התשתיות של קבוצת לוקביט נפרצו (שוב).
תוקף הצליח לנצל חולשה בתשתיות של הקבוצה, גנב מידע ופרסם אותו להורדה על גבי האתר של לוקביט בצירוף הטקסט: Don't Do crime, CRIME IS BAD.
המנהל של לוקביט אישר את הפריצה וטען כי אכן מידע דלף, כולל כתובות ארנקי קריפטו, התכתבויות משא ומתן וכו', אך לטענתו לא דלפו מפתחות פיענוח ואין לפריצה השפעה מהותית על המשך הפעילות שלו.
כך או כך מקבוצת לוקביט לא נשאר הרבה... אחרי מבצע Cronos השותפים עזבו לקבוצות אחרות, והקבוצה, שהובילה בעבר את כל מרחב הכופר, פירסמה מתחילת השנה "רק" עשרות בודדות של קרבנות.
https://t.me/CyberSecurityIL/7094
#כופר
תוקף הצליח לנצל חולשה בתשתיות של הקבוצה, גנב מידע ופרסם אותו להורדה על גבי האתר של לוקביט בצירוף הטקסט: Don't Do crime, CRIME IS BAD.
המנהל של לוקביט אישר את הפריצה וטען כי אכן מידע דלף, כולל כתובות ארנקי קריפטו, התכתבויות משא ומתן וכו', אך לטענתו לא דלפו מפתחות פיענוח ואין לפריצה השפעה מהותית על המשך הפעילות שלו.
כך או כך מקבוצת לוקביט לא נשאר הרבה... אחרי מבצע Cronos השותפים עזבו לקבוצות אחרות, והקבוצה, שהובילה בעבר את כל מרחב הכופר, פירסמה מתחילת השנה "רק" עשרות בודדות של קרבנות.
https://t.me/CyberSecurityIL/7094
#כופר
חדשות סייבר - ארז דסה
שימו לב לקמפיין זדוני שמופץ ביממה האחרונה תוך התחזות למשרד המשפטים, פרקליטות המדינה ומשטרת ישראל. המייל נשלח לכאורה מכתובת דוא"ל של משרד המשפטים כשהוא מנוסח בצורה מלחיצה ובעברית טובה. על מנת לצפות בפרטי החקירה המשתמש מתבקש להוריד קובץ זדוני. מצ"ב אינדיקטורים…
שימו לב שההודעה נשלחת גם בנוסח הבא.
מצרף אינדיקטור חדש:
https://t.me/CyberSecurityIL/7095
מצרף אינדיקטור חדש:
152011bce907850500165cdcb39963ddd561e1ae4712db4448ceed4663e30e41https://t.me/CyberSecurityIL/7095
חדשות סייבר - ארז דסה
שימו לב שההודעה נשלחת גם בנוסח הבא. מצרף אינדיקטור חדש: 152011bce907850500165cdcb39963ddd561e1ae4712db4448ceed4663e30e41 https://t.me/CyberSecurityIL/7095
ועוד אחד:
21c5047fe53e566030ef82e269d9a3135b70e0364ea7ab2fb820ab9b662f6dd0הרבה מרימים גבה על הקמפיין האחרון במהלכו נשלחים מיילים זדוניים מכתובות לכאורה לגיטימיות תחת דומיינים של Gov.il.
התחזות כזו יכולה לנבוע מכמה סיבות:
1. השתלטות של התוקף על תיבת הדוא"ל והפצת מיילים דרך התיבה (זה לא המקרה שלנו...)
2. הגדרות לא מדוייקות אצל הארגון אליו מתחזים בכל הקשור להגנה על התחזות בדוא"ל - SPF, DMARC, DKIM.
(אם אתם לא מכירים תשאלו את ChatGPT איך זה עובד).
3. ניצול חולשה כלשהי שידועה לתוקף.
במקרה שלנו נראה כי מדובר בשילוב של נקודות 2 ו-3.
חברת גארדיו מדווחת כי התוקפים מנצלים חולשה קריטית אצל אחת מספקיות התקשורת בישראל על מנת להפיץ מיילים תחת הזהות של Gov.il.
בקיצור, ניצול של חולשה קריטית, בשילוב הגדרות אבטחה חסרות, הובילו, ככל הנראה, למצב הנוכחי...
https://t.me/CyberSecurityIL/7097
התחזות כזו יכולה לנבוע מכמה סיבות:
1. השתלטות של התוקף על תיבת הדוא"ל והפצת מיילים דרך התיבה (זה לא המקרה שלנו...)
2. הגדרות לא מדוייקות אצל הארגון אליו מתחזים בכל הקשור להגנה על התחזות בדוא"ל - SPF, DMARC, DKIM.
(אם אתם לא מכירים תשאלו את ChatGPT איך זה עובד).
3. ניצול חולשה כלשהי שידועה לתוקף.
במקרה שלנו נראה כי מדובר בשילוב של נקודות 2 ו-3.
חברת גארדיו מדווחת כי התוקפים מנצלים חולשה קריטית אצל אחת מספקיות התקשורת בישראל על מנת להפיץ מיילים תחת הזהות של Gov.il.
בקיצור, ניצול של חולשה קריטית, בשילוב הגדרות אבטחה חסרות, הובילו, ככל הנראה, למצב הנוכחי...
https://t.me/CyberSecurityIL/7097
חדשות סייבר - ארז דסה
הרבה מרימים גבה על הקמפיין האחרון במהלכו נשלחים מיילים זדוניים מכתובות לכאורה לגיטימיות תחת דומיינים של Gov.il. התחזות כזו יכולה לנבוע מכמה סיבות: 1. השתלטות של התוקף על תיבת הדוא"ל והפצת מיילים דרך התיבה (זה לא המקרה שלנו...) 2. הגדרות לא מדוייקות אצל…
ALERT-CERT-IL-W-1876.csv
2.6 KB
מצ"ב קובץ מזהים של המערך
חוקרי אבטחה זיהו כי תוכנת המעקב Kickidler, שנועדה לפיקוח על עובדים, נוצלה לאחרונה על ידי קבוצות כופר ככלי תקיפה.
לפי הדיווח, התוקפים מתקינים את Kickidler לאחר החדירה הראשונית לרשת, ומשתמשים בה כדי לצפות בפעילות בזמן אמת, לאסוף פרטי התחברות ועוד.
הכלי, שנחשב חוקי ומסחרי, מאפשר גישה מרחוק, צילום מסך בזמן אמת, ושמירת הקלדות, מה שהופך אותו לאידיאלי עבור התוקפים.
המחקר המלא - כאן (שימו לב שהווקטור הראשוני הוא מודעה זדונית ב-Google ads 🤦🏻♂️).
https://t.me/CyberSecurityIL/7099
#כופר
לפי הדיווח, התוקפים מתקינים את Kickidler לאחר החדירה הראשונית לרשת, ומשתמשים בה כדי לצפות בפעילות בזמן אמת, לאסוף פרטי התחברות ועוד.
הכלי, שנחשב חוקי ומסחרי, מאפשר גישה מרחוק, צילום מסך בזמן אמת, ושמירת הקלדות, מה שהופך אותו לאידיאלי עבור התוקפים.
המחקר המלא - כאן (שימו לב שהווקטור הראשוני הוא מודעה זדונית ב-Google ads 🤦🏻♂️).
https://t.me/CyberSecurityIL/7099
#כופר
קרן ההשקעות Insight Partners מאשרת כי מידע על משקיעים נגנב בעקבות אירוע סייבר.
לפי הדיווח, מדובר בדלף מידע שנגרם בעקבות מתקפה על צד שלישי המספק שירותים לקרן. במהלך האירוע, נחשף מידע אישי של חלק מהמשקיעים, כולל שמות, פרטי יצירת קשר וייתכן שגם פרטים פיננסיים.
החברה לא ציינה את שם הספק שנפרץ, אך הבהירה כי מערכותיה הפנימיות לא נפגע.
מכתבים נשלחו לכל הלקוחות שנפגעו יחד עם הצעה לניטור אשראי והגנה מפני גניבת זהות.
https://t.me/CyberSecurityIL/7100
#דלף_מידע #פיננסי
לפי הדיווח, מדובר בדלף מידע שנגרם בעקבות מתקפה על צד שלישי המספק שירותים לקרן. במהלך האירוע, נחשף מידע אישי של חלק מהמשקיעים, כולל שמות, פרטי יצירת קשר וייתכן שגם פרטים פיננסיים.
החברה לא ציינה את שם הספק שנפרץ, אך הבהירה כי מערכותיה הפנימיות לא נפגע.
מכתבים נשלחו לכל הלקוחות שנפגעו יחד עם הצעה לניטור אשראי והגנה מפני גניבת זהות.
https://t.me/CyberSecurityIL/7100
#דלף_מידע #פיננסי
חדשות סייבר - ארז דסה
PowerSchool-CrowdStrike-Final-Report.pdf
זה לא נגמר: התוקף שפרץ למערכות PowerSchool מנסה כעת לסחוט באופן ישיר מחוזות חינוך בארה"ב.
לאחר שהצליח לחדור לפלטפורמת ניהול התלמידים הפופולרית PowerSchool, התוקף החל לפנות למחוזות חינוך ספציפיים בדרישה לתשלום כופר תוך איום בפרסום מידע רגיש.
לפחות ארבעה מחוזות קיבלו פנייה כזו מהתוקף תוך הצגת חלק מהמידע שנגנב הכולל נתונים אישיים של תלמידים וצוותי הוראה
https://t.me/CyberSecurityIL/7101
#כופר #חינוך
לאחר שהצליח לחדור לפלטפורמת ניהול התלמידים הפופולרית PowerSchool, התוקף החל לפנות למחוזות חינוך ספציפיים בדרישה לתשלום כופר תוך איום בפרסום מידע רגיש.
לפחות ארבעה מחוזות קיבלו פנייה כזו מהתוקף תוך הצגת חלק מהמידע שנגנב הכולל נתונים אישיים של תלמידים וצוותי הוראה
https://t.me/CyberSecurityIL/7101
#כופר #חינוך
חדשות סייבר - ארז דסה
זה לא נגמר: התוקף שפרץ למערכות PowerSchool מנסה כעת לסחוט באופן ישיר מחוזות חינוך בארה"ב. לאחר שהצליח לחדור לפלטפורמת ניהול התלמידים הפופולרית PowerSchool, התוקף החל לפנות למחוזות חינוך ספציפיים בדרישה לתשלום כופר תוך איום בפרסום מידע רגיש. לפחות ארבעה מחוזות…
אני רק אזכיר ש-PowerSchool שילמו את דמי הכופר, ואף קיבלו מהתוקף ווידאו המעיד לכאורה על מחיקה של הקבצים שגנב.
זה לא מפריע לתוקף להשתמש כעת באותו מידע כדי לסחוט את בתי הספר.
זה לא מפריע לתוקף להשתמש כעת באותו מידע כדי לסחוט את בתי הספר.
חדשות סייבר - ארז דסה
חברת SAP מדווחת על פרצת אבטחה קריטית (דירוג סיכון 10.0) במוצר NetWeaver Visual Composer, המנוצלת בפועל על ידי תוקפים מסביב לעולם. הפרצה, CVE-2025-31324, מאפשרת העלאת קבצים זדוניים ללא צורך באימות, מה שעלול להוביל להרצת קוד מרחוק ולהשתלטות מלאה על המערכת.…
Please open Telegram to view this post
VIEW IN TELEGRAM
חברת Pearson מדווחת על מתקפת סייבר שהובילה לגניבת מידע רגיש ממערכות החברה.
לפי הדיווח, התוקפים הצליחו לחדור למערכות החברה לאחר שמצאו טוקן גישה לסביבת Gitlab.
הגישה הזו אפשרה להם להיכנס למאגרי הקוד של החברה, שם הם מצאו פרטי גישה נוספים לסביבות ענן.
במהלך החודשים שלאחר החדירה (שהחלה כבר בינואר) , התוקפים הצליחו להוריד כמויות גדולות של מידע, כולל קוד מקור, נתוני לקוחות, מסמכים פיננסיים ועוד.
החברה מסרה כי רוב המידע שנגנב הוא "מידע ישן", אך לא פירטה מעבר.
חברת Pearson פועלת בלמעלה מ-70 מדינות כשהיא מספקת פתרונות לימוד דיגיטליים, מערכות בחינה ושירותים חינוכיים לבתי ספר ואוניברסיטאות.
https://t.me/CyberSecurityIL/7104
#כופר #חינוך #טכנולוגיה
לפי הדיווח, התוקפים הצליחו לחדור למערכות החברה לאחר שמצאו טוקן גישה לסביבת Gitlab.
הגישה הזו אפשרה להם להיכנס למאגרי הקוד של החברה, שם הם מצאו פרטי גישה נוספים לסביבות ענן.
במהלך החודשים שלאחר החדירה (שהחלה כבר בינואר) , התוקפים הצליחו להוריד כמויות גדולות של מידע, כולל קוד מקור, נתוני לקוחות, מסמכים פיננסיים ועוד.
החברה מסרה כי רוב המידע שנגנב הוא "מידע ישן", אך לא פירטה מעבר.
חברת Pearson פועלת בלמעלה מ-70 מדינות כשהיא מספקת פתרונות לימוד דיגיטליים, מערכות בחינה ושירותים חינוכיים לבתי ספר ואוניברסיטאות.
https://t.me/CyberSecurityIL/7104
#כופר #חינוך #טכנולוגיה
תוקף השתלט על חשבון מפתח שאחראי לחבילת npm פופולרית בשם rand-user-agent )כ-45,000 הורדות שבועיות) והפיץ קוד זדוני.
בגרסאות הזדוניות הוסתר קוד זדוני שיצר תיקייה נסתרת במערכת המשתמש, ופתח חיבור לשרת של התוקפים. לאחר מכן התוקפים יכלו להפעיל פקודות מרחוק, לאסוף מידע על המערכת ועוד.
הגרסה האחרונה הלגיטימית של החבילה הייתה 2.0.82, שפורסמה שבעה חודשים לפני הגרסאות הזדוניות (2.0.83, 2.0.84, ו-1.0.110).
הגרסאות הזדוניות הוסרו מ-npm, אך לא נמסר מידע על היקף הפגיעה או מספר המשתמשים שנפגעו.
מידע נוסף - כאן ו-כאן
https://t.me/CyberSecurityIL/7105
בגרסאות הזדוניות הוסתר קוד זדוני שיצר תיקייה נסתרת במערכת המשתמש, ופתח חיבור לשרת של התוקפים. לאחר מכן התוקפים יכלו להפעיל פקודות מרחוק, לאסוף מידע על המערכת ועוד.
הגרסה האחרונה הלגיטימית של החבילה הייתה 2.0.82, שפורסמה שבעה חודשים לפני הגרסאות הזדוניות (2.0.83, 2.0.84, ו-1.0.110).
הגרסאות הזדוניות הוסרו מ-npm, אך לא נמסר מידע על היקף הפגיעה או מספר המשתמשים שנפגעו.
מידע נוסף - כאן ו-כאן
https://t.me/CyberSecurityIL/7105
קבוצת ההאקרים Anonymous נטלה אחריות על מתקפת סייבר נגד חברת התעופה האמריקאית GlobalX, המספקת שירותי טיסות עבור רשויות ההגירה של ארה"ב (ICE).
במהלך המתקפה, דומיין של אתר החברה הושחת והוצגה בו הודעה עם מסר ביקורתי כלפי הנשיא דונלד טראמפ והחלטותיו בתחום ההגירה.
מלבד השחתת האתר, Anonymous טוענים כי השיגו והדליפו מסמכי טיסה, הכוללים שמות נוסעים, מספרי זיהוי, פרטי צוות, מספרי טיסות ולוחות זמנים, הקשורים לטיסות של גירוש מהגרים שבוצעו בין ינואר למאי 2025.
https://t.me/CyberSecurityIL/7106
#דלף_מידע #השחתה #תעופה
במהלך המתקפה, דומיין של אתר החברה הושחת והוצגה בו הודעה עם מסר ביקורתי כלפי הנשיא דונלד טראמפ והחלטותיו בתחום ההגירה.
מלבד השחתת האתר, Anonymous טוענים כי השיגו והדליפו מסמכי טיסה, הכוללים שמות נוסעים, מספרי זיהוי, פרטי צוות, מספרי טיסות ולוחות זמנים, הקשורים לטיסות של גירוש מהגרים שבוצעו בין ינואר למאי 2025.
https://t.me/CyberSecurityIL/7106
#דלף_מידע #השחתה #תעופה
עוד בנושאי תעופה וסייבר:
חברת התעופה הלאומית של דרום אפריקה, South African Airways (SAA), דיווחה על מתקפת סייבר שהתרחשה לפני מספר ימים וגרמה לשיבושים זמניים באתר האינטרנט ובמערכות תפעול פנימיות.
לפי הודעת החברה, צוותי ה-IT הצליחו לסגור את האירוע במהירות ולמזער את ההשפעה על פעילות הטיסות.
מרכזי השירות והמכירה נותרו פעילים, והמערכות חזרו לתפקוד מלא עוד באותו היום.
מנכ"ל החברה מסר כי נפתחה חקירה לבירור מקור התקיפה ובדיקת האפשרות לדליפת מידע רגיש וכי האירוע דווח לרשות לביטחון המדינה, למשטרת דרום אפריקה ולרגולטור.
נכון לעכשיו, לא ידוע על קבוצת תקיפה שלקחה אחריות על האירוע, והחברה לא מסרה אם מדובר במתקפת כופר.
https://t.me/CyberSecurityIL/7107
#תעופה
חברת התעופה הלאומית של דרום אפריקה, South African Airways (SAA), דיווחה על מתקפת סייבר שהתרחשה לפני מספר ימים וגרמה לשיבושים זמניים באתר האינטרנט ובמערכות תפעול פנימיות.
לפי הודעת החברה, צוותי ה-IT הצליחו לסגור את האירוע במהירות ולמזער את ההשפעה על פעילות הטיסות.
מרכזי השירות והמכירה נותרו פעילים, והמערכות חזרו לתפקוד מלא עוד באותו היום.
מנכ"ל החברה מסר כי נפתחה חקירה לבירור מקור התקיפה ובדיקת האפשרות לדליפת מידע רגיש וכי האירוע דווח לרשות לביטחון המדינה, למשטרת דרום אפריקה ולרגולטור.
נכון לעכשיו, לא ידוע על קבוצת תקיפה שלקחה אחריות על האירוע, והחברה לא מסרה אם מדובר במתקפת כופר.
https://t.me/CyberSecurityIL/7107
#תעופה
האקר שלח חבילות של קליעים למנכ"ל החברה ואיים "בפעם הבאה זה יהיה בראש שלך ושל האנשים שלך" 🔫
האירוע למעשה מתחיל אי שם בספטמבר 2024.
האקר המכונה XenZen פרסם כי הוא גנב 7.2TB~ של מידע מחברת הביטוח ההודית Star Health ודרש דמי כופר של 68,000 דולר.
משלא קיבל את דמי הכופר החל התוקף להפיץ את המידע באמצעות הטלגרם ואתר אינטרנט ייעודי.
מדובר היה במידע רגיש, כולל מידע רפואי, של 31 מיליון מבוטחים.
חברת Star Health מצידה פתחה בסדרת תביעות כשהיא מגישה תביעה נגד התוקף (שזהותו ומיקומו לא ידועים), נגד טלגרם, ונגד חברת Cloudflare (שכביכול לקחה חלק בהגנה על האתר שם פורסם המידע).
כעת מתברר כי לפני כשלושה חודשים שלח XenZen שתי חבילות למנכ"ל חברת Star Health. החבילות הכילו קליעים ומכתב איום בו נכתב:
"next one will go in ur and ur peoples head. tik tik tik"
בפניה שביצעה התוקף לסוכנות הידיעות רויטרס הוא טען כי מכתבי האיום נשלחו בעקבות פניות לעזרה שקיבל מלקוחות Health Star, כלשטענתם החברה לא מוכנה לכסות את התביעות הרפואיות שהם הגישו....
חברת Star Health מצידה לא הגיבה לטענות אך ציינה כי הם "נמצאים בעיצומה של חקירה בעקבות אירועים פליליים רגישים".
המשטרה המקומית טוענת כי היא חוקרת את המקרה ובינתיים יש עצור אחד שסייע לתוקף להעביר את חבילות הקליעים לחברה.
אגב, Star Health היא חברה נסחרת, ומאז שהחל האירוע, בספטמבר 24, מניית החברה נפלה ב-40% (עם או בלי קשר למתקפה)📉
בהקשר הזה, מזכיר לכם את האירוע הזה.
https://t.me/CyberSecurityIL/7108
#כופר
האירוע למעשה מתחיל אי שם בספטמבר 2024.
האקר המכונה XenZen פרסם כי הוא גנב 7.2TB~ של מידע מחברת הביטוח ההודית Star Health ודרש דמי כופר של 68,000 דולר.
משלא קיבל את דמי הכופר החל התוקף להפיץ את המידע באמצעות הטלגרם ואתר אינטרנט ייעודי.
מדובר היה במידע רגיש, כולל מידע רפואי, של 31 מיליון מבוטחים.
חברת Star Health מצידה פתחה בסדרת תביעות כשהיא מגישה תביעה נגד התוקף (שזהותו ומיקומו לא ידועים), נגד טלגרם, ונגד חברת Cloudflare (שכביכול לקחה חלק בהגנה על האתר שם פורסם המידע).
כעת מתברר כי לפני כשלושה חודשים שלח XenZen שתי חבילות למנכ"ל חברת Star Health. החבילות הכילו קליעים ומכתב איום בו נכתב:
"next one will go in ur and ur peoples head. tik tik tik"
בפניה שביצעה התוקף לסוכנות הידיעות רויטרס הוא טען כי מכתבי האיום נשלחו בעקבות פניות לעזרה שקיבל מלקוחות Health Star, כלשטענתם החברה לא מוכנה לכסות את התביעות הרפואיות שהם הגישו....
חברת Star Health מצידה לא הגיבה לטענות אך ציינה כי הם "נמצאים בעיצומה של חקירה בעקבות אירועים פליליים רגישים".
המשטרה המקומית טוענת כי היא חוקרת את המקרה ובינתיים יש עצור אחד שסייע לתוקף להעביר את חבילות הקליעים לחברה.
אגב, Star Health היא חברה נסחרת, ומאז שהחל האירוע, בספטמבר 24, מניית החברה נפלה ב-40% (עם או בלי קשר למתקפה)
בהקשר הזה, מזכיר לכם את האירוע הזה.
https://t.me/CyberSecurityIL/7108
#כופר
Please open Telegram to view this post
VIEW IN TELEGRAM
חדשות סייבר - ארז דסה
Photo
Please open Telegram to view this post
VIEW IN TELEGRAM