חברת Voicenter הישראלית המספקת מערכות תקשורת לעסקים חווה שיבושים בשל מתקפת סייבר.
בהודעה שפירסם מנכ"ל החברה הוא מדווח כי מתקפת סייבר שהחלה ב-18.9 ע"י האקרים מחו"ל אינה מאפשרת לחברה לספק את השירותים כנדרש.
עוד מוסיף המנכ"ל כי ככל הידוע אין חשש לדלף מידע.
בשלב זה נראה כי חלק מהלקוחות אינם יכולים לעשות שימוש במערכות הטלפוניה של החברה והמתקפה גורמת לשיבושים נרחבים.
https://t.me/CyberSecurityIL/1331
בהודעה שפירסם מנכ"ל החברה הוא מדווח כי מתקפת סייבר שהחלה ב-18.9 ע"י האקרים מחו"ל אינה מאפשרת לחברה לספק את השירותים כנדרש.
עוד מוסיף המנכ"ל כי ככל הידוע אין חשש לדלף מידע.
בשלב זה נראה כי חלק מהלקוחות אינם יכולים לעשות שימוש במערכות הטלפוניה של החברה והמתקפה גורמת לשיבושים נרחבים.
https://t.me/CyberSecurityIL/1331
האקר נידון ל-12 שנות מאסר לאחר שגרם לחברת AT&T הפסדים מצטברים של 200 מיליון דולר באמצעות שוחד, נוזקות וגישה בלתי מורשית.
מוחמד פהד, מפקיסטן, ניהל במשך שבע שנים (2012-2018) קבוצה שמטרתה לשחרר את הנעילה המובנית בטלפונים של חברת AT&T.
בתחילת הדרך הצליח מוחמד לשחד בכסף עובד מתוך AT&T שביצע עבורו את הפעולה אך ככל שחלפו השנים שכלל מוחמד את פעולותיו, שיחד מספר עובדים בחברה במאות אלפי דולרים ואלו התקינו עבורו תוכנות זדוניות ברשת הפנימית וכן הציבו ברחבי הארגון מכשירים המאפשרים למוחמד לבצע תהליכים באופן אוטומטי ולהשיג גישה לרשת הפנימית של AT&T כשהוא כל העת יושב בפקיסטן.
בחקירה שניהלה AT&T היא מדווחת כי בניהולו של מוחמד נפרצו כמעט 2 מיליון מכשירים וההפסד הכספי מוערך בלמעלה מ-200 מיליון דולר.
כאמור על מוחמד נגזרו 12 שנות מאסר בפועל כשב-AT&T פועלים במקביל לתבוע את העובדים שסייעו למוחמד תמורת שוחד.
https://t.me/CyberSecurityIL/1332
https://www.bleepingcomputer.com/news/security/atandt-lost-200m-in-seven-years-to-illegal-phone-unlocking-scheme/
מוחמד פהד, מפקיסטן, ניהל במשך שבע שנים (2012-2018) קבוצה שמטרתה לשחרר את הנעילה המובנית בטלפונים של חברת AT&T.
בתחילת הדרך הצליח מוחמד לשחד בכסף עובד מתוך AT&T שביצע עבורו את הפעולה אך ככל שחלפו השנים שכלל מוחמד את פעולותיו, שיחד מספר עובדים בחברה במאות אלפי דולרים ואלו התקינו עבורו תוכנות זדוניות ברשת הפנימית וכן הציבו ברחבי הארגון מכשירים המאפשרים למוחמד לבצע תהליכים באופן אוטומטי ולהשיג גישה לרשת הפנימית של AT&T כשהוא כל העת יושב בפקיסטן.
בחקירה שניהלה AT&T היא מדווחת כי בניהולו של מוחמד נפרצו כמעט 2 מיליון מכשירים וההפסד הכספי מוערך בלמעלה מ-200 מיליון דולר.
כאמור על מוחמד נגזרו 12 שנות מאסר בפועל כשב-AT&T פועלים במקביל לתבוע את העובדים שסייעו למוחמד תמורת שוחד.
https://t.me/CyberSecurityIL/1332
https://www.bleepingcomputer.com/news/security/atandt-lost-200m-in-seven-years-to-illegal-phone-unlocking-scheme/
האקר פרץ לפרוייקט הקריפטו pNetwork וגנב מטבעות בשווי של 12.7 מיליון דולר.
לפי הדיווח שהוציאו מנהלי pNetwork, את הפריצה ביצע ההאקר לאחר שניצל חולשה בקוד, במקביל פירסמו המנהלים הודעה להאקר כי במידה ויחזיר את המטבעות הוא יקבל תגמול בשווי של 1.5 מיליון דולר כ-Bug Bounty.
פרוייקט pNetwork מאפשר למשתמשים לבצע העברה של מטבעות דיגיטליים בין רשתות בלוקצ'יין שונות.
https://t.me/CyberSecurityIL/1333
https://coinquora.com/defi-hack-bsc-based-platform-pnetwork-loses-12-7m-in-btc/
לפי הדיווח שהוציאו מנהלי pNetwork, את הפריצה ביצע ההאקר לאחר שניצל חולשה בקוד, במקביל פירסמו המנהלים הודעה להאקר כי במידה ויחזיר את המטבעות הוא יקבל תגמול בשווי של 1.5 מיליון דולר כ-Bug Bounty.
פרוייקט pNetwork מאפשר למשתמשים לבצע העברה של מטבעות דיגיטליים בין רשתות בלוקצ'יין שונות.
https://t.me/CyberSecurityIL/1333
https://coinquora.com/defi-hack-bsc-based-platform-pnetwork-loses-12-7m-in-btc/
חדשות סייבר - ארז דסה
חברת Voicenter הישראלית המספקת מערכות תקשורת לעסקים חווה שיבושים בשל מתקפת סייבר. בהודעה שפירסם מנכ"ל החברה הוא מדווח כי מתקפת סייבר שהחלה ב-18.9 ע"י האקרים מחו"ל אינה מאפשרת לחברה לספק את השירותים כנדרש. עוד מוסיף המנכ"ל כי ככל הידוע אין חשש לדלף מידע.…
(עדכון) ההאקר שפרץ ל-Voicenter, המכונה בשם Deus, מפרסם למכירה את המידע שגנב מרשת החברה.
למרות שבהצהרת המנכ"ל נאמר כי מידע רגיש לא נגנב כעת ההאקר מפרסם כי גנב 15TB של מידע ומפרסם פוסט מכירה ב-Raidforums.
ההאקר מצרף גם צילומי מסך שנלקחו כביכול מרשת החברה וטוען כי ברשותו מידע השייך לחברות רבות, כגון:
Etoro, Gett, 018, Alljobs, Checkpoint, Hackeru, Mobileye, Myheritage, Partner, Similarweb
כמו כן ההאקר הקים ערוץ טלגרם בו הוא מפרסם חלק מהמידע שגנב.
https://t.me/CyberSecurityIL/1334
למרות שבהצהרת המנכ"ל נאמר כי מידע רגיש לא נגנב כעת ההאקר מפרסם כי גנב 15TB של מידע ומפרסם פוסט מכירה ב-Raidforums.
ההאקר מצרף גם צילומי מסך שנלקחו כביכול מרשת החברה וטוען כי ברשותו מידע השייך לחברות רבות, כגון:
Etoro, Gett, 018, Alljobs, Checkpoint, Hackeru, Mobileye, Myheritage, Partner, Similarweb
כמו כן ההאקר הקים ערוץ טלגרם בו הוא מפרסם חלק מהמידע שגנב.
https://t.me/CyberSecurityIL/1334
יש לי תחושה שההאקרים שפרצו ל-Voicenter הם ישראלים או מקבלים סיוע מישראלים.
מה דעתכם?
מה דעתכם?
Anonymous Poll
38%
ישראלים
26%
מחוץ לישראל אך נעזרו בישראלים
36%
אין קשר לישראל
חדשות סייבר - ארז דסה
(עדכון) ההאקר שפרץ ל-Voicenter, המכונה בשם Deus, מפרסם למכירה את המידע שגנב מרשת החברה. למרות שבהצהרת המנכ"ל נאמר כי מידע רגיש לא נגנב כעת ההאקר מפרסם כי גנב 15TB של מידע ומפרסם פוסט מכירה ב-Raidforums. ההאקר מצרף גם צילומי מסך שנלקחו כביכול מרשת החברה וטוען…
(עדכון 2) ההאקר Deus מפרסם כי חברת Voicenter סובלת ממתקפת כופר ומאחר ולא הסכימו לשלם את דמי הכופר הם ימשיכו לפרסם מידע רגיש שנגנב.
דמי הכופר שדרש ההאקר מהחברה הם 15-35 ביטקוין (500k-1.5m דולר) כשהם מאיימים שאם הסכום לא ישולם תוך 36 שעות המידע הרגיש יפורסם.
בשלב זה ההאקר ממשיך לפרסם מידע רגיש הכולל צילומי ת.ז, וידאו שהצליח לצלם ממצלמות הנמצאות בתוך הרשת של Voicenter ומידע נוסף.
במקביל, משיחה עם ההאקר נראה כי הוא מוכן למכור את המידע לכל המעוניין תמורת 5 ביטקוין.
בינתיים נראה כי לקוחות רבים של Voicenter עדיין מושבתים.
https://t.me/CyberSecurityIL/1336
דמי הכופר שדרש ההאקר מהחברה הם 15-35 ביטקוין (500k-1.5m דולר) כשהם מאיימים שאם הסכום לא ישולם תוך 36 שעות המידע הרגיש יפורסם.
בשלב זה ההאקר ממשיך לפרסם מידע רגיש הכולל צילומי ת.ז, וידאו שהצליח לצלם ממצלמות הנמצאות בתוך הרשת של Voicenter ומידע נוסף.
במקביל, משיחה עם ההאקר נראה כי הוא מוכן למכור את המידע לכל המעוניין תמורת 5 ביטקוין.
בינתיים נראה כי לקוחות רבים של Voicenter עדיין מושבתים.
https://t.me/CyberSecurityIL/1336
קואופרטיב החקלאות NEW הותקף במתקפת כופר ע"י קבוצת Blackmatter, דמי הכופר עומדים על 5.9 מיליון דולר.
קואופרטיב NEW הוא קואופרטיב של מזון ותבואה עם למעלה משישים אזורים ברחבי המדינה איווה שבארה"ב.
כשבועיים לאחר האזהרה של ה-FBI כי קבוצות תקיפה עלולות לתקוף חברות מסקטור החקלאות מאשרת NEW כי היא סובלת ממתקפת כופר בעקבותיה נאלצה להשבית את כל מערכות המחשוב.
קבוצת Blackmatter דורשת דמי כופר של 5.9 מיליון דולר כשהיא מאיימת שאם החברה לא תשלם תוך 5 ימים סכום הכופר יוכפל.
https://t.me/CyberSecurityIL/1337
https://www.bleepingcomputer.com/news/security/us-farmer-cooperative-hit-by-59m-blackmatter-ransomware-attack/
קואופרטיב NEW הוא קואופרטיב של מזון ותבואה עם למעלה משישים אזורים ברחבי המדינה איווה שבארה"ב.
כשבועיים לאחר האזהרה של ה-FBI כי קבוצות תקיפה עלולות לתקוף חברות מסקטור החקלאות מאשרת NEW כי היא סובלת ממתקפת כופר בעקבותיה נאלצה להשבית את כל מערכות המחשוב.
קבוצת Blackmatter דורשת דמי כופר של 5.9 מיליון דולר כשהיא מאיימת שאם החברה לא תשלם תוך 5 ימים סכום הכופר יוכפל.
https://t.me/CyberSecurityIL/1337
https://www.bleepingcomputer.com/news/security/us-farmer-cooperative-hit-by-59m-blackmatter-ransomware-attack/
חברת Marketron מדווחת על מתקפת כופר בעקבותיה השביתו את כל מערכות החברה
לחברת Marketron כ-6,000 לקוחות כשהיא מספקת מערכות לניהול ומעקב אחרי נתונים פיננסיים.
מנכ"ל החברה הוציא דוא"ל ללקוחות (מצ"ב בתגובות) בו הוא מדווח כי קבוצת Blackmatter היא זו שאחראית למתקפה בעקבותיה נאלצו להשבית את מערכות החברה.
עוד מוסר המנכ"ל כי הם עדיין לא יודעים כיצד התוקפים חדרי לארגון וכי הם עובדים עם גופי האכיפה לניהול האירוע.
https://t.me/CyberSecurityIL/1338
https://www.bleepingcomputer.com/news/security/marketron-marketing-services-hit-by-blackmatter-ransomware/
לחברת Marketron כ-6,000 לקוחות כשהיא מספקת מערכות לניהול ומעקב אחרי נתונים פיננסיים.
מנכ"ל החברה הוציא דוא"ל ללקוחות (מצ"ב בתגובות) בו הוא מדווח כי קבוצת Blackmatter היא זו שאחראית למתקפה בעקבותיה נאלצו להשבית את מערכות החברה.
עוד מוסר המנכ"ל כי הם עדיין לא יודעים כיצד התוקפים חדרי לארגון וכי הם עובדים עם גופי האכיפה לניהול האירוע.
https://t.me/CyberSecurityIL/1338
https://www.bleepingcomputer.com/news/security/marketron-marketing-services-hit-by-blackmatter-ransomware/
משרד האוצר האמריקאי מכריז בפעם הראשונה על סנקציות כנגד בורסת קריפטו שסייעה להאקרים
לפני כשבוע וחצי הודיע ממשל ביידן כי כחלק מהמאמצים לפעול כנגד מתקפות כופר הם יחלו להפעיל סנקציות כנגד בורסות המסייעות ומאפשרות להאקרים להמיר מטבעות דיגיטליים שקיבלו כדמי כופר לכסף ממשי.
כעת, משרד האוצר מכריז על סנקציות כנגד בורסת הקריפטו SUEX הפועלת משטחי רוסיה.
בהודעה שפרסם המשרד הוא מדווח כי בהתאם לחקירה שנעשתה נראה כי מספר רב של פעמים האקרים עשו שימוש בבורסת SUEX בכדי להמיר מטבעות שהקלו כדמי כופר.
בנוסף, כ-40% מהפעילות בבורסת SUEX מסווגת כפיעלות לא חוקית בהתאם לממצאים שנאספו ע"י Chainalysis.
בהתאם לסנקציות החל מעכשיו כל פעילות הקשורה לבורסת SUEX תיחסם בארה"ב, חל איסור על אזרחי אמריקה לבצע עמם עסקאות וכל חברה או גוף פיננסי העושה עסקאות עם SUEX חושפים את עצמם לסנקציות מצד ארה"ב.
https://t.me/CyberSecurityIL/1339
לפני כשבוע וחצי הודיע ממשל ביידן כי כחלק מהמאמצים לפעול כנגד מתקפות כופר הם יחלו להפעיל סנקציות כנגד בורסות המסייעות ומאפשרות להאקרים להמיר מטבעות דיגיטליים שקיבלו כדמי כופר לכסף ממשי.
כעת, משרד האוצר מכריז על סנקציות כנגד בורסת הקריפטו SUEX הפועלת משטחי רוסיה.
בהודעה שפרסם המשרד הוא מדווח כי בהתאם לחקירה שנעשתה נראה כי מספר רב של פעמים האקרים עשו שימוש בבורסת SUEX בכדי להמיר מטבעות שהקלו כדמי כופר.
בנוסף, כ-40% מהפעילות בבורסת SUEX מסווגת כפיעלות לא חוקית בהתאם לממצאים שנאספו ע"י Chainalysis.
בהתאם לסנקציות החל מעכשיו כל פעילות הקשורה לבורסת SUEX תיחסם בארה"ב, חל איסור על אזרחי אמריקה לבצע עמם עסקאות וכל חברה או גוף פיננסי העושה עסקאות עם SUEX חושפים את עצמם לסנקציות מצד ארה"ב.
https://t.me/CyberSecurityIL/1339
טלגרם הופכת להיות הרשת האפילה החדשה
מחקר של חברת הסייבר Cyberint בשיתוף עם Financial times מדווח כי האקרים מאמצים את טלגרם בקצב מואץ ומשתמשים בפלטפורמה בכדי לשתף ולמכור מידע הנגנב במתקפות סייבר.
לפי נתוני המחקר בתקופה האחרונה חלה עלייה של כ-100% במעבר מהרשת האפילה לטלגרם כאשר במהלך התקופה האקרים הקימו ערוצים המשמשים למסחר ולהדלפת מידע גנוב כשלחלקם אלפי מנויים.
בנוסף, נראה כי ההאקרים מפרסמים ברשת האפילה קישורים לערוצי טלגרם ובמהלך 2021 חלה עלייה מסך של 172,000 קישורים בשנת 2020 למעל מיליון כאלו בשנת 2021 עד כה.
המעבר המסיבי מהרשת האפילה לטלגרם מתרחש מכמה סיבות:
- האנונימיות הגבוהה יחסית שטלגרם מספקת למשתמשים
- בשונה מהרשת האפילה החסומה במדינות מסויימות טלגרם אינה חסומה ברוב ככל המדינות ואפילו בתוך ארגונים.
- החיפוש בטלגרם מאפשר לקונים למצוא מוכרים בקלות רבה יותר מאשר ברשת האפילה.
- התקשורת בין הקונים למוכרים פשוטה ונגישה יותר.
https://t.me/CyberSecurityIL/1340
https://cyware.com/news/telegram-becomes-the-new-dark-web-heres-what-cybercriminals-are-selling-4a631f3a
מחקר של חברת הסייבר Cyberint בשיתוף עם Financial times מדווח כי האקרים מאמצים את טלגרם בקצב מואץ ומשתמשים בפלטפורמה בכדי לשתף ולמכור מידע הנגנב במתקפות סייבר.
לפי נתוני המחקר בתקופה האחרונה חלה עלייה של כ-100% במעבר מהרשת האפילה לטלגרם כאשר במהלך התקופה האקרים הקימו ערוצים המשמשים למסחר ולהדלפת מידע גנוב כשלחלקם אלפי מנויים.
בנוסף, נראה כי ההאקרים מפרסמים ברשת האפילה קישורים לערוצי טלגרם ובמהלך 2021 חלה עלייה מסך של 172,000 קישורים בשנת 2020 למעל מיליון כאלו בשנת 2021 עד כה.
המעבר המסיבי מהרשת האפילה לטלגרם מתרחש מכמה סיבות:
- האנונימיות הגבוהה יחסית שטלגרם מספקת למשתמשים
- בשונה מהרשת האפילה החסומה במדינות מסויימות טלגרם אינה חסומה ברוב ככל המדינות ואפילו בתוך ארגונים.
- החיפוש בטלגרם מאפשר לקונים למצוא מוכרים בקלות רבה יותר מאשר ברשת האפילה.
- התקשורת בין הקונים למוכרים פשוטה ונגישה יותר.
https://t.me/CyberSecurityIL/1340
https://cyware.com/news/telegram-becomes-the-new-dark-web-heres-what-cybercriminals-are-selling-4a631f3a
חברת VoIP.ms הקנדית סובלת ממתקפת Ddos מזה מספר ימים, התוקפים דורשים דמי כופר כדי להפסיק את המתקפה.
המתקפה החלה ב-16.9 ע"י האקר המכנה את עצמו REvil (ככל הנראה ללא קשר לקבוצת התקיפה הידועה), כתוצאה מהמתקפה השירותים של חברת VoIP.ms, המספקת שירותי טלפונייה ללקוחות, היו מושבתים לאורך זמן וכעת הם זמינים לסירוגין.
ההאקר דרש בהתחלה דמי כופר של ביטקוין אחד (כ-40k$) אך לאחר מכן העלה את המחיר ל-100 ביטקוין.
בינתיים חברת VoIP.ms מנסה להכיל את האירוע כשהיא מטמיעה בקרות תוך כדי המתקפה, בשלב ראשון החברה ביטלה את רשומות ה-DNS אצל הלקוחות אך לאחר מכן ההאקר תקף ישירות את כתובת ה-IP, בנוסף העבירה החברה את השירותים כך שיעברו דרך Cloudflare אך גם זה לא עזר לגמרי.
אתמול, חמישה ימים אחרי תחילת המתקפה, החברה מדווחת כי רוב ככל השירותים חזרו לפעילות מלאה.
https://t.me/CyberSecurityIL/1341
https://www.thestar.com/business/2021/09/21/canadian-communications-company-voipms-hit-by-cyber-attack.html
המתקפה החלה ב-16.9 ע"י האקר המכנה את עצמו REvil (ככל הנראה ללא קשר לקבוצת התקיפה הידועה), כתוצאה מהמתקפה השירותים של חברת VoIP.ms, המספקת שירותי טלפונייה ללקוחות, היו מושבתים לאורך זמן וכעת הם זמינים לסירוגין.
ההאקר דרש בהתחלה דמי כופר של ביטקוין אחד (כ-40k$) אך לאחר מכן העלה את המחיר ל-100 ביטקוין.
בינתיים חברת VoIP.ms מנסה להכיל את האירוע כשהיא מטמיעה בקרות תוך כדי המתקפה, בשלב ראשון החברה ביטלה את רשומות ה-DNS אצל הלקוחות אך לאחר מכן ההאקר תקף ישירות את כתובת ה-IP, בנוסף העבירה החברה את השירותים כך שיעברו דרך Cloudflare אך גם זה לא עזר לגמרי.
אתמול, חמישה ימים אחרי תחילת המתקפה, החברה מדווחת כי רוב ככל השירותים חזרו לפעילות מלאה.
https://t.me/CyberSecurityIL/1341
https://www.thestar.com/business/2021/09/21/canadian-communications-company-voipms-hit-by-cyber-attack.html
חוקר סייבר ישראלי חשף באג באחד הרכיבים של שרתי Microsoft Exchange החושף סיסמאות של משתמשים.
החוקר, עמית סרפר מחברת Guardicore, פירסם חולשה ברכיב AutoDiscovery הקיים בשרתי Exchange ואחראי על רישום המשתמשים באופן אוטומטי לדומיין.
עמית גילה כי כחלק מתהליך האימות שמבצע AutoDiscovery הוא מנסה לפנות גם לכתובות שהסיומת שלהם נלקחת מהסיומת של הדומיין הארגוני AutoDiscovery.(TLD)
בשביל לבחון את התהליך הם הקימו מספר דומיינים בעולם כגון AutoDiscovery(.)br/cn/xyz/online וכדו' והמתינו לבקשות שיגיעו לדומיינים אלו, בנוסף לבקשות שהתקבלו הוסיפו החוקרים בקשה לקבלת נתוני ההזדהות באופן גלוי מהשרת.
במהלך 4 חודשים הצליח עמית לקבל לשרתים שהקים מאות אלפי בקשות, מתוכן כמעט 100 אלף נתוני הזדהות מארגונים שונים.
בשלב זה לא התקבלה תגובה מיקרוסופט לנושא, ועמית פירסם מספר דרכים בהם ניתן להתגבר על החולשה עד לתיקון מסודר.
מוזמנים לעיין במחקר המלא כאן
כמו כן מצ"ב בתגובות הסבר של עמית על פרסום הממצאים לפני שיצא תיקון מצד מייקרוסופט.
https://t.me/CyberSecurityIL/1342
החוקר, עמית סרפר מחברת Guardicore, פירסם חולשה ברכיב AutoDiscovery הקיים בשרתי Exchange ואחראי על רישום המשתמשים באופן אוטומטי לדומיין.
עמית גילה כי כחלק מתהליך האימות שמבצע AutoDiscovery הוא מנסה לפנות גם לכתובות שהסיומת שלהם נלקחת מהסיומת של הדומיין הארגוני AutoDiscovery.(TLD)
בשביל לבחון את התהליך הם הקימו מספר דומיינים בעולם כגון AutoDiscovery(.)br/cn/xyz/online וכדו' והמתינו לבקשות שיגיעו לדומיינים אלו, בנוסף לבקשות שהתקבלו הוסיפו החוקרים בקשה לקבלת נתוני ההזדהות באופן גלוי מהשרת.
במהלך 4 חודשים הצליח עמית לקבל לשרתים שהקים מאות אלפי בקשות, מתוכן כמעט 100 אלף נתוני הזדהות מארגונים שונים.
בשלב זה לא התקבלה תגובה מיקרוסופט לנושא, ועמית פירסם מספר דרכים בהם ניתן להתגבר על החולשה עד לתיקון מסודר.
מוזמנים לעיין במחקר המלא כאן
כמו כן מצ"ב בתגובות הסבר של עמית על פרסום הממצאים לפני שיצא תיקון מצד מייקרוסופט.
https://t.me/CyberSecurityIL/1342
פגיעות Zero Day במערכת ההפעלה macOS של אפל מאפשרות הרצת קוד מרחוק
הפגיעות שחשף חוקר אבט"מ, פארק מנצ'ן, מתאפשרת בשל האופן בה מנהלת מערכת ההפעלה קבצי Inteloc ומספקת לתוקף אפשרות להריץ קוד זדוני במערכת ההפעלה ללא התראה וללא התערבות של המשתמש.
אפל ניסתה לבצע תיקון שקט לפגיעות שנחשפה, מבלי לפרסם CVE, אך נראה כי התיקון שהפיצה אינו מטפל באופן מלא בפגיעות.
בשלב זה הפגיעות עדיין קיימת בכל גרסאות מערכת ההפעלה של אפל.
https://t.me/CyberSecurityIL/1343
https://threatpost.com/unpatched-apple-zero-day-code-execution/174915/
הפגיעות שחשף חוקר אבט"מ, פארק מנצ'ן, מתאפשרת בשל האופן בה מנהלת מערכת ההפעלה קבצי Inteloc ומספקת לתוקף אפשרות להריץ קוד זדוני במערכת ההפעלה ללא התראה וללא התערבות של המשתמש.
אפל ניסתה לבצע תיקון שקט לפגיעות שנחשפה, מבלי לפרסם CVE, אך נראה כי התיקון שהפיצה אינו מטפל באופן מלא בפגיעות.
בשלב זה הפגיעות עדיין קיימת בכל גרסאות מערכת ההפעלה של אפל.
https://t.me/CyberSecurityIL/1343
https://threatpost.com/unpatched-apple-zero-day-code-execution/174915/
המפתחים הראשיים בקבוצת REvil מערימים על השותפים בקבוצה וגורפים לכיסם את כל דמי הכופר
כך עולה ממחקר שביצעו חוקרים מחברת Emisoft ומתלונות של שותפים שפורסמו לאחרונה ברשת.
כזכור, קבוצת REvil עובדת במנגנון של RAAS המאפשר לשותפים לקחת חלק בפעילות, לפרוץ לארגון ולהשתמש בנוזקה של REvil, בתמורה השותפים מקבלים את רוב דמי הכופר (70-80%) והשאר הולך למפתחים של REvil.
לפי הדיווח המפתחים של קבוצת REvil החזיקו במפתח פיענוח המסוגל לפענח הצפנות שביצעו השותפים (מה שסייע להשיג את המפתח במתקפה על Kaseya ואת המפתח הכללי לפני כשבוע וחצי) ובנוסף להשתלט על הצ'ט שהתנהל בין הארגונים לשותפים, כשהיו רואים שהשותפים מגיעים לנקודה קריטית מול הארגונים היו משתלטים על הצ'ט, מתחזים לארגון המותקף וכותבים לשותפים שהם לא מוכנים לשלם.
מאחורי הקלעים היו המפתחים ממשיכים את ההתכתבות מול הארגון ומקבלים את מלוא דמי הכופר לכיסם.
https://t.me/CyberSecurityIL/1344
https://www.bleepingcomputer.com/news/security/revil-ransomware-devs-added-a-backdoor-to-cheat-affiliates/
כך עולה ממחקר שביצעו חוקרים מחברת Emisoft ומתלונות של שותפים שפורסמו לאחרונה ברשת.
כזכור, קבוצת REvil עובדת במנגנון של RAAS המאפשר לשותפים לקחת חלק בפעילות, לפרוץ לארגון ולהשתמש בנוזקה של REvil, בתמורה השותפים מקבלים את רוב דמי הכופר (70-80%) והשאר הולך למפתחים של REvil.
לפי הדיווח המפתחים של קבוצת REvil החזיקו במפתח פיענוח המסוגל לפענח הצפנות שביצעו השותפים (מה שסייע להשיג את המפתח במתקפה על Kaseya ואת המפתח הכללי לפני כשבוע וחצי) ובנוסף להשתלט על הצ'ט שהתנהל בין הארגונים לשותפים, כשהיו רואים שהשותפים מגיעים לנקודה קריטית מול הארגונים היו משתלטים על הצ'ט, מתחזים לארגון המותקף וכותבים לשותפים שהם לא מוכנים לשלם.
מאחורי הקלעים היו המפתחים ממשיכים את ההתכתבות מול הארגון ומקבלים את מלוא דמי הכופר לכיסם.
https://t.me/CyberSecurityIL/1344
https://www.bleepingcomputer.com/news/security/revil-ransomware-devs-added-a-backdoor-to-cheat-affiliates/
התוקף שבפנים: הכירו את המדור שמחפש חולשות במערכות הסייבר של צה"ל
בצה"ל הקימו מדור תקיפה מיוחד ביחידת מצו״ב - מרכז צופן וביטחון לאומי באגף התקשוב וההגנה בסייבר, שבו החיילים תוקפים את מערכות הסייבר המורכבות והמוצפנות בצבא, זאת במטרה ברורה: לדמות את האויב ולמצוא את נקודות התורפה שעלולות להיווצר במערכות הסודיות והמשפיעות ביותר.
מדובר באחד הגופים היחידים בעולם אשר מבצע תרגולי סייבר רטובים, ברשתות חיות ומבצעיות. כאשר כל הצבא מתרגל יממות קרב בבחני הרמטכ״ל, גם הם תוקפים יעדים שונים במערכות של חיל האוויר, אגף המודיעין ושאר היחידות המבצעיות, הם יוצרים בהן נזק מבוקר ומלווים את יחידות הסייבר שמתפעלות אותן בתהליך צמצום הפערים שאותרו.
https://t.me/CyberSecurityIL/1345
https://www.maariv.co.il/business/tech/Article-866346
בצה"ל הקימו מדור תקיפה מיוחד ביחידת מצו״ב - מרכז צופן וביטחון לאומי באגף התקשוב וההגנה בסייבר, שבו החיילים תוקפים את מערכות הסייבר המורכבות והמוצפנות בצבא, זאת במטרה ברורה: לדמות את האויב ולמצוא את נקודות התורפה שעלולות להיווצר במערכות הסודיות והמשפיעות ביותר.
מדובר באחד הגופים היחידים בעולם אשר מבצע תרגולי סייבר רטובים, ברשתות חיות ומבצעיות. כאשר כל הצבא מתרגל יממות קרב בבחני הרמטכ״ל, גם הם תוקפים יעדים שונים במערכות של חיל האוויר, אגף המודיעין ושאר היחידות המבצעיות, הם יוצרים בהן נזק מבוקר ומלווים את יחידות הסייבר שמתפעלות אותן בתהליך צמצום הפערים שאותרו.
https://t.me/CyberSecurityIL/1345
https://www.maariv.co.il/business/tech/Article-866346
מה ההשפעה של מתקפות כופר על ערך המניה של החברות שהותקפו?
מחקר של חברת Comparitech מנתח את הממצאים
המחקר בחן 24 חברות הנסחרות בנאסדק ושסבלו ממתקפת כופר הכוללת השבתה נרחבת ודרישה לדמי כופר, בין החברות שנדגמו: Garmin, Canon, Equinix, Xerox, ועוד.
להלן נקודות מרכזיות ממסקנות המחקר:
🔻בממוצע, מחיר המניה צונח בכ-22% בסמוך לדיווח על מתקפת הכופר.
🔸הצניחה במחיר המניה נמשכת זמן קצר, ברוב המקרים כעבור יום חלה כבר התאוששות ותוך 10 ימים המניה חוזרת לביצועי שוק.
🔹ערך המניה של חברות טכנולוגיות צונח בשיעורים גבוהים יותר לעומת חברות שאינו טכנולוגיות.
💰 המניות של חברות שנפגעו עלו בחצי שנה שקדמה למתקפה בשיעור של 4.4% בממוצע בעוד שבחצי שנה שאחרי המתקפה הם עלו בשיעור ממוצע של 11.9% (מי אמר שמתקפת כופר זה לא טוב לעסקים? 😉)
המחקר בחן גם את ההשפעה של קבוצת התקיפה השונות כגון Ryuk, Maze, REvil ועוד.
https://t.me/CyberSecurityIL/1346
מוזמנים לעיין במחקר המלא כאן
מחקר של חברת Comparitech מנתח את הממצאים
המחקר בחן 24 חברות הנסחרות בנאסדק ושסבלו ממתקפת כופר הכוללת השבתה נרחבת ודרישה לדמי כופר, בין החברות שנדגמו: Garmin, Canon, Equinix, Xerox, ועוד.
להלן נקודות מרכזיות ממסקנות המחקר:
🔻בממוצע, מחיר המניה צונח בכ-22% בסמוך לדיווח על מתקפת הכופר.
🔸הצניחה במחיר המניה נמשכת זמן קצר, ברוב המקרים כעבור יום חלה כבר התאוששות ותוך 10 ימים המניה חוזרת לביצועי שוק.
🔹ערך המניה של חברות טכנולוגיות צונח בשיעורים גבוהים יותר לעומת חברות שאינו טכנולוגיות.
💰 המניות של חברות שנפגעו עלו בחצי שנה שקדמה למתקפה בשיעור של 4.4% בממוצע בעוד שבחצי שנה שאחרי המתקפה הם עלו בשיעור ממוצע של 11.9% (מי אמר שמתקפת כופר זה לא טוב לעסקים? 😉)
המחקר בחן גם את ההשפעה של קבוצת התקיפה השונות כגון Ryuk, Maze, REvil ועוד.
https://t.me/CyberSecurityIL/1346
מוזמנים לעיין במחקר המלא כאן
שלוש חולשות Zero Day במכשירי אפל פורסמו לאחר שבאפל סירבו (שוב) להתייחס לממצאים שנשלחו אליהם.
החוקר שלח את הממצאים לאפל בין מרץ למאי השנה, ביולי אפל ביצעה עדכון באופן שקט וללא פרסום לאחד הממצאים שנשלחו אך לשלושה נוספים לא הוציאה עדכון.
כשפנה החוקר לאפל שוב במטרה להבין מדוע התיקון בוצע באופן שקט (ללא פרסום CVE) ומדוע הם לא נתנו לו קרדיט על הממצאים התנצלו באפל ואמרו שמדובר בטעות, אבל מאז לא השתנה דבר ובאפל הפסיקו להגיב לפניות של החוקר.
כעת החוקר החליט לפרסם בגיטהאב הוכחת יכולת (POC) לכל החולשות, כשכולם עדיין לא תוקנו ורלוונטיות גם לגרסת מערכת ההפעלה iOS 15.0.
המקרה הנוכחי לא חריג בנוף של אפל, חוקרי אבט"מ נוספים מדווחים כי חוו תרחישים דומים עם אפל כאשר דיווחו על חולשות אבט"מ, חלקם לא קיבלו את התגמול הכספי המגיע להם, חלקם נתקלו בחוסר תגובה מוחלט ואילו אחרים גילו כי אפל מתקנת את הממצאים ששלחו באופן שקט ללא מתן קרדיט וללא שיוך CVE.
https://t.me/CyberSecurityIL/1347
https://www.bleepingcomputer.com/news/security/exploit-code-released-for-three-ios-0-days-that-apple-failed-to-patch/amp/
החוקר שלח את הממצאים לאפל בין מרץ למאי השנה, ביולי אפל ביצעה עדכון באופן שקט וללא פרסום לאחד הממצאים שנשלחו אך לשלושה נוספים לא הוציאה עדכון.
כשפנה החוקר לאפל שוב במטרה להבין מדוע התיקון בוצע באופן שקט (ללא פרסום CVE) ומדוע הם לא נתנו לו קרדיט על הממצאים התנצלו באפל ואמרו שמדובר בטעות, אבל מאז לא השתנה דבר ובאפל הפסיקו להגיב לפניות של החוקר.
כעת החוקר החליט לפרסם בגיטהאב הוכחת יכולת (POC) לכל החולשות, כשכולם עדיין לא תוקנו ורלוונטיות גם לגרסת מערכת ההפעלה iOS 15.0.
המקרה הנוכחי לא חריג בנוף של אפל, חוקרי אבט"מ נוספים מדווחים כי חוו תרחישים דומים עם אפל כאשר דיווחו על חולשות אבט"מ, חלקם לא קיבלו את התגמול הכספי המגיע להם, חלקם נתקלו בחוסר תגובה מוחלט ואילו אחרים גילו כי אפל מתקנת את הממצאים ששלחו באופן שקט ללא מתן קרדיט וללא שיוך CVE.
https://t.me/CyberSecurityIL/1347
https://www.bleepingcomputer.com/news/security/exploit-code-released-for-three-ios-0-days-that-apple-failed-to-patch/amp/
המרכזים הרפואיים Unitea Health Centers שבקליפורניה סובלים ממתקפת כופר.
ארגון UHC מנהל כ-21 מרכזים רפואיים בערים שונות במדינת קליפורניה.
קבוצת Vice Society היא זו שאחראית למתקפה שבמהלכה נגנב מידע רפואי רגיש והוצפנו שרתים.
כתוצאה מהמתקפה נאלצו ב-UHC להשבית את כל מערכות הארגון בכל המרכזים השונים.
למרות שהמתקפה החלה ככל הנראה עוד בסוף אוגוסט ב-UHC עוד לא פירסמו הודעה בנושא.
אתר BleepingComputer פנה לקבוצת Vice Society כדי לשאול מדוע הם, בשונה מקבוצות אחרות, תוקפים ארגוני בריאות? (כ-20% מהמתקפות של הקבוצה הם כנגד בתי חולים ומרפאות.)
בתגובה קבוצת Vice Society ענתה:
"למה לא?
הם תמיד שומרים את הנתונים הפרטיים שלנו חשופים, אתה, אני וכל אחד אחר הולכים לבתי חולים, נותנים להם את הדרכונים שלנו, חולקים עימם את בעיות הבריאות שלנו וכו' והם אפילו לא מנסים להגן על הנתונים שלנו.
מה הם עושים עם תקציבים של מיליארדים, גונבים את הכסף?
אם מחלקות ה- IT לא רוצות לעשות את עבודתן אנו נעשה את שלנו ולא אכפת לנו אם זה בית חולים או אוניברסיטה."
מקור
https://t.me/CyberSecurityIL/1348
ארגון UHC מנהל כ-21 מרכזים רפואיים בערים שונות במדינת קליפורניה.
קבוצת Vice Society היא זו שאחראית למתקפה שבמהלכה נגנב מידע רפואי רגיש והוצפנו שרתים.
כתוצאה מהמתקפה נאלצו ב-UHC להשבית את כל מערכות הארגון בכל המרכזים השונים.
למרות שהמתקפה החלה ככל הנראה עוד בסוף אוגוסט ב-UHC עוד לא פירסמו הודעה בנושא.
אתר BleepingComputer פנה לקבוצת Vice Society כדי לשאול מדוע הם, בשונה מקבוצות אחרות, תוקפים ארגוני בריאות? (כ-20% מהמתקפות של הקבוצה הם כנגד בתי חולים ומרפאות.)
בתגובה קבוצת Vice Society ענתה:
"למה לא?
הם תמיד שומרים את הנתונים הפרטיים שלנו חשופים, אתה, אני וכל אחד אחר הולכים לבתי חולים, נותנים להם את הדרכונים שלנו, חולקים עימם את בעיות הבריאות שלנו וכו' והם אפילו לא מנסים להגן על הנתונים שלנו.
מה הם עושים עם תקציבים של מיליארדים, גונבים את הכסף?
אם מחלקות ה- IT לא רוצות לעשות את עבודתן אנו נעשה את שלנו ולא אכפת לנו אם זה בית חולים או אוניברסיטה."
מקור
https://t.me/CyberSecurityIL/1348
חברת GSS, המספקת שירותים שונים בתחום שירות הלקוחות, סובלת ממתקפת כופר, דמי הכופר עומדים על 8.5 מיליון דולר.
חברת GSS זו השלוחה הספרדית של החברה האמריקאית Covisian המספקת מרכזי שירות לקוחות טלפוניים, איסוף הודעות ועוד.
ב-18.9 קבוצת התקיפה Conti הצפינה שרתים ב-GSS והציבה הודעה לדמי כופר בגובה של 8.5 מיליון דולר. בעקבות המתקפה נאלצו ב-GSS להשבית חלק נרחב ממערך המחשוב והמוקדים הטלפוניים שהוקמו עבור לקוחות אינם זמינים מזה מספר ימים.
דובר החברה העביר הצהרה לתקשורת בה הוא מוסר כי לא ידוע להם על דליפת מידע רגיש וכי הם לא מקיימים מו"מ עם התוקפים בשום צורה.
https://t.me/CyberSecurityIL/1349
https://www.databreaches.net/major-european-call-center-provider-goes-down-in-ransomware-attack-not-negotiating-with-conti/
חברת GSS זו השלוחה הספרדית של החברה האמריקאית Covisian המספקת מרכזי שירות לקוחות טלפוניים, איסוף הודעות ועוד.
ב-18.9 קבוצת התקיפה Conti הצפינה שרתים ב-GSS והציבה הודעה לדמי כופר בגובה של 8.5 מיליון דולר. בעקבות המתקפה נאלצו ב-GSS להשבית חלק נרחב ממערך המחשוב והמוקדים הטלפוניים שהוקמו עבור לקוחות אינם זמינים מזה מספר ימים.
דובר החברה העביר הצהרה לתקשורת בה הוא מוסר כי לא ידוע להם על דליפת מידע רגיש וכי הם לא מקיימים מו"מ עם התוקפים בשום צורה.
https://t.me/CyberSecurityIL/1349
https://www.databreaches.net/major-european-call-center-provider-goes-down-in-ransomware-attack-not-negotiating-with-conti/
כנס הענן של EuropeClouds יתקיים בין התאריכים 19-21.10.
בכנס 3 מסלולים ועשרות הרצאות בנושאים שונים.
היום השלישי של הכנס (21.10) מוקדש כולו למרחב הסייבר בענן.
לרישום ללא עלות ולפרטים נוספים לחצו כאן
https://t.me/CyberSecurityIL/1350
בכנס 3 מסלולים ועשרות הרצאות בנושאים שונים.
היום השלישי של הכנס (21.10) מוקדש כולו למרחב הסייבר בענן.
לרישום ללא עלות ולפרטים נוספים לחצו כאן
https://t.me/CyberSecurityIL/1350