🛳חברת Carnival Cruise, מדווחת על דלף מידע של מיליוני לקוחות לאחר מתקפה של קבוצת ShinyHunters.

המתקפה התרחשה ב-10 באפריל השנה. כשרק ארבעה ימים אחרי זיהתה החברה פעילות לא חשודה בחשבון של אחד העובדים.

קבוצת ShinyHunters לקחה אחריות על המתקפה וטענה כי גנבה המידע רגיש של לקוחות הכולל שמות, תאריכי לידה, כתובות דוא"ל ועוד.

החברה פרסמה כי היא החלה לשלוח דיווחים לכ-6 מיליון לקוחות שהמידע שלהם נגנב.

https://t.me/CyberSecurityIL/9002

☁️חברת אנת'רופיק משחררת פלאגין חדש ל-Claude Code שמסייע בזיהוי ותיקון חולשות בזמן כתיבת הקוד.

לפי אנת'רופיק התוסף פועל באמצעות hooks ובודק את הקוד בזמן היצירה ובשלב הקומיט. מדובר בסריקה ראשונית ומהירה יחסית לפני ביצוע Code Review מלא.

באנת'רופיק מציינים שהם משתמשים פנימית בתוסף וזה הוביל לירידה של 30-40% בהערות אבטחה בכל PR.

אפשר גם לייצר קובץ הנחיה ברפוסיטורי claude-security-guidance.md והסריקה תיקח זאת בחשבון, בנוסף לבקרות שכבר מובנות בפלאגין.

חייב להגיד שלפעמים קשה לעקוב אחרי כל יוזמות האבטחה והסייבר של חברות ה-AI השונות, מודלים, ותתי מודלים, MCPs, פלאגינים ועוד ועוד...
ועם זאת, דווקא נראה שהפלאגין הזה הוא Quick win, ושווה להתקין אותו אצלכם בארגון למפתחים כבר עכשיו, במיוחד שהסריקה בשכבה הראשונה לא עולה לכם טוקנים והכל מתבצע מקומי.

בשלב מתקדם יותר אפשר לייצר גם קובץ claude-security-guidance.md עם הנחיות מותאמות, להסיר את הסריקה מחלק מהשכבות ועוד.

https://t.me/CyberSecurityIL/9003

מתכוננים למונדיאל? ⚽️⚽️
שימו לב לאתרי פישינג המתחזים לאתר הרשמי של FIFA.

ה-FBI מפרסם דיווח כי תוקפים עושים שימוש באתרים מתחזים וגונבים דרכם מידע רגיש של משתמשים.

בין הדומיינים הזדוניים:

www.fifa[.]cab
www.fifa[.]pink
www.fifa[.]blue
www.fifa[.]pub
FIFA[.]city
Fifa[.]bio
fifa[.]beer
fifa[.]click
fifa[.]cam
fifa[.]ceo
fifa[.]help
filfa[.]org

הרשימה המלאה בדיווח של ה-FBI.

https://t.me/CyberSecurityIL/9005

מכר גישה לסוכנות ממשלתית במדינת אורגון ונידון ל-5 שנות מאסר בפועל 👮

הנאשם, אזרח רומניה, נשפט השבוע בארה"ב לאחר שבשנת 2021 מכר גישה לסוכנות ממשלתית באורגון למספר תוקפים, תמורת כמה אלפי דולרים.
הנזק שגרם מוערך בכ-250,000 דולר.

הוא הוסגר לארה"ב ב-2025 ונידון השבוע ל-5 שנות מאסר וקנס של 250,000 דולר.

פרטים נוספים - כאן

https://t.me/CyberSecurityIL/9006

🎙ראיון עם קבוצת Bashe (APT73) - בלעדי לערוץ חדשות סייבר 🛡️

רקע קצר על הקבוצה: פעילה מאז אפריל 2024 (בסמוך למבצע Cronos שבוצע כנגד קבוצת Lockbit).
מאז תחילת הפעילות של הקבוצה ועד עכשיו פרסמה הקבוצה למעלה מ-140 קרבנות.
הקבוצה הוזכרה בערוץ בחודש מרץ השנה לאחר שפרסמה כקרבן את חברת GEDCo שאחראית לחלוקת החשמל ברצועת עזה.

➖➖➖➖➖➖➖

ש: בלא מעט מחקרים קבוצת APT73, שפועלת כיום גם בשם Bashe (ובעבר נקראה Eraleig) מוצגת ככזו שנבנתה אחרי הקריסה של Lockbit בעקבות מבצע Cronos. מה היה הקשר שלכם ללוקביט?

ת: אנחנו לא משייכים את עצמנו לקבוצות אחרות. אנחנו צוות נפרד לחלוטין, עם חוקים משלנו ושותפים משלנו והמטרה שלנו היא להרוויח כסף.
אנחנו פורצים לחברות ודורשים כופר בתמורה לכך שלא נפרסם את המידע או נמכור אותו. אנחנו לא תוקפים את מדינות חבר העמים או את סין.

ש: נראה שווקטור הכניסה לחלק גדול מהקרבנות שלכם הוא באמצעות Infostealers.
מה התהליך שלכם לאיסוף Infostealers logs ומה ווקטורי הכניסה הנוספים בהם אתם משתמשים?

ת: אנחנו משתמשים בכל שיטות התקיפה האפשריות כדי להגיע לרשת של הקרבן.
בעיקר מדובר בניצול חולשות אצל חברות שלא עוקבות כראוי אחר מצב האבטחה שלהן.

ש: הסתכלתי על הכללים של תוכנית השותפים שלכם. אתם מציעים שם חלוקת רווחים של 80/20 ומציינים בבירור שאתם לא מוכרים מידע, לא מנהלים משא ומתן ישירות, ולא מספקים לשותפים גישה לרשתות של הקורבנות.
איך מתנהלת פעילות השותפים ואיך אתם מחליטים מי יכול להצטרף וכמה הוא מקבל?

ת: זה פשוט. המטרה המרכזית שלנו היא להרוויח כסף. אנחנו מקבלים בברכה כל מי שרוצה להרוויח איתנו ולעזור להגדיל ההכנסות שלנו. אחוז החלוקה של הרווחים מתשנה בהתאם למעורבות וליכולות של השותף.

ש: אחד מהכללים שמופיעים בתכנית השותפים זה שאתם אוסרים לתקוף את מדינות חבר העמים, את סין, וגם ארגונים ללא מטרות רווח.
עם זאת, רשימת הקורבנות שפרסמתם כוללת גופים כמו אוניברסיטאות וגם ארגונים נוספים הפועלים ללא מטרות רווח.
איך אתם מגדירים "ארגון ללא מטרות רווח", ואיך תכלס הכלל הזה מיושם בפועל?

ת: אנחנו לא תוקפים בתי חולים ציבוריים או בתי ספר.

ש: באתר שלכם יש תכנית Bug Bounty, במסגרתה אתם מציעים עד מיליון דולר תגמול עבור מציאת חולשות באתר או בנוזקה שלכם וכדו'. האם מישהו אי פעם פנה אליכם עם ממצאים? האם אי פעם שילמתם באונטי למישהו?

ת: לא נמצאו חולשות באתר שלנו. אנחנו מצליחים לחדור לסביבות שנראות מאובטחות, בזמן שאנחנו שומרים על התשתית שלנו מוגנת בצורה מקסימלית.

ש: כמה מחקרים, כולל דוח של CloudSEK מינואר 2025, מתארים את Bashe כקבוצה "שרעבה לפרסום", הם טוענים שלפעמים אתם ממחזרים מידע מאירועי דלף מידע ישנים ושאתם מציגים מידע ציבורי כמידע גנוב.
מה יש לכם לומר בנושא?

ת: אנחנו מאמינים שהתקשורת היא זו ש"רעבה ל-Bashe".
אנחנו תמיד מוכנים לספק ראיות ממקור ראשון לתקיפות שלנו, והעובדה שחלק מהמידע שלנו עשוי להתאים להדלפות ישנות רק מוכיחה את הצלחת העבודה שלנו ואת האותנטיות של המידע. (ארז:🤷‍♂️)

ש: באפריל 2026 הקבוצה שלכם לקחה אחריות על מתקפה נגד חברת Gaza Electricity Distribution (gedco.ps).
מה הפך את היעד הזה למעניין מבחינה אסטרטגית? ומה היו התוצאות של המתקפה הזו בשטח?

ת: שום דבר יוצא דופן. החברה הזו פשוט לא דאגה לאבטחת המידע שלה, כמו כל הקורבנות שלנו, ולכן היא עלתה בחכה שלנו. כפי שניתן לראות, באתר שלנו פורסם מידע של החברה הזו בהיקף של כ-15GB.

ש: ממעקב אחרי רשימת הקרבנות שלכם נראה שהקבוצה חוותה תקופה ארוכה מאוד של חוסר פעילות, בערך ממרץ 2025 ועד תחילת 2026.
מה גרם להפסקה הזו?

ת: בנינו מחדש את התשתית, פיתחנו רשת שותפים חדשה, ואספנו כוחות למתקפות חדשות.

ש: האם אתם משתמשים בכלי AI בשלב כלשהו בשרשרת התקיפה?

ת: אנחנו לא משתמשים הרבה ב-AI.
כשאנחנו משיגים כמויות של מידע, אנחנו יכולים להשתמש בבינה מלאכותית כדי לזהות במהירות את סוגי המידע שיש לנו. יש הרבה מידע, וקשה מאוד למיין את כולו ידנית.
לגבי תהליך הפריצה, זה מתבצע רק על ידי אנשי מקצוע אמיתיים, בלי בינה מלאכותית.

ש: האם יש עוד משהו שתרצו לומר או לשתף עם העוקבים בערוץ?

ת: תבדקו את רמת האבטחה של הסיסמאות שלכם. מי יודע, אולי כבר עליתם בחכה שלנו ;)

➖➖➖➖➖➖➖
הראיון זמין גם באתר הראיונות של הערוץ, בעברית ובאנגלית 🛡️
https://ransomware-interviews.base44.app

https://t.me/CyberSecurityIL/9010