חברת Profero מפרסמת מחקר על פעילות סייבר איראנית נגד תשתיות בישראל.

לפי החברה, מאחורי הפעילות עומדת Cyber Isnaad Front (שהזכרתי כאן בערוץ כמה פעמים), קבוצה איראנית שמתחזה לקבוצת תקיפה פרו-פלסטינית.

אחד המקרים המעניינים שמופיעים במחקר הוא פגיעה במפעל מזון בישראל. 🏭

התוקפים פגעו במערכות IT, אבל חדרו גם לסביבת OT, שינו הגדרות בבקרי הקירור התעשייתיים, נעלו את אנשי התחזוקה מחוץ לחשבון האדמין, וגרמו לנזק פיזי לשלושה מדחסים במערכת קירור.
מערכת הקירור לא חזרה לפעילות תקינה במשך כמעט שבוע, ואת אחד המדחסים החלופיים היה נדרש לייבא מספק בחו"ל 🫥

Replacing them meant a marathon of work: swapping in compressors that were not even identical to the originals, reworking piping and electrical to fit, replacing pressure switches, valves, electrical boxes, drying filters, and relief components, then pressure-testing, vacuum-testing, and recharging with R-744. The system did not return to normal operation for the better part of a week, and one replacement compressor still has to come from the manufacturer overseas.


המחקר המלא זמין לקריאה כאן

https://t.me/CyberSecurityIL/8986

עוקץ ב-100 מיליון ש"ח: איך קם אדם בבוקר ומגלה שזהותו נגנבה?

תחקיר חושף: מאיר אביגל, מנהל חברה משפחתית, גילה שזהותו ותעודותיו זויפו כדי להנפיק חשבוניות פיקטיביות בשווי מאה מיליון שקלים. בעוד המשטרה ממהרת לסגור את התיקים, בדיקה פשוטה הובילה אל עדי מפתח וחשודים פוטנציאליים בפרשת הונאה ענקית.

אפשר לצפות ישירות ביוטיוב - כאן 🌐

https://t.me/CyberSecurityIL/8987

"ליקויים משמעותיים": מבקר המדינה מזהיר מבעיות בהיערכות למתקפות סייבר במשרדי הממשלה. (גלובס)

במשרד מבקר המדינה הוחלט לפרסם מספר דוחות המצביעים על ליקויים משמעותיים בעולמות הסייבר ואבטחת המידע במשרדי הממשלה השונים. הגנת הסייבר על תשתיות המדינה ונכסיה הדיגיטליים מהווה את אחת הסוגיות המרכזיות שהמבקר מתניהו אנגלמן שם עליהן דגש מיוחד וסימן כראשונות במעלה עוד מכניסתו לתפקיד.

לפי המבקר, 10 חודשים לאחר שמערך הסייבר הלאומי הנחה את מערך הדיגיטל להפסיק את השימוש בתשתית העבודה מרחוק שלו, משום שיש בה חולשות קריטיות שנוצלו לרעה, נמצא כי מערך הדיגיטל ו-65% ממשרד הממשלה עדיין השתמשו בתשתית הזו. השימוש בתשתית הופסק בינואר 2025.

יתרה מכך, לא נערכו מבדקי חדירה במערכת העבודה מרחוק ברשות הכבאות וההצלה. במשרד המבקר אמרו כי הרשות להגנת הפרטיות לא עדכנה את מסמך הדגשים לעבודה מרחוק של המגזר הציבורי.

המשך הכתבה בגלובס

🦾ביקשתי מ-Base44 שיבנה אתר שמסכם את המסמך, מוזמנים להסתכל:
https://cyber-clarity-pulse.base44.app

https://t.me/CyberSecurityIL/8988

- תוכן שיווקי -

🔐 מוצר אבטחה ≠ שירות אבטחה

אפשר לקנות Firewall.
אפשר לקנות EDR.
אפשר להפעיל MFA.
ואפשר גם לעבוד עם Microsoft Defender.

אבל אבטחת מידע אמיתית לא נגמרת במוצר ❌

מוצר אבטחה, טוב ככל שיהיה, לא מחליף צוות שמסתכל, מנטר, מקשר בין אירועים ומקבל החלטות בזמן אמת.

האתגר האמיתי של ארגונים היום הוא לא רק רכישת כלים אלא תפעול שוטף שלהם.

❓ מי בודק את ההתראות?
❓ מי מבין מה קריטי ומה אפשר לסנן?
❓ מי יודע לזהות אם מדובר בתקלה, טעות משתמש או תחילתה של תקיפה?

שם בדיוק נכנס ההבדל בין “יש לנו מוצר אבטחה” לבין “יש לנו שירות אבטחה”.

📩 sales@cybersafe.co.il
📞 מורן | 077-5509948
🌐 cybersafe.co.il

---------------------------------
מעוניינים לפרסם בערוץ? דברו איתי

🎙 ראיון עם קבוצת הכופר Shadowbyt3$ - בלעדי לערוץ חדשות סייבר 🛡️

הראיון זמין גם באתר הראיונות של הערוץ, בעברית ובאנגלית

רקע קצר: מדובר בקבוצה יחסית חדשה שהחלה לפעול בפברואר 2026 כשהיא מפרסמת עד כה מספר קרבנות בודדים.
לפני כחודש וחצי חברת Barricade פרסמה מחקר על הקבוצה תוך שהיא טוענת כי הקבוצה לא מצליחה להתרומם, הפרסומים שלהם באמינות נמוכה, הארנקים של הקבוצה כמעט בלי תנועה כספית, הם משתמשים ב-AI כדי לכתוב את הנוזקה ויש באגים מרכזיים כמו הצפנה שמצפינה גם את הודעת הכופר, ועוד.

חלק 1:

הערת פתיחה ממנהל הקבוצה: אתה מדבר עם Shadows, אז אדבר בשם עצמי ולא בשם הקבוצה שלי.

ש: קבוצת Shadowbyt3$ היא קבוצה יחסית חדשה. הקורבן הראשון שלכם הוא מפברואר 2026.
האם אתם קבוצה חדשה לגמרי או מיתוג מחדש של קבוצה ישנה?

ת: קבוצת ShadowByt3$ היא קבוצת Extortion as a Service. זה מהיר וקל יותר עבור השותפים שלנו.
לא התחלנו מכלום, אם זה מה שאתה שואל. רוב הקבוצות הגדולות מתחילות בקטן ומתקדמות למעלה.

ש: למה בחרתם להתחיל בפעילות כופר במקום לעבוד בעבודה רגילה בתחום הסייבר? והאם המניע שלכם הוא רק כסף, או שיש מניעים נוספים?

ת: כל מה שיש לי להגיד על זה הוא שלחלק גדול מהקבוצות יש עבודות בתחום הסייבר, מעבר לעבודת ההאקינג שאתם מכנים "פעילות לא חוקית".
מבחינתנו העבודה הנוספת זו נקמה בחברות שלוקחות כסף מכולנו.
תחשוב שכשאתה הולך לחנות וקונה משהו, כמה מיסים לוקחים ממך? מטילים עלינו מסים בצורה מוגזמת.

בא נגיד בקצרה שיש לנו ניסיון בתחום הסייבר החוקי, ועברנו לכופר כי חברות לוקחות מאיתנו, ואנחנו צריכים לקחת בחזרה.

ש: אחד הקורבנות שלכם הוא מוסד חינוכי. איך אתם בוחרים את הקרבנות שלכם?
האם יש לכם קווים אדומים?

ת: אנחנו בוחרים את היעדים שלנו בדרכים שונות. אם הם עומדים בקריטריונים שאנחנו מחפשים, אז הם יעד.

ש: בערך 50% מהקורבנות שלכם מגיעים דרך שימוש ב-Infostealers.
מה הדרך שבה אתם אוספים Infostealers logs?

ת: זה נושא רגיש. אנחנו לא חושפים את הסודות שלנו, רק נגיד שאנחנו משיגים אותם מהר מאד ובקלות.

ש: באפריל 2026 פרסמתם חבילת Dox נגד החוקר Eric J. Taylor מחברת Barricade. בהמשך התברר כי המידע שפרסמתם כולל לוגים מפוברקים של Infostealers. האם תוכלו לשתף את נקודת המבט שלכם על האירוע הזה ועל הטענות שחברת Barricade פרסמה?

ת: מבחינתנו זה היה יותר סוג של אזהרה. ולא אכפת לנו מה חוקרים אומרים או חושבים עלינו.
רוב האנשים חושבים שחברות לא משלמות לנו, אבל כולם טועים. כתובות הביטקוין והמונרו שהופיע בדוח אלו רק כתובות לתרומות. כאשר חברה משלמת כופר אנחנו שולחים לה כתובת אחרת, חדשה וחד פעמית.

ש: באפריל השנה טענתם שפרצתם ל-Starbucks דרך S3 bucket שהוגדר בצורה שגויה. טענתם שגנבתם כ-10GB של מידע כולל קוד מקור, ודרשתם 500,000 דולר דמי כופר.
חלק גדול מהמידע ששיתפתם נראה כמו מידע ציבורי ולא רגיש. מה הסיפור שם?

ת: הפריצה ל-Starbucks הייתה קלה, כי היו להם שני buckets שהוגדרו בצורה שגויה, וזה כל מה שאנחנו אומרים על זה. מה שהדלפנו היה רק דוגמה, ולא יכולנו לשתף מעבר כי השותף שאחראי על המידע איבד את חשבון ה-mega.nz שהיה קשור למתקפה הזו.

חלק 2 בפוסט הבא 👇

🎙ראיון עם קבוצת Shadowbyt3$.

חלק 2:

ש: במתקפה על Starbucks ביקשתם כופר של 500,000 דולר.
את אותו סכום ביקשתם גם מקורבנות קטנים יותר משמעותית.
איך אתם קובעים את גובה דמי הכופר?

ת: אנחנו קובעים את הסכום בהתאם לכמה שהחברה מרוויחה בשנה.
ולגבי ה-500,000 דולר של Starbucks. אפשר היה אולי לבקש מיליון או שני מיליון דולר. אבל לפעמים בקשה של סכום נמוך מחברה גדולה מייצרת לחץ הפוך לשלם מהר, כדי לסגור את הסיפור.

ש: נראה שאתם בעיקר עסוקים בגניבה ודלף מידע, ופחות בהצפנה. מה הסיבה לכך?

ת: בגלל שזה פשוט קל לביצוע, במקום לדאוג לעדכן את תוכנת הכופר וכו'.
זה פשוט חוסך הרבה זמן כשמתמקדים רק בסחיטה, וזה גם מקטין את המחסום הטכני עבור צעירים ובני נוער מכל גיל.
למעשה זה כל כך קל שאם לילד בן 5 הייתה גישה לחברה, גם הוא היה יכול לעשות את זה.
אני לא אומר שילד בן 5 צריך לעשות את זה, אבל אנחנו לא יכולים לעצור אנשים בגיל צעיר מלהצטרף לקבוצה שלנו.

כמו שאמרתי, אין לנו שום רחמים כלפי החברות כי הן לוקחות את הכסף שלנו.
אם חברות גונבות מאיתנו כסף, מה עוצר אותנו מלהילחם בחזרה? שום דבר לא עוצר אותנו, וזו הסיבה שאנחנו עושים את מה שאנחנו עושים. זו לא רק עבודה, זו גם נקמה.

ש: האם אתם משתמשים בכלי AI בפעילות שלכם?

ת: הפעם היחידה שבה תוכלו לתפוס אותנו משתמשים ב-AI היא לצורך מיון מידע של קורבנות, זה מהיר יותר וקל יותר בעזרת AI.

לגבי התוכנה והכלים האחרים שאנחנו משתמשים בהם, הם או נכתבו מאפס או מבוססים על כלי אחר שהודלף.
בנוסף, אנחנו משנים כלים אחרים שחברות גדולות משתמשות בהם כדי להשתלב בתעבורה רגילה, כך שעד שהקרבן יזהה משהו, זה כבר יהיה מאוחר מדי.

ש: איפה אתה רואה את ShadowByt3$ בעוד 6-12 חודשים?

ת: אני עדיין לא יודע, צריך לחכות ולראות. אבל אני כן יכול לראות יותר שותפים ויותר קורבנות, כי אנחנו רק מתחילים...

ש: משהו אחרון שתרצה לומר לעוקבים בערוץ?

ת: הדבר האחרון שיש לי לומר הוא שאין לנו סכסוך עם קבוצות אחרות. אז אם לקבוצה כלשהי יש בעיה איתנו, עדיף שתיצור איתנו קשר כדי שנוכל לפתור את זה.
אני לא אחד שייכנס למריבות על דברים טיפשיים, אני אדם סופר רגוע והקבוצה שלנו לא רוצה להיות בסכסוך עם אף קבוצה אחרת.

➖➖➖➖➖➖
הראיון זמין גם באתר הראיונות של הערוץ, בעברית ובאנגלית 🛡️
https://ransomware-interviews.base44.app

https://t.me/CyberSecurityIL/8993

🤩התשתיות של רשת הבוטנט Glassworm הושבתו במבצע משותף של מספר חברות.

חוקרים מחברת CrowdStrike, גוגל ו-The Shadowserver Foundation השביתו ארבעה ערוצי שרתי C2 (שליטה ובקרה) של רשת הבוטנט Glassworm.

הבוטנט, שפעל מאז אוקטובר 2025, התמקד במתקפות שרשרת אספקה נגד מפתחים באמצעות תוספים זדוניים ל-VS Code, הדבקה של ספריות npm ועוד.

התשתית של הרשת עשתה שימוש בבלוקצ'יין של Solana, רשת BitTorrent, שירותי היומן של גוגל ועוד.

פרטים נוספים כאן.

https://t.me/CyberSecurityIL/8996

שימו לב להתראה המעניינת הזו של ה-FBI 👆

קבוצת הכופר Silent, מטרגטת משרדי עורכי דין, תוך שהיא מתחזה לאנשי IT ותמיכה ומגיעה באופן פיזי למשרדים על מנת להשיג גישה לרשת הארגונית ולגנוב מידע.

יש מעט מאד פעמים בה קבוצת כופר "יוצאת מהצללים" ופועלת באופן גלוי פנים אל פנים מול הקרבן.
אם אתם זוכרים פירסמתי כאן בעבר שאחת מקבוצות הכופר טענה כי היא משתמשת באלימות פיזית נגד קרבנות כדי להפעיל לחץ.

https://t.me/CyberSecurityIL/8997

נכנס לאתר של אחת מקבוצות הכופר, יש Captcha של תרגיל, והם כ"כ נחמדים ששמו לך אפילו מחשבון לחשב 🧠

🛳חברת Carnival Cruise, מדווחת על דלף מידע של מיליוני לקוחות לאחר מתקפה של קבוצת ShinyHunters.

המתקפה התרחשה ב-10 באפריל השנה. כשרק ארבעה ימים אחרי זיהתה החברה פעילות לא חשודה בחשבון של אחד העובדים.

קבוצת ShinyHunters לקחה אחריות על המתקפה וטענה כי גנבה המידע רגיש של לקוחות הכולל שמות, תאריכי לידה, כתובות דוא"ל ועוד.

החברה פרסמה כי היא החלה לשלוח דיווחים לכ-6 מיליון לקוחות שהמידע שלהם נגנב.

https://t.me/CyberSecurityIL/9002

☁️חברת אנת'רופיק משחררת פלאגין חדש ל-Claude Code שמסייע בזיהוי ותיקון חולשות בזמן כתיבת הקוד.

לפי אנת'רופיק התוסף פועל באמצעות hooks ובודק את הקוד בזמן היצירה ובשלב הקומיט. מדובר בסריקה ראשונית ומהירה יחסית לפני ביצוע Code Review מלא.

באנת'רופיק מציינים שהם משתמשים פנימית בתוסף וזה הוביל לירידה של 30-40% בהערות אבטחה בכל PR.

אפשר גם לייצר קובץ הנחיה ברפוסיטורי claude-security-guidance.md והסריקה תיקח זאת בחשבון, בנוסף לבקרות שכבר מובנות בפלאגין.

חייב להגיד שלפעמים קשה לעקוב אחרי כל יוזמות האבטחה והסייבר של חברות ה-AI השונות, מודלים, ותתי מודלים, MCPs, פלאגינים ועוד ועוד...
ועם זאת, דווקא נראה שהפלאגין הזה הוא Quick win, ושווה להתקין אותו אצלכם בארגון למפתחים כבר עכשיו, במיוחד שהסריקה בשכבה הראשונה לא עולה לכם טוקנים והכל מתבצע מקומי.

בשלב מתקדם יותר אפשר לייצר גם קובץ claude-security-guidance.md עם הנחיות מותאמות, להסיר את הסריקה מחלק מהשכבות ועוד.

https://t.me/CyberSecurityIL/9003