תגית: וירוס
הלל יפה | כופרה
מתקפת הסייבר, מסוג כופרה, התרחשה היום ופגעה במערכות המחשוב במקום. מבית החולים נמסר: "הטיפול הרפואי מתקיים באופן שוטף. האירוע דווח למשרד הבריאות ולמערך הסייבר הלאומי באופן מידי ונמצא בטיפול של טובי המומחים בתחום"
PrintNightmare | פרצת אבטחה בשירות ההדפסה של WINDOWS
פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה Windows:
לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה. הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת. טרם פורסם עדכון אבטחה לפגיעות. עד לפרסום עדכון אבטחה, מומלץ מאד לנטרל שירות זה בכל העמדות והשרתים הרגישים בארגון, ובפרט בשרתי Domain Controller או בעמדות של מנהלנים.
סרטון המדגים את ניצול הפרצה:
פרטים
- במסגרת עדכון האבטחה לחודש יוני 2021, פורסם עדכון אבטחה לפגיעות CVE-2021-1675.
- הפגיעות תוארה כהעלאת הרשאות מקומית.
- חוקרים מצאו כי על אף העדכון, ניתן לממש הרצת קוד מרחוק בהרשאת System על עמדה בה פועל השירות הפגיע.
- פגיעות זו קיבלה את הכינוי printnightmare. קיימים ברשת מספר POC לניצול פגיעות זו.
- המשמעות של הפגיעות היא שתוקף בעל אחיזה ברמת משתמש רגיל ברשת הארגונית, עלול לתקוף שרת Domain Controller ולקבל עליו הרשאת System, שניתן לנצלה להשגת אחיזה מלאה ב-Active Directory.
להמשך קריאה באתר מערך הסייבר הלאומי >>
כופרה חדשה CUBA
לאחרונה דווח למערך הסייבר הלאומי על מספר אירועי כופרה, בארגונים שונים. המכנה המשותף לכל האירועים הוא שימוש בכופרה בשם Cuba.
להלן מספר קישורים לדוחות שפורסמו על תקיפות קודמות באמצעות כופרה זו. דוחות אלו כוללים מזהים שונים וחוקי YARA.
https://shared-public-reports.s3-eu-west-1.amazonaws.com/Cuba+Ransomware+Group+-+on+a+roll.pdf
https://www.mcafee.com/enterprise/en-us/assets/reports/rp-cuba-ransomware.pdf
https://digital.nhs.uk/cyber-alerts/2021/cc-3855#indicators-of-compromise
https://blogs.blackberry.com/en/2021/04/threat-thursday-blackberry-protect-vs-cuba-ransomware
DocuSign Signature [מייל פישינג]
מייל שהגיע לכמה מלקוחותנו, המגיע מכתובת: ofaso@smbtechs.com
מכוון לעסקים קטנים ובינוניים, מכיל קישור לכאורה לצפייה בחשבונית, מפעיל מנגנון PHP ששואב פרטים על המשתמש ומכיל קובץ זדוני שמאוחסן בGOOGLE DRIVE.
בסריקת הקישור ב-VT מזוהה כרוגלה:
יש להימנע מפתיחת המייל,
יש להוסיף את הכתובת ודומיין השולח לרשימת השולחים החסומים.
טופס רישום עסק – רץ במייל [סקאם]
מייל עם תוכנה זדונית הגיע לעשרות אלפי בעלי עסקים בארץ ובעולם.
בימים האחרונים המערכות שלנו מנטרות באופן שיטתי, מיילים שנשלחים ללקוחותינו העסקיים בעיקר.
המכיל את המלל הבא:
Hello,
In order to have your company inserted in the EU Business Register for 2021/2022, please print, complete and submit the attached form in a reply to this email.
EU BUSINESS REGISTER
3700 AA ZEIST
THE NETHERLANDS
Fax: +31 205 248 107
All electronic file formats are accepted.
Updating is free of charge.
המייל נשלח מהכתובת: register@ebrlisting.com ומכיל קובץ המזוהה כרוגלה [וירוס] MALWARE, כ-PDF.
יש להימנע מפתיחת המייל,
יש להוסיף את הכתובת ודומיין השולח לרשימת השולחים החסומים.
למחוק את המייל וכמובן לא לפתוח את הקובץ המצורף.
[עדכון] מייל פישינג התחזות לפייפל PAYPAL
נא לשים לב לא לפתוח את המייל מהכתובת המזויפת info@feature.com שמתחזה לפייפל .
מזוהה כפישינג.
למשתמשי OUTLOOK:
קליק ימני על המייל > זבל > "חסום שולח"
תודה.