💵 אתר Ransomware.live הטמיע באתר את כל הראיונות שקיימתי עם קבוצות הכופר 🎙

החל מאתמול, קישורים לראיונות מופיעים עבור כל קבוצה שאיתה קיימתי ראיון לאורך השנים.

אתר Ransomware.live הוא מהאתרים המובילים בעולם למעקב אחרי מתקפות כופר, יש לנו לא מעט שיתופי פעולה ואני שמח לראות את החיבור החדש.

יש עוד כמה ראיונות שמתבשלים עם כמה קבוצות. אתם כמובן תהיו הראשונים לדעת 🛡️

https://t.me/CyberSecurityIL/8977

חברת אנת'רופיק מפרסמת עדכון לפרויקט Glasswing ומודל Mythos ☁️

לפי הפרסום של החברה, במודל Mythos התנסו בחודש האחרון כ-50 חברות גדולות כשבמהלך החודש מצא המודל כ-10,000 חולשות בדרגת סיכון גבוהה/קריטית.

בעוד שלמצוא חולשות קריטיות הפך כעת למשימה פשוטה יותר, צוואר הבקבוק נשאר תהליך התעדוף והתיקון, כשחלק מצוותי הפיתוח של חבילות קוד פתוח ביקשו להאט את קצב הדיווחים בכדי שיוכלו לעמוד בקצב.

the bottleneck in fixing bugs like these is the human capacity to triage, report, and design and deploy patches for them

several maintainers have told us they’re currently severely capacity constrained, and some have even asked us to slow down our rate of our disclosures because they need more time to design patches.

הדיווח המלא זמין לקריאה כאן.

https://t.me/CyberSecurityIL/8979

באונטי של 148,337 דולר: חוקר מצא חולשת RCE בגוגל קלאוד שמאפשרת הרצת קוד מרחוק ☁️

החולשה, שקיבלה את הכינוי StubZero היא למעשה שרשור של שתי חולשות עבורן קיבל החוקר באונטי כולל של 148k$.

החולשה תוקנה בתחילת 2026.
המאמר המלא - כאן.
סרטון וידאו - כאן.

https://t.me/CyberSecurityIL/8980

🌐🐆מערך הסייבר הלאומי חושף שני אירועי סייבר שקרו במהלך מבצע "שאגת הארי" אשר היו עשויים לגרום להדבקה המונית של גולשים באתרים פופולריים בנוזקה.

במהלך ימי המבצע, האקרים אנטי-ישראליים הטמיעו תשתיות זדוניות באתרים לגיטימיים ופופולריים על ידי הדבקת פרסומות לגיטימיות בנוזקה ועל ידי ניצול רכיב "קליק-פיקס" הקיים באתרים רבים, במטרה לנסות להדביק כמה שיותר גולשים ולחדור למחשבים ולטלפונים. המתקפות זוהו על ידי מיזם TITAN הפועל יחד עם מערך הסייבר הלאומי ונבלמו לפני שהצליחו לגרום לנזק רחב יותר.

באירוע הראשון, תוקפים הצליחו להדביק פרסומות לגיטימיות באתר חדשות פופולרי בישראל בתוכנה שליטה מרחוק למחשב אשר כל מי שהיה לוחץ על הפרסומת היה נדבק בה. מניתוח האירוע שנעשה במערך, עולה כי פריצה למערכות חברה שרכשה שטחי פרסום באתר היא שאיפשרה לתוקפים להדביק את אותן פרסומות בתכונה שמספיק קליק אחד כדי להביא להורדה שקטה שלה. התוכנה היא כלי ניהול לגיטימי שהתוקפים עשו בו שימוש זדוני במטרה לאפשר לעצמם לגשת באופן מלא לתוכן המכשיר, לצורך גניבת מידע או גרימת נזק.

הכתבה המלאה באתר gov.il

https://t.me/CyberSecurityIL/8981

💵 אתר Ransomware.live מפרסם צ'טים פנימיים שדלפו מקבוצת הכופר The Gentlemen.

מדובר בצ'טים שדלפו לאחרונה המספקים הצצה לפעילות הפנימית של קבוצת הכופר (שימו לב לדוגמא בתמונה המצ"ב, בה הקבוצה מזכירה קרבן פוטנציאלי בישראל).

מהצ'טים עולים לא מעט נקודות מעניינות כמו:

1. ניצול חולשות בפורטי וסיסקו.
2. שימוש באינפוסטילרים.
3. שימוש ב-Vibe codeing עבור בניית פורטל פנימי.
4. שימוש בדלף מידע מחברה אחת כדי לפרוץ לחברה אחרת.
5. קבלת דמי כופר מקרבן בגובה 190,000 דולר, לאחר שהמחיר הראשוני היה 250,000 דולר.
6. התאמת גובה דמי הכופר לגובה הביטוח של הקרבן.
ועוד...

ניתן לצפות בצ'טים כאן

https://t.me/CyberSecurityIL/8983

חברת Profero מפרסמת מחקר על פעילות סייבר איראנית נגד תשתיות בישראל.

לפי החברה, מאחורי הפעילות עומדת Cyber Isnaad Front (שהזכרתי כאן בערוץ כמה פעמים), קבוצה איראנית שמתחזה לקבוצת תקיפה פרו-פלסטינית.

אחד המקרים המעניינים שמופיעים במחקר הוא פגיעה במפעל מזון בישראל. 🏭

התוקפים פגעו במערכות IT, אבל חדרו גם לסביבת OT, שינו הגדרות בבקרי הקירור התעשייתיים, נעלו את אנשי התחזוקה מחוץ לחשבון האדמין, וגרמו לנזק פיזי לשלושה מדחסים במערכת קירור.
מערכת הקירור לא חזרה לפעילות תקינה במשך כמעט שבוע, ואת אחד המדחסים החלופיים היה נדרש לייבא מספק בחו"ל 🫥

Replacing them meant a marathon of work: swapping in compressors that were not even identical to the originals, reworking piping and electrical to fit, replacing pressure switches, valves, electrical boxes, drying filters, and relief components, then pressure-testing, vacuum-testing, and recharging with R-744. The system did not return to normal operation for the better part of a week, and one replacement compressor still has to come from the manufacturer overseas.


המחקר המלא זמין לקריאה כאן

https://t.me/CyberSecurityIL/8986

עוקץ ב-100 מיליון ש"ח: איך קם אדם בבוקר ומגלה שזהותו נגנבה?

תחקיר חושף: מאיר אביגל, מנהל חברה משפחתית, גילה שזהותו ותעודותיו זויפו כדי להנפיק חשבוניות פיקטיביות בשווי מאה מיליון שקלים. בעוד המשטרה ממהרת לסגור את התיקים, בדיקה פשוטה הובילה אל עדי מפתח וחשודים פוטנציאליים בפרשת הונאה ענקית.

אפשר לצפות ישירות ביוטיוב - כאן 🌐

https://t.me/CyberSecurityIL/8987

"ליקויים משמעותיים": מבקר המדינה מזהיר מבעיות בהיערכות למתקפות סייבר במשרדי הממשלה. (גלובס)

במשרד מבקר המדינה הוחלט לפרסם מספר דוחות המצביעים על ליקויים משמעותיים בעולמות הסייבר ואבטחת המידע במשרדי הממשלה השונים. הגנת הסייבר על תשתיות המדינה ונכסיה הדיגיטליים מהווה את אחת הסוגיות המרכזיות שהמבקר מתניהו אנגלמן שם עליהן דגש מיוחד וסימן כראשונות במעלה עוד מכניסתו לתפקיד.

לפי המבקר, 10 חודשים לאחר שמערך הסייבר הלאומי הנחה את מערך הדיגיטל להפסיק את השימוש בתשתית העבודה מרחוק שלו, משום שיש בה חולשות קריטיות שנוצלו לרעה, נמצא כי מערך הדיגיטל ו-65% ממשרד הממשלה עדיין השתמשו בתשתית הזו. השימוש בתשתית הופסק בינואר 2025.

יתרה מכך, לא נערכו מבדקי חדירה במערכת העבודה מרחוק ברשות הכבאות וההצלה. במשרד המבקר אמרו כי הרשות להגנת הפרטיות לא עדכנה את מסמך הדגשים לעבודה מרחוק של המגזר הציבורי.

המשך הכתבה בגלובס

🦾ביקשתי מ-Base44 שיבנה אתר שמסכם את המסמך, מוזמנים להסתכל:
https://cyber-clarity-pulse.base44.app

https://t.me/CyberSecurityIL/8988

- תוכן שיווקי -

🔐 מוצר אבטחה ≠ שירות אבטחה

אפשר לקנות Firewall.
אפשר לקנות EDR.
אפשר להפעיל MFA.
ואפשר גם לעבוד עם Microsoft Defender.

אבל אבטחת מידע אמיתית לא נגמרת במוצר ❌

מוצר אבטחה, טוב ככל שיהיה, לא מחליף צוות שמסתכל, מנטר, מקשר בין אירועים ומקבל החלטות בזמן אמת.

האתגר האמיתי של ארגונים היום הוא לא רק רכישת כלים אלא תפעול שוטף שלהם.

❓ מי בודק את ההתראות?
❓ מי מבין מה קריטי ומה אפשר לסנן?
❓ מי יודע לזהות אם מדובר בתקלה, טעות משתמש או תחילתה של תקיפה?

שם בדיוק נכנס ההבדל בין “יש לנו מוצר אבטחה” לבין “יש לנו שירות אבטחה”.

📩 sales@cybersafe.co.il
📞 מורן | 077-5509948
🌐 cybersafe.co.il

---------------------------------
מעוניינים לפרסם בערוץ? דברו איתי

🎙 ראיון עם קבוצת הכופר Shadowbyt3$ - בלעדי לערוץ חדשות סייבר 🛡️

הראיון זמין גם באתר הראיונות של הערוץ, בעברית ובאנגלית

רקע קצר: מדובר בקבוצה יחסית חדשה שהחלה לפעול בפברואר 2026 כשהיא מפרסמת עד כה מספר קרבנות בודדים.
לפני כחודש וחצי חברת Barricade פרסמה מחקר על הקבוצה תוך שהיא טוענת כי הקבוצה לא מצליחה להתרומם, הפרסומים שלהם באמינות נמוכה, הארנקים של הקבוצה כמעט בלי תנועה כספית, הם משתמשים ב-AI כדי לכתוב את הנוזקה ויש באגים מרכזיים כמו הצפנה שמצפינה גם את הודעת הכופר, ועוד.

חלק 1:

הערת פתיחה ממנהל הקבוצה: אתה מדבר עם Shadows, אז אדבר בשם עצמי ולא בשם הקבוצה שלי.

ש: קבוצת Shadowbyt3$ היא קבוצה יחסית חדשה. הקורבן הראשון שלכם הוא מפברואר 2026.
האם אתם קבוצה חדשה לגמרי או מיתוג מחדש של קבוצה ישנה?

ת: קבוצת ShadowByt3$ היא קבוצת Extortion as a Service. זה מהיר וקל יותר עבור השותפים שלנו.
לא התחלנו מכלום, אם זה מה שאתה שואל. רוב הקבוצות הגדולות מתחילות בקטן ומתקדמות למעלה.

ש: למה בחרתם להתחיל בפעילות כופר במקום לעבוד בעבודה רגילה בתחום הסייבר? והאם המניע שלכם הוא רק כסף, או שיש מניעים נוספים?

ת: כל מה שיש לי להגיד על זה הוא שלחלק גדול מהקבוצות יש עבודות בתחום הסייבר, מעבר לעבודת ההאקינג שאתם מכנים "פעילות לא חוקית".
מבחינתנו העבודה הנוספת זו נקמה בחברות שלוקחות כסף מכולנו.
תחשוב שכשאתה הולך לחנות וקונה משהו, כמה מיסים לוקחים ממך? מטילים עלינו מסים בצורה מוגזמת.

בא נגיד בקצרה שיש לנו ניסיון בתחום הסייבר החוקי, ועברנו לכופר כי חברות לוקחות מאיתנו, ואנחנו צריכים לקחת בחזרה.

ש: אחד הקורבנות שלכם הוא מוסד חינוכי. איך אתם בוחרים את הקרבנות שלכם?
האם יש לכם קווים אדומים?

ת: אנחנו בוחרים את היעדים שלנו בדרכים שונות. אם הם עומדים בקריטריונים שאנחנו מחפשים, אז הם יעד.

ש: בערך 50% מהקורבנות שלכם מגיעים דרך שימוש ב-Infostealers.
מה הדרך שבה אתם אוספים Infostealers logs?

ת: זה נושא רגיש. אנחנו לא חושפים את הסודות שלנו, רק נגיד שאנחנו משיגים אותם מהר מאד ובקלות.

ש: באפריל 2026 פרסמתם חבילת Dox נגד החוקר Eric J. Taylor מחברת Barricade. בהמשך התברר כי המידע שפרסמתם כולל לוגים מפוברקים של Infostealers. האם תוכלו לשתף את נקודת המבט שלכם על האירוע הזה ועל הטענות שחברת Barricade פרסמה?

ת: מבחינתנו זה היה יותר סוג של אזהרה. ולא אכפת לנו מה חוקרים אומרים או חושבים עלינו.
רוב האנשים חושבים שחברות לא משלמות לנו, אבל כולם טועים. כתובות הביטקוין והמונרו שהופיע בדוח אלו רק כתובות לתרומות. כאשר חברה משלמת כופר אנחנו שולחים לה כתובת אחרת, חדשה וחד פעמית.

ש: באפריל השנה טענתם שפרצתם ל-Starbucks דרך S3 bucket שהוגדר בצורה שגויה. טענתם שגנבתם כ-10GB של מידע כולל קוד מקור, ודרשתם 500,000 דולר דמי כופר.
חלק גדול מהמידע ששיתפתם נראה כמו מידע ציבורי ולא רגיש. מה הסיפור שם?

ת: הפריצה ל-Starbucks הייתה קלה, כי היו להם שני buckets שהוגדרו בצורה שגויה, וזה כל מה שאנחנו אומרים על זה. מה שהדלפנו היה רק דוגמה, ולא יכולנו לשתף מעבר כי השותף שאחראי על המידע איבד את חשבון ה-mega.nz שהיה קשור למתקפה הזו.

חלק 2 בפוסט הבא 👇

🎙ראיון עם קבוצת Shadowbyt3$.

חלק 2:

ש: במתקפה על Starbucks ביקשתם כופר של 500,000 דולר.
את אותו סכום ביקשתם גם מקורבנות קטנים יותר משמעותית.
איך אתם קובעים את גובה דמי הכופר?

ת: אנחנו קובעים את הסכום בהתאם לכמה שהחברה מרוויחה בשנה.
ולגבי ה-500,000 דולר של Starbucks. אפשר היה אולי לבקש מיליון או שני מיליון דולר. אבל לפעמים בקשה של סכום נמוך מחברה גדולה מייצרת לחץ הפוך לשלם מהר, כדי לסגור את הסיפור.

ש: נראה שאתם בעיקר עסוקים בגניבה ודלף מידע, ופחות בהצפנה. מה הסיבה לכך?

ת: בגלל שזה פשוט קל לביצוע, במקום לדאוג לעדכן את תוכנת הכופר וכו'.
זה פשוט חוסך הרבה זמן כשמתמקדים רק בסחיטה, וזה גם מקטין את המחסום הטכני עבור צעירים ובני נוער מכל גיל.
למעשה זה כל כך קל שאם לילד בן 5 הייתה גישה לחברה, גם הוא היה יכול לעשות את זה.
אני לא אומר שילד בן 5 צריך לעשות את זה, אבל אנחנו לא יכולים לעצור אנשים בגיל צעיר מלהצטרף לקבוצה שלנו.

כמו שאמרתי, אין לנו שום רחמים כלפי החברות כי הן לוקחות את הכסף שלנו.
אם חברות גונבות מאיתנו כסף, מה עוצר אותנו מלהילחם בחזרה? שום דבר לא עוצר אותנו, וזו הסיבה שאנחנו עושים את מה שאנחנו עושים. זו לא רק עבודה, זו גם נקמה.

ש: האם אתם משתמשים בכלי AI בפעילות שלכם?

ת: הפעם היחידה שבה תוכלו לתפוס אותנו משתמשים ב-AI היא לצורך מיון מידע של קורבנות, זה מהיר יותר וקל יותר בעזרת AI.

לגבי התוכנה והכלים האחרים שאנחנו משתמשים בהם, הם או נכתבו מאפס או מבוססים על כלי אחר שהודלף.
בנוסף, אנחנו משנים כלים אחרים שחברות גדולות משתמשות בהם כדי להשתלב בתעבורה רגילה, כך שעד שהקרבן יזהה משהו, זה כבר יהיה מאוחר מדי.

ש: איפה אתה רואה את ShadowByt3$ בעוד 6-12 חודשים?

ת: אני עדיין לא יודע, צריך לחכות ולראות. אבל אני כן יכול לראות יותר שותפים ויותר קורבנות, כי אנחנו רק מתחילים...

ש: משהו אחרון שתרצה לומר לעוקבים בערוץ?

ת: הדבר האחרון שיש לי לומר הוא שאין לנו סכסוך עם קבוצות אחרות. אז אם לקבוצה כלשהי יש בעיה איתנו, עדיף שתיצור איתנו קשר כדי שנוכל לפתור את זה.
אני לא אחד שייכנס למריבות על דברים טיפשיים, אני אדם סופר רגוע והקבוצה שלנו לא רוצה להיות בסכסוך עם אף קבוצה אחרת.

➖➖➖➖➖➖
הראיון זמין גם באתר הראיונות של הערוץ, בעברית ובאנגלית 🛡️
https://ransomware-interviews.base44.app

https://t.me/CyberSecurityIL/8993

🤩התשתיות של רשת הבוטנט Glassworm הושבתו במבצע משותף של מספר חברות.

חוקרים מחברת CrowdStrike, גוגל ו-The Shadowserver Foundation השביתו ארבעה ערוצי שרתי C2 (שליטה ובקרה) של רשת הבוטנט Glassworm.

הבוטנט, שפעל מאז אוקטובר 2025, התמקד במתקפות שרשרת אספקה נגד מפתחים באמצעות תוספים זדוניים ל-VS Code, הדבקה של ספריות npm ועוד.

התשתית של הרשת עשתה שימוש בבלוקצ'יין של Solana, רשת BitTorrent, שירותי היומן של גוגל ועוד.

פרטים נוספים כאן.

https://t.me/CyberSecurityIL/8996

שימו לב להתראה המעניינת הזו של ה-FBI 👆

קבוצת הכופר Silent, מטרגטת משרדי עורכי דין, תוך שהיא מתחזה לאנשי IT ותמיכה ומגיעה באופן פיזי למשרדים על מנת להשיג גישה לרשת הארגונית ולגנוב מידע.

יש מעט מאד פעמים בה קבוצת כופר "יוצאת מהצללים" ופועלת באופן גלוי פנים אל פנים מול הקרבן.
אם אתם זוכרים פירסמתי כאן בעבר שאחת מקבוצות הכופר טענה כי היא משתמשת באלימות פיזית נגד קרבנות כדי להפעיל לחץ.

https://t.me/CyberSecurityIL/8997