקבוצה מציגה כמיקום את "ישראל" ותאריך פתיחת החשבון הוא אוקטובר 2023.
זה קצת מחזק את האפשרות שהקבוצה אולי פרו ישראלית...
מצד שני, הקבוצה פרצה ל-Trivy ששייכת לחברת Aqua, שהיא חברה ישראלית, ומשם הגיעה לחברות נוספות, שחלקן גם כן ישראליות..
אז אולי כל הקטע עם ישראל זה סתם לבלבל את כולם?
דיברתי שוב עם Lapsus כדי לנסות להבין מה הולך שם...
לטענת Lapsus הם אלו שהחזיקו בגישה ל-Trivy מלכתחילה, אבל מאחר והם מתעסקים יותר בגניבת מידע וסחיטה הם העבירו את הגישה בהסכם ל-TeamPCP כדי שאלו ייכתבו את הנוזקה הטכנית שתביא אותם מ-Trivy לכל ה-1000+ ארגונים שנפגעו מהמתקפה....
עוד טוענים ב-Lapsus כי Trivy הייתה נקודת הכניסה לכל השאר, דהיינו, LiteLLM, Checkmarx, Telnyx וכו'. אלו לא היו מתקפות נפרדות אלא חלק מאותה שרשרת...
אז בעצם, אם מה ש-Lapsus אומרים נכון, הם החזיקו בגישה ל-Trivy, העבירו אותה ל-TeamPCP איתם הייתה להם היכרות מוקדמת, ו-TeamPCP ניצלו את הגישה כדי להפיץ את הנוזקה שגונבת טוקנים של מאות ארגונים שונים....
עם הפצת הנוזקה לגניבת טוקנים הם גם ביצעו פעולה אנטי איראנית של זיהוי ומחיקת מידע באופן אוטומטי לכל ארגון איראני, סתם כבונוס/נספח למתקפה הרחבה יותר...
ברגע שהם השיגו את הטוקנים הם העבירו חלק ל-Lapsus, ואלה השתמשו בגישה כדי לגנוב מידע ולהתחיל בתהליך הסחיטה.
שאלתי את לפסוס אם יש קשר כלשהו בין TeamPCP לישראל אבל לטענתם הם לא מכירים קשר כזה
סיפור מעניין, נראה לאן זה יתגלגל ומה עוד ייחשף.
https://t.me/CyberSecurityIL/8742
Please open Telegram to view this post
VIEW IN TELEGRAM
❤22👌7🙏4🔥3🤯2
חדשות סייבר - ארז דסה
האם סטארטאפ "אמריקאי" שמספק הסמכות אבטחת מידע ופרטיות הוא למעשה חברה הודית בתחפושת המספקת הסמכות מזויפות? בסופ"ש האחרון פורסם בפלטפורמת הבלוגים סאבסטאק מאמר ארוך המאשים את הסטארטאפ Delve בהנפקת הסמכות אבטחת מידע ופרטיות מזוייפות כמו ISO 27001, HIPAA, SOC…
עכשיו תקלטו את זה, מסתבר שיש קשר בין חברת Delve עליה כתבתי כאן... (החברה שסיפקה כביכול הסמכות אבטחת מידע מפוברקות), לבין המתקפה של TeamPCP על חברת LiteLLM.....
מסתבר ש-Delve סיפקו הסמכות ל-LiteLLM ואלה ניתקו איתם את הקשר מיד לאחר הפריצה שבוצעה ע"י TeamPCP.
המידע הזה מגיע מתוך תביעה ייצוגית (אחת מתוך 5) שהוגשה כנגד Mercor (ששילמה את הכופר ל-Lapsus) בה נתבעים גם LiteLLM ו-Delve.
אז איך Mercor קשורה לסלט הזה?
מסתבר שחברת Mercor מכרה מידע רגיש, שאספה מספקים איתם עבדה, לחברת LiteLLM, ואלה השתמשו במידע בשביל אימון ושיפור מודלים וכו'.
בקיצור סלט שלם, תקראו את השרשור הזה כאן. סיפור מוזר לגמרי.
https://t.me/CyberSecurityIL/8743
מסתבר ש-Delve סיפקו הסמכות ל-LiteLLM ואלה ניתקו איתם את הקשר מיד לאחר הפריצה שבוצעה ע"י TeamPCP.
המידע הזה מגיע מתוך תביעה ייצוגית (אחת מתוך 5) שהוגשה כנגד Mercor (ששילמה את הכופר ל-Lapsus) בה נתבעים גם LiteLLM ו-Delve.
אז איך Mercor קשורה לסלט הזה?
מסתבר שחברת Mercor מכרה מידע רגיש, שאספה מספקים איתם עבדה, לחברת LiteLLM, ואלה השתמשו במידע בשביל אימון ושיפור מודלים וכו'.
בקיצור סלט שלם, תקראו את השרשור הזה כאן. סיפור מוזר לגמרי.
https://t.me/CyberSecurityIL/8743
🤯20🔥7❤6👍2🤔1🤬1
חברת ChipSoft, ספקית גדולה של מערכות רישום רפואי בהולנד, סובלת ממתקפת כופר המשפיעה גם על חלק מבתי החולים.
האירוע התחיל מוקדם יותר השבוע בעקבותיו השביתה החברה מספר מערכות.
מספר בתי חולים בהולנד ובבלגיה דיווחו על שיבושים אך בשלב זה הטיפול בחולים ממשיך כמעט כרגיל.
במכתב שהופץ לבתי חולים וכו' עדכנה ChipSoft עכי היא זיהתה גישה לא מורשית והבטיחה כי היא עושה כל מה שהיא יכולה כדי לצמצם את הנזק...
https://t.me/CyberSecurityIL/8744
האירוע התחיל מוקדם יותר השבוע בעקבותיו השביתה החברה מספר מערכות.
מספר בתי חולים בהולנד ובבלגיה דיווחו על שיבושים אך בשלב זה הטיפול בחולים ממשיך כמעט כרגיל.
במכתב שהופץ לבתי חולים וכו' עדכנה ChipSoft עכי היא זיהתה גישה לא מורשית והבטיחה כי היא עושה כל מה שהיא יכולה כדי לצמצם את הנזק...
https://t.me/CyberSecurityIL/8744
🤬12🔥2
מסתבר שלא צריך לחכות למודל Mythos כדי לנצל חולשות במהירות...
שני חוקר אבט"מ ישראלים, יאיר סבאן וניב הופמן, בנו אתר אתר Moak.ai המציג באופן מפורט כיצד ניתן לייצר POC עובד למאות חולשות תוך זמן קצר.
באתר תוכלו לראות את התהליך שמבצעים האייג'נטים השונים, ולקבל לבסוף פירוט על התהליך והאם ניתן לנצל את החולשה בקלות בעזרת AI.
המטרה של האתר היא לשקף כמה פשוט יחסית להשיג היום ניצול של חולשות ועד כמה הסיכון הוא ממשי.
איך זה יכול לתרום לכם?
הדיון על "האם לחולשה יש POC או אין", וכנגזרת מכך קביעת זמני הטיפול והחומרה מקבל תפנית.
אם ניתן לייצר POC לחולשה תוך פחות משעה התיעדוף שלכם צריך להשתנות, כי התוקפים לא מחכים ל-POC אלא מייצרים כזה...
עכשיו תגידו זה בטח יקר, טריליוני טוקנים לחולשה וכו'. אז זהו שלא. לטענת החוקרים, יצירת POC עובד לחולשה עולה להם פחות מדולר...
https://t.me/CyberSecurityIL/8745
שני חוקר אבט"מ ישראלים, יאיר סבאן וניב הופמן, בנו אתר אתר Moak.ai המציג באופן מפורט כיצד ניתן לייצר POC עובד למאות חולשות תוך זמן קצר.
באתר תוכלו לראות את התהליך שמבצעים האייג'נטים השונים, ולקבל לבסוף פירוט על התהליך והאם ניתן לנצל את החולשה בקלות בעזרת AI.
המטרה של האתר היא לשקף כמה פשוט יחסית להשיג היום ניצול של חולשות ועד כמה הסיכון הוא ממשי.
איך זה יכול לתרום לכם?
הדיון על "האם לחולשה יש POC או אין", וכנגזרת מכך קביעת זמני הטיפול והחומרה מקבל תפנית.
אם ניתן לייצר POC לחולשה תוך פחות משעה התיעדוף שלכם צריך להשתנות, כי התוקפים לא מחכים ל-POC אלא מייצרים כזה...
עכשיו תגידו זה בטח יקר, טריליוני טוקנים לחולשה וכו'. אז זהו שלא. לטענת החוקרים, יצירת POC עובד לחולשה עולה להם פחות מדולר...
https://t.me/CyberSecurityIL/8745
👍18🤯14❤9🔥5
לפי דיווח של חוקר אבט"מ Haifei Li, המתקפה מתבצעת באמצעות פתיחה בלבד של מסמכי PDF זדוניים, והפרצה פועלת בגרסה העדכנית ביותר של Adobe Reader ללא צורך בפעולה נוספת מצד המשתמש מלבד פתיחת הקובץ.
אחרי השגת הגישה התוקפים אפילו גונבים מידע מהמחשב הנגוע באמצעות ממשקי API של התוכנה....
בשלב זה אין תגובה רשמית או עדכון אבטחה של אדובי.
ההמלצה, שנכונה גם באופן כללי ולא רק בגלל החולשה הנוכחית, היא לא לפתוח מסמכי PDF שנשלחו מגורם לא מוכר, בדגש כעת על פתיחה באמצעות Adobe reader.
https://t.me/CyberSecurityIL/8746
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯20🤬7❤4🔥1
חדשות סייבר - ארז דסה
כרגע מדיווחים ברשת עולה כי התוקפים שמנצלים את החולשה מטרגטים ארגונים/גופים ברוסיה. אבל זה רק חלק ממה שידוע.
יש כאלו שכבר נתנו ל-Claude לנתח קובץ נגוע - זמין כאן.
בגלל שאין תיקון כרגע, והחולשה מנוצלת בפועל, שווה לכם להיות סופר-זהירים עם פתיחת קבצי pdf באמצעות Adobe reader, בטח כאלו שמתקבלים מחוץ לארגון, מגורמים לא מוכרים וכדו'.
https://t.me/CyberSecurityIL/8747
יש כאלו שכבר נתנו ל-Claude לנתח קובץ נגוע - זמין כאן.
בגלל שאין תיקון כרגע, והחולשה מנוצלת בפועל, שווה לכם להיות סופר-זהירים עם פתיחת קבצי pdf באמצעות Adobe reader, בטח כאלו שמתקבלים מחוץ לארגון, מגורמים לא מוכרים וכדו'.
https://t.me/CyberSecurityIL/8747
🤬7❤2👍2🔥1
תוקפים השיגו גישה ל-API של פרויקט CPUID והחליפו את ה קבצי ההורדהעבור הכלים CPU-Z ו-HWMonitor בקבצי הרצה זדוניים.
בתגובה לאתר BleepingComputer השיבה חברת CPUID כי התוקף החזיק בגישה למשך כ-6 שעות וכי הנושא טופל:
https://t.me/CyberSecurityIL/8748
בתגובה לאתר BleepingComputer השיבה חברת CPUID כי התוקף החזיק בגישה למשך כ-6 שעות וכי הנושא טופל:
Investigations are still ongoing, but it appears that a secondary feature (basically a side API) was compromised for approximately six hours between April 9 and April 10, causing the main website to randomly display malicious links (our signed original files were not compromised). The breach was found and has since been fixed."
https://t.me/CyberSecurityIL/8748
🤯12🤬4😱2
חברת Bitcoin Depot, המפעילה למעלה מ-25,000 כספומטים לקריפטו מסביב לעולם, מדווחת כי תוקפים פרצו לרשת החברה וגנבו מטבעות קריפטו.... 💸
לפי הדיווח של החברה לבורסה בארה"ב התוקפים הצליחו להשיג גישה למספר ארנקים דיגיטליים וגנבו כ-50 מטבעות ביטקוין (3.6 מיליון דולר).
https://t.me/CyberSecurityIL/8749
לפי הדיווח של החברה לבורסה בארה"ב התוקפים הצליחו להשיג גישה למספר ארנקים דיגיטליים וגנבו כ-50 מטבעות ביטקוין (3.6 מיליון דולר).
https://t.me/CyberSecurityIL/8749
Please open Telegram to view this post
VIEW IN TELEGRAM
🤬7🤔6🤣6