"אחד מאיומי הסייבר הגדולים": משרד המשפטים בקול קורא לציבור. לראשונה: משרד המשפטים מוביל גיבוש מדיניות להתמודדות עם מתקפות כופר, ופונה לקבלת התייחסויות מן הציבור ● משרד המשפטים יצא השבוע בקול קורא לציבור הרחב, במטרה לקבל התייחסויות בנושא התמודדות עם מתקפות כופרה, לצורך גיבוש מדיניות ממשלתית להתמודדות עם התופעה. מתקפות כופרה הן תקיפות שמטרתן הדבקת מחשב (או רשת מחשבים) של הקורבן, לטובת הצפנתו או הצפנת הקבצים המאוחסנים בו. לאחר ההדבקה, דורש התוקף העברת תשלום כופר כתנאי לפתיחת ההצפנה, לרוב במטבע קריפטוגרפי. בשנים האחרונות אנו עדים למספר הולך וגדל של מתקפות כופרה, שגורמות לנזקים רבים ונרחבים, בראש ובראשונה לקורבנות המתקפות עצמם, אך גם לחברה כולה. על פי הערכות במגזר העסקי, בין 2019 ל-2020 חלה עלייה ניכרת (הכפלה ואף למעלה מכך) הן בהיקף הנפגעים ששילמו תשלומי כופר בעקבות מתקפות כופרה מקוונות, והן בסכום דמי הכופר הממוצעים ששולמו על-ידי הנפגעים. מתקפות כופרה ותשלום דמי כופר הוא אחד מאיומי הסייבר המרכזיים שפגיעתם הכלכלית היא הגדולה ביותר, וכן מדובר באחת התופעות שסובלות מתת-דיווח גבוה ביותר. הצורך להסדיר את הנושא עלה במסגרת דיוני הוועדה להתאמת המשפט לאתגרי החדשנות והאצת הטכנולוגיה במשרד המשפטים (ועדת דוידי), בראשות מנכ"ל משרד המשפטים, עו"ד ערן דוידי. זאת בעקבות סקירה שהתבצעה במסגרת עבודת צוות המשנה הייעודי לאבחון הבעיות ויצירת דרכי טיפול בנושא פשיעה והונאות במרחב הדיגיטלי. צוות המשנה, בהובלת ראש מחלקת הסייבר בפרקליטות המדינה, ד"ר חיים ויסמונסקי, מבקש לאפשר לבעלי עניין רלוונטיים לנושא להביע את דעתם, ולקבל התייחסויות הנוגעות למנעד התרחישים והנתיבים האפשריים של אסדרת התחום, ובהתאם גם להזדמנויות, האתגרים והכשלים שאלו עשויים לעורר. בין היתר, מבקש הקול הקורא לקבל מן הציבור התייחסות בנוגע לשאלות הבאות: מהי אחריותה של המדינה לספק סיוע לגורם הנתקף במתקפת כופרה? לאילו סוגי נפגעים על המדינה לספק סיוע, ואילו סוגי סיוע על המדינה להעניק? האם ובאילו תנאים יש לאסור על תשלום דמי הכופר? מהן חובות הדיווח של ארגון או אדם פרטי בנוגע לעצם קיומה של מתקפת כופרה ובנוגע לתשלום דמי הכופר? האם קמה חובת פרסום לציבור במקרה של ארגון הנתון תחת מתקפת כופרה? האם ובאילו מצבים ניתן לאסור פרסום של דבר קיומה של מתקפת כופרה? האם ישנם מצבים שבהם תשלום דמי הכופר יוכל להיחשב כהוצאה מוכרת מבחינת דיני המס? כלל ההתייחסויות אשר יתקבלו מן הציבור ייבחנו על ידי צוות המשנה בו חברים נציגים ממשרדי ממשלה רלוונטיים – ובהשתתפות נציגי הרשות להגנת הצרכן, מערך הסייבר הלאומי, הרשות לאיסור הלבנת הון ומימון טרור, מחלקת ייעוץ וחקיקה (פלילי), רשות המיסים ומשטרת ישראל. ניתוח שייערך בצוות המשנה יידון במסגרת וועדת דוידי לקראת הגשת ההמלצות לשר המשפטים לצורך גיבוש מדיניות ממשלתית להתמודדות עם מתקפות הכופרה. מנכ"ל משרד המשפטים, עו"ד ערן דוידי: "האצת הטכנולוגיה מביאה עימה אתגרים רבים, בהם מתקפות הכופרה המהוות כיום את אחד מאיומי הסייבר הגדולים העומדים לפתחנו. מספרן ההולך וגדל של מתקפות אלו מחייב אותנו לגבש מדיניות ממשלתית אחידה וכוללת שתספק מענה בזירות הפליליות, המיסויות והרגולטוריות. אנו רואים חשיבות רבה בשילוב הציבור הרחב בנושא אבחון הבעיות ויצירת דרכי טיפול אשר יאפשרו למדינת ישראל להתמודד בצורה המיטבית עם הונאות במרחב הדיגיטלי". מקורות: https://www.now14.co.il/%D7%90%D7%97%D7%93-%D7%9E%D7%90%D7%99%D7%95%D7%9E%D7%99-%D7%94%D7%A1%D7%99%D7%99%D7%91%D7%A8-%D7%94%D7%92%D7%93%D7%95%D7%9C%D7%99%D7%9D-%D7%9E%D7%A9%D7%A8%D7%93-%D7%94%D7%9E%D7%A9%D7%A4%D7%98/

עלייה ניכרת במתקפות טרור ופשעי הסייבר האיראניות נגד ישראל "התקיפות האיראניות היו המשמעותיות ביותר בישראל ב-2021", ציינו חוקרי קלירסקיי בדו"ח שהגיע לידי אנשים ומחשבים ● ולא רק איראן: בסייבר, העולם כולו נגדנו - או לפחות התוקפות הגדולות ● וגם: תחזית רעה ל-2022 ■ המתקפות העיקריות האיראנים ביצעו בשנה החולפת שורה של מתקפות סייבר נגד יעדים ישראליים, לרבות בשוק הפרטי, שמרביתן לא פורסמו לציבור. מבין אלה שכן, אחת המתקפות שתפסו כותרות רבות השנה היא זו שביצעה באוקטובר האחרון קבוצת Black Shadow, המקושרת למשטר בטהרן, נגד חברת אחסון השרתים סייברסרב. הנפגעת העיקרית ממתקפה זו הייתה אפליקציית ההיכרויות לקהילה הלהט"בית אטרף, שהורדה מהאוויר ומאז לא חזרה. בנובמבר האחרון הוגש כתב אישום נגד עובד ניקיון בביתו של שר הביטחון, בני גנץ, בטענה שניסה לרגל לטובת איראן על ידי פנייה לקבוצת Black Shadow. חודש לאחר מכן, בדצמבר, פורסם מחקר של סימנטק, שלפיו איראן ביצעה קמפיין ריגול נגד חברות שירותי IT וחברות טלקום בישראל, כמו גם במדינות אחרות במזרח התיכון ובאסיה בכלל. כאן, הקבוצה האחראית למתקפה הייתה Temp.Zagros, שמשתמשת גם בשני כינויים אחרים: Seedworm או Muddy Water. ■ איראן לא לבד: גם קבוצות ממזרח אירופה תוקפות את ישראל חוקרי קלירסקיי בחרו במתקפת הסייבר על בית חולים הלל יפה בחדרה, שאירעה באוקטובר האחרון, כ-"תקיפה המפורסמת המשמעותית ביותר בישראל ב-2021". עם זאת, לא פורסם מהו מקור המתקפה, שהשביתה את מערכות המחשוב של בית החולים לכמה ימים. "פרט לאיראן", ציינו החוקרים, "היו ב-2021 מאות מתקפות כופרה על חברות ישראליות, רובן על ידי קבוצות פשיעת סייבר ממזרח אירופה – Conti ,REvil ו-Defray777. בנוסף, מאות מתקפות פישינג נערכו נגד לקוחות של בנקים וחברות אשראי, עם נזק כולל של עשרות מיליוני שקלים. המתקפות התבצעו על ידי האקרים בודדים או קבוצות קטנות מישראל, הרשות הפלסטינית, עזה וטורקיה". אלא שלדבריהם, "מרבית התקיפות המוצלחות ב-2021 בישראל היו על חברות קטנות ובינוניות, שסובלות משלל בעיות, ביניהן מחסור בכוח אדם ומערכות אבטחה שלא מנוטרות בקביעות". ■ התקיפות הסיניות – המתוחכמות ביותר נגד ארגונים בישראל עוד ציינו החוקרים כי "הממשל הסיני זיהה בישראל כמה מגזרים שיכולים להועיל למחקר ולפיתוח של טכנולוגיות סיניות חדשות, בעיקר בתחומי הבריאות והבטחון. הסינים הפעילו מתקפות ריגול, חלקן מתוחכמות וייחודיות, כדי לגנוב מידע. אנחנו מסמנים את התקיפות סיניות כמתוחכמות ביותר שהתבצעו ב-2021 נגד ארגונים בישראל". גם הרוסים לא טומנים את ידם בצלחת: באחרונה נראה שהם מתמקדים באויבת החשה-ישנה של המדינה – אוקראינה, אולם הקבוצות שלוחות הקרמלין לא זנחו את ישראל. "קבוצות התקיפה הרוסיות עובדות בעיקר נגד ארגונים ביטחוניים בארץ", ציינו בקלירסקיי. "לצידן פעלו קבוצות האקרים צפון קוריאניות, בעיקר קבוצת לזרוס, שתקפה חברות קריפטו בישראל. כמו כן, היה מספר מצומצם של תקיפות מהאקרים של החמאס על חברות ישראליות: הארגון טרם התאושש מהתקיפות הפיזיות שחווה במבצע שומר חומות". ■ מה ב-2022? בחזרה לדו"ח הנוכחי של קלירסקיי, הם חוזים כי ב-2022 יתגברו מתקפות הסייבר של מדינות נגד מדינות אחרות, והן "יפעילו את נשק הסייבר שלהן באופן חופשי יותר, כאמצעי הרתעתי ותודעתי, וכדי להסב נזק לתשתיות קריטיות שלהן. עימותי סייבר כמו זה שבין ישראל לאיראן יתפשטו לאזורים אחרים בעולם". הם זיהו כאיומים משמעותיים מצדם של האקרים שלוחי מדינות גם בשנה הקרובה את מתקפות יום האפס, המתקפות על שרשראות האספקה, הדלפות המידע והכופרות. כולן, על פי החוקרים, יתבצעו בתדירות גבוהה יותר – ובמקרה של הכופרות, ההאקרים ידרשו מהקורבנות שלהם כסף רב יותר. עוד צופים החוקרים כי השנה תחול עלייה במתקפות נגד מכשירי סלולר, בין השאר בשל השימוש בהם לטובת תשלומים בדיגיטל, ותירשם עלייה בניסיונות הגניבה של ארנקים ופלטפורמות תשלום דיגיטליות, כולל ארנקי קריפטו. כמו כן, לפי הדו"ח, "המשך העבודה ההיברידית והשימוש בציוד אישי של העובדים שאינו תחת פיקוח ה-IT – ימשיכו לספק הזדמנויות רבות לתקיפת רשתות ארגוניות". המשך קריאה בלינק, https://www.pc.co.il/news/355639

בית משפט לפושעי סייבר ברשת האפלה, בפורומים מחתרתיים יש תהליכים לבוררות בין פושעי הסייבר. בעידן המודרני, יכול להיות שאין כבוד בקרב פושעי סייבר, כנגד לעומת חלקם מצייתים למערכת של כללים מחתרתיים לפתרון חילוקי דעות בינם לבין עצמם על רקע הבטחות שהופרו, כי אם ישנן חובות שלא שולמו ותוכנות זדוניות לא יעילות לכאורה. חוקרי סייבר ניתחו לאחרונה את פעולתם של כמה פורומים גדולים של פשעי סייבר וגילו שיש מערכת משפט לא פורמלית שבה פושעים יכולים להגיש תלונות ולהכריע בסכסוכים עם עמיתים. מהנתונים עולה שמקרים רבים מרחבי הרשת האפלה מסלימים לבתי המשפט הללו מדי יום וממתינים לחברי הנהלת הפורום ליישב את הסכסוכים. בשל כך, ישנם כמה מאות ואף אלפי אירועים הנוגעים לתיקי סכסוך שהוגשו לבתי משפט ברשת האפלה. הסכומים שבמחלוקת במקרים כאלה נעו בדרך כלל בין כמה מאות לכמה אלפי דולרים, אם כי קומץ כלל סכסוכים על סכומים גבוהים בהרבה. משמע, נתבעו מפעיל ומערך בדיקת חדירה המזוהה עם קבוצת תוכנת הכופר Conti על 2 מיליון דולר בגין אי עמידה בהסכם הכולל פריצה והצפנה של נתונים של מערכת בתי ספר מבוססת בארה"ב. דהיינו, לאחר תהליך שנמשך כחודש וחצי בבית המשפט ברשת האפלה, התיק הזה הסתיים לטובת שתי כנופיות פושעי הסייבר הקשורות ל Conti, משמע, במקרים רבים אחרים, פושעים שהגישו את התביעות ניצחו. לציין כי המערכת לא תעבוד אם התובעים לא היו מקבלים בפועל תשלום, ולאחר החלטת בורר בית הדין ברשת האפלה. יתר על כן, מהדיווחים עולה שפושעי הסייבר הפליליים, יש להם קודים התנהגותיים משלהם ומעין מערכת משפט מחתרתית לאכיפתם. למשל, מקרה אחד כלל תלונות מרובות נגד מפעילי כנופית הכופר - DarkSide, מכנופיות פושעי סייבר מסונפות המבקשות תשלומים עבור התקפות שביצעו עם התוכנה הזדונית. התלונות הוגשו כאשר DarkSide הפסיקה בפתאומיות את פעילותה לאחר שהרשויות בארה"ב ואחרות זיהו אותה כקבוצה שעמדה מאחורי ההתקפה על צינור קולוניאלי שגרמה למחסור זמני באספקת נפט לאורך החוף המזרחי של ארה"ב. התביעות הוסדרו על ידי מנהלי פורום פשעי סייבר שבו הוגשו התלונות, והכסף שולם ל"תובעים" מחשבון נאמנות של DarkSide שנוצר בדיוק עבור מקרים כאלה. נוסף על כך, פושעי סייבר יכולים להגיש תביעות ממגוון סיבות. כדוגמה אחת, היא הצביעה על פושע סייבר שרכש גישה לרשת שנפרצה מברוקר גישה, ולאחר מכן גילה שהיא נמכרה בעבר לפושע סייבר אחר. פושע סייבר במקרה זה יפתח בתביעה נגד המתווך על ידי מסירת פרטי האירוע בפורום ייעודי שבדרך כלל נקרא בית משפט ברשת האפלה (ארביטראז). כאמור, התובע יספק פרטים על התביעה, כגון כינויו של המתווך, קישור לפרטי הקשר שלהם על שירותים כגון ג'אבר וטלגרם, וראיות הכוללות יומני צ'אט, צילומי מסך ועסקאות אחרות שהיו כרוכות בהפרה לכאורה. לאחר מכן מוקצה זמן לבורר לבחון את הפרטים ולהקשיב לטענות הנגד על ידי המפר לכאורה. בית המשפט ברשת האפלה נותן לכל חבר בפורום את הזכות להשתתף בתהליך, אבל רק הפוסק (הבורר) מקבל את ההחלטה הסופית. כאשר החלטה היא לטובת התובע, לנתבע יש פרק זמן מוגדר כדי לפצות את התובע (לשלם), באם יבחר אחרת, יהיה עליו להתמודד עם האפשרות להיות מורחק מכל פעילות עתידית בפורומים מחתרתיים, וברשת האפלה. בדרך כלל, פושעי סייבר מבוססים היטב, מבצעים הפקדת ביטקויין לחשבון נאמנות כהוכחה ליכולתם לשלם עבור התביעה. פושעי סייבר מקבלים תשלום מחשבון זה כאשר מחלוקת מיושבת לטובתם וכך גם בית המשפט ברשת האפלה. חרף זאת, פושע סייבר לא יקנה גישה למטרה פוטנציאלית שנפרצה ו/או ירכוש תוכנה זדונית אם הוא ידע שפושע סייבר המוכר את השירות, עבר בוררות ולא שילם לתובע. במילים אחרות לאחר שבורר בית המשפט ברשת האפלה קיבל את החלטתו. מן האמור לעיל, לאחר הפריצה לצינור הקולוניאלי בארה"ב, ובהמשך לתגובה ולפעילות מוגברת של אכיפת החוק נגד כנופית פושעי הכופרה, בעקבות ההתקפה, האיסור הושם זמן קצר לאחר מכן על ידי רוב הפורומים של פושעי הסייבר, ברשת האפלה יצאה פסיקת בורר ואסרו על כל הנושאים הקשורים לתוכנות כופרה, עסקאות קשורות ובוררות בנושא עד הודעה חדשה. פושעי סייבר הפועלים בפורומים מחתרתיים, ממהרים לעתים קרובות להיענות להחלטות בית משפט ברשת האפלה, מכיוון שהם רוצים להגן על המוניטין שלהם. שכן, פושעים עובדים קשה כדי לבנות את המוניטין שלהם בפורומים האלה. הפורומים האלה הם המקום שבו מתבצע גיוס שותפים של תוכנות כופר, כמו גם מוצעים מכירות של תוכנות זדוניות, הפרות וגישה לניצול, ואפילו שירותי פריצה. לפיכך, אובדן אמון או הרחקה מפורומים יכולים להיות השפעה שלילית עצומה על יכולתו של פושע סייבר לפעול ברשת האפלה. במקרים קיצוניים מסוימים, פושעי סייבר חשפו את זהותם האמיתית של פושעי סייבר שעלולים היו להונות אותם - המידע כלל כתובת פיזית, פרופילי מדיה חברתית ומספרי טלפון. מכאן משתמע שכמעט לכל פורום פשעי סייבר או לוח מודעות יש מעין מערכת שיפוטית, בית משפט לפושעי הסייבר לטיפול בסכסוכים בין הפושעים. זה סוג מוזר של ספורטיביות או קוד התנהגות, שבו פושע ופעילי טרור סייבר לאומני, האקרים, גנבים ורמאים לא צריכים להתנגש אחד באחר. בסיכומו של דבר, לעתים קרובות הבורר המטפל בסכסוך מחליט על פסק הדין על סמך הראיות שהתובע מציג, כמו גם חוות דעת כללית מהקהילה הרחבה יותר בפורום. אם יימצא אשם, בנוסף לאמור לעיל יהיה ניתן גם להחרים את הנאשם מהקהילה, להציג אותו בקהילה בבושה, ולשתף את המוניטין הרע שלו בתוך ארגוני פשיעה אחרים ברשת האפלה, וכל זאת וללא עוררין, בהתאם להחלטת הבורר מבית המשפט ברשת האפלה.

כופרה: אנטומיה של תקיפה. תקיפות כופרה כבר מזמן הפכו להיות מגיפה עולמית והכלי הפופולרי ביותר על ידי טרור מדיני לאומני ופושעי סייבר. מסקר חדש שערכו מומחי אבטחת מידע שארגונם הותקף על ידי כופר עולה כי 90% מהמשיבים ציינו שהם מודעים לסכנות הקיימות וחוששים מפני תקיפות כופר נוספת בארגונם. עם זאת, יותר מ-50% מהם העידו, שאין בידיהם את הכלים המתאימים להתמודד מול אירוע תקיפה פוטנציאלי ורק 36% מהמשתתפים העידו כי ברשותם מערכות הגנה מתקדמות. סרטון זום, דיון בנושא שנערך היום, יפורסם בהקדם.

קבוצות טרור סייבר או שכירי חרב איראנים, המלחמה נמשכת בעולם טכנולוגיות המידע - הסייבר בהמשך לדיווח של רשויות אכיפה פדרליות אמריקאיות ושל ארצות נוספות, מיקרוסופט מזהירה מפני פעילותן של 6 קבוצות טרור סייבר מתפתחות בחסות המדינה האיראנית, אשר מסתמכות יותר ויותר על תוכנות כופר כדי לייצר הכנסות ולחבל בכוונה במטרותיהן. קבוצות טרור סייבר המופעלות עם שייכות לאיראן מתמקדים יותר ויותר בתוכנות כופר כאמצעי להפקת הכנסות וחבלה מכוונת ביעדיהם, תוך שהם עוסקים גם בקמפיינים סבלניים ומתמשכים של הנדסה חברתית ובהתקפות אגרסיביות. כאמור, לא פחות משישה גורמי איום לאומני המזוהים עם איראן, התגלו פורסים תוכנות כופר כדי להשיג את היעדים האסטרטגיים שלהם, חוקרים ממרכז מודיעין האיומים של מיקרוסופט חשפו, והוסיפו "פריסות כופר אלה הושקו בגלים כל שישה עד שמונה שבועות בממוצע". ראוי לציין גורמי איום במעקב כמו Phosphorus ( הידוע גם בשם Charming Kitten או APT35), אשר נמצא סורק כתובות IP באינטרנט עבור Fortinet FortiOS SSL VPN unpatched ושרתי Exchange מקומיים כדי לקבל גישה ראשונית והתמדה ברשתות פגיעות, בנוסף לציין כי לפני המעבר למקומות נוספים, הם פורסים נזוקות נוספות המאפשרים לגורמי האיום להסתובב במקומות אחרים כדי לפרוס תוכנות כופרה. בנוסף, טקטיקה נוספת ששולבה, היא להשפיעה באמצעות רשת של חשבונות מדיה חברתית פיקטיביים, כולל התחזות לנשים אטרקטיביות, כדי לבנות אמון עם מטרות במשך מספר חודשים ובסופו של דבר לספק מסמכים השתולים בהם תוכנות זדוניות המאפשרות חילוץ נתונים ממערכות הקורבנות. גם Phosphorus וגם גורם איום שני בשם קוריום נצפו בשילוב שיטות הנדסה חברתיות "סבלניות" כאלה כדי לפרוץ למטרות שלהם. ברבים מהמקרים שדווחו, המטרות האמינו באמת ובתמים שהן עושות קשר אנושי, ואינם מקיימים אינטראקציה עם גורם איום הפועל מאיראן. אין עוררין שהתוקפים בונים מערכת יחסים עם משתמשי היעד לאורך זמן על ידי תקשורת מתמדת ורציפה המאפשרת להם לבנות אמון וביטחון עם המטרה עד ליום הפקודה. כמו כן מגמה נוספת, היא השימוש בהתקפות סיסמה כדי לפגוע במשתמשים של Office 365 המכוונים לחברות טכנולוגיה ביטחונית אמריקאיות, אירופאיות וישראליות, שפרטיה כבר פורסמו בחודש שעבר, וייחוסה מוגדר כאיום. יתר על כן, קבוצת טרור סייבר לאומני גם הוכיחו את היכולת להתאים ולהזיז צורה בהתאם ליעדים האסטרטגיים שלהם ולמסחר, להתפתח ל"גורמי איום מוכשרים יותר", הבקיאים בפעולות שיבוש ומידע על ידי ביצוע קשת של התקפות, כגון ריגול סייבר, התקפות דיוג, פיצוח סיסמאות, שימוש בתוכנות זדוניות ניידות, תוכנות כופר, ואפילו ביצוע התקפות שרשרת אספקה. לסיכום, הממצאים משמעותיים במיוחד לאור התראה חדשה שפרסמו סוכנויות אבטחת סייבר מאוסטרליה, בריטניה וארה"ב, המזהירה מפני גל מתמשך של חדירות שבוצעו על ידי קבוצת טרור סייבר לאומני APT בחסות הממשלה האיראנית על ידי ניצול נקודות התורפה של Microsoft Exchange ProxyShell ו-Fortinet, יכולים למנף גישה זו לפעולות המשך, כגון חילוץ נתונים או הצפנה, תוכנות כופר וסחיטה.

טרור סייבר לאומני - פושעי סייבר בחסות ממשלת איראן מנצלים נקודות תורפה לקידום פעילויות זדוניות וכופרה נגד יעדי ממשל בכמה יבשות ומעבר לכך. בעקבות אירועי טרור סייבר רבים בתקופה האחרונה, ייעוץ אבטחת סייבר משותף זה הוא תוצאה של מאמץ אנליטי בקרב הלשכה הפדרלית לחקירות (FBI), הסוכנות לאבטחת סייבר ואבטחת תשתיות (CISA), מרכז אבטחת הסייבר האוסטרלי (ACSC), ומרכז אבטחת הסייבר הלאומי של בריטניה (NCSC). לציין כי מעל לכל ספק הערכה קשורה לממשלת איראן המקדמת פעילות סייבר זדונית מתמשכת על ידי קבוצת פושעי סייבר בחסות הממשלה האיראנית המנצלת נקודות תורפה של Fortinet לפחות מאז מרץ 2021 ופגיעות של Microsoft Exchange ProxyShell לפחות מאז אוקטובר 2021, כדי לקבל גישה ראשונית למערכות לקראת פעולות המשך, הכוללות פריסת תוכנות כופר. ACSC מודע גם לכך שקבוצת APT זו השתמשה באותה פגיעות של Microsoft Exchange באוסטרליה. כאמור, פושעי טרור הסייבר APT בחסות הממשלה האיראנית מתמקדים באופן פעיל במגוון רחב של קורבנות במספר מגזרי תשתית קריטיים בארה"ב, כולל מגזר התחבורה ומגזר הבריאות והבריאות הציבורית, כמו גם ארגונים אוסטרליים. מהמידע עולה כי פושעי טרור הסייבר מתמקדים בניצול נקודות תורפה ידועות במגזרים ספציפיים. אין עוררין שהן בחסות הממשלה האיראנית, ובדגש כי יכולים למנף גישה זו לפעולות המשך, כגון חילוץ נתונים או הצפנה, תוכנות כופר וסחיטה. בנוסף לכך, סבירות גבוהה למדיי שפושעי טרור הסייבר APT בחסות הממשלה האיראנית הקימו חשבונות משתמשים חדשים בבקרי מחשבים, שרתים, תחנות עבודה וספריות פעילות [T1136.001, T1136.002]. נראה כי חלק מחשבונות אלה נוצרו כדי להיראות דומים לחשבונות קיימים אחרים ברשת, כך ששמות חשבונות ספציפיים עשויים להשתנות בהתאם לארגון. בנוסף לחשבונות משתמשים לא מזוהים או חשבונות שהוקמו כדי להתחזות לחשבונות קיימים. יש ליישם פעולות, כדי להגן מפני פעילות סייבר זדוני - טרור הסייבר בחסות המדינה האיראנית: • תיקון מיידי של תוכנות המושפעות מהפגיעויות הבאות: CVE-2021-34473, 2018-13379, 2020-12812 ו-2019-5591. • ליישם אימות רב-גורמי. • ליישם שימוש בסיסמאות חזקות וייחודיות. https://us-cert.cisa.gov/ncas/alerts/aa21-321a

מעצר איכותי - כנופית כופרה REvil, תפיסה של 6 מיליון דולר, ועדיין המבצע בהובלת האמריקאים עדיין מתגלגל - פרס של 10 מיליון דולר. משרד המשפטים של ארה"ב הודיעה על מעצרו של אדם אוקראיני שהואשם בפריסת תוכנות כופר מטעם כנופיית הכופר REvil ארגון פושעי סייבר, הבחור דובר רוסית סחט מאות מיליונים מארגונים. משרד המשפטים גם אמר כי תפס 6.1 מיליון דולר במטבעות קריפטוגרפיים. מוצג מס' 1: ירוסלאב ואסינסקי, האזרח האוקראיני בן ה-22 המואשם בהיותו סניף REvil #22. ואסינסקי נעצר ב-8 באוקטובר בפולין, המקיימת הסכם הסגרה עם ארצות הברית. התובעים טוענים כי ואסינסקי היה מעורב במספר התקפות כופר של REvil, כולל המתקפה ביולי 2021 נגד Kaseya, חברה שבסיסה במיאמי שמוצריה מסייעים למנהלי מערכות לנהל רשתות גדולות מרחוק. על פי כתב האישום של ואסינסקי, השתמש במגוון שמות כינויי כאקר, כולל "Profcomserv" - הכינוי מאחורי שירות מקוון שמציף מספרי טלפון בשיחות זבל תמורת תשלום. התובעים טוענים כי ואסינסקי השתמש גם בכינויים"Yarik45"ו-"Yaroslav2468". שני הכינויים האחרונים תואמים לחשבונות בכמה פורומים מובילים של פשעי סייבר עוד בשנת 2013, שם משתמש בשם "Yaroslav2468" נרשם באמצעות כתובת הדוא"ל [email protected]. כתובת דוא"ל זו שימשה לרישום חשבון ב- Vkontakte (הגרסה הרוסית של פייסבוק / Meta) תחת שם הפרופיל של "ירוסלאב 'למכור את הדם של css' Vasinskyi." פרופיל Vkontakte של ואסינסקי אומר העיר הנוכחית שלו נכון ל -3 באוקטובר היה לובלין, פולין. אולי מתגרה, דף הפרופיל של ואסינסקי גם מפרט את קו המידע של ה-FBI 1-800 כמספר הטלפון שלו. הוא עכשיו במעצר בפולין, ממתין להסגרה לארצות הברית. מוצג מס' 2: יבגני איגורביץ פוליאנין,האזרח הרוסי בן ה-28, שנטען כי הוא סניף REvil #23. משרד המשפטים אמר כי הוא תפס 6.1 מיליון דולר בכספים שניתן לעקוב אחריהם לתשלומי כופר לכאורה שקיבל פוליאנין, וכי הנאשם היה מעורב בהתקפות כופר REvil על ארגוני קורבנות רבים בארה"ב. כתב האישום של פוליאנין, אומר שהוא גם העדיף שמות כינוי כאקרים, כולל LK4D4, Damnating, Damn2life, Noolleds, ו Antunpitre. חלק מהכינויים האלה חוזרים יותר מעשור בפורומים של פשעי סייבר רוסיים, שרבים מהם נפרצו והוקלו ממאגרי המשתמשים שלהם לאורך השנים. בין אלה היה דואג לכיסוי מסד הנתונים של הפורום אשר השתמש בשם "Damnating" רשום בפורום בשנת 2008 באמצעות כתובת הדוא"ל [email protected]. ואכן, יש פרופיל Vkontakte קשור לכתובת דוא"ל תחת השם "יבגני 'הארור' Polyanin" מברנול, עיר בדרום סיביר אזור רוסיה. בנוסף אם פושע סייבר פעיל בפורומים מרובים במשך יותר מעשר שנים, סביר מאוד כי אדם עשה טעויות מרובות שעושות את זה קל יחסית לחבר את אישיות הפורום שלו לזהותו בחיים האמיתיים. מחלקת המדינה של ארה"ב אמרה שהיא מציעה פרס של עד 10 מיליון דולר עבור מידע שיוביל לזיהוי או למיקום של כל אדם המחזיק בעמדת מנהיגות מרכזית בכנופיית הכופרה REvil. בנוסף לכך, מציעה גם פרס של עד 5 מיליון דולר עבור מידע שיוביל למעצר ו/או להרשעה בכל מדינה של כל אדם שזומם להשתתף או לנסות להשתתף בתקרית כופרה REvil. https://krebsonsecurity.com/2021/11/revil-ransom-arrest-6m-seizure-and-10m-reward/?