חדשות השבוע בעולם הסייבר
1. דלף מידע ושרשרת האספקה:
ארגון Barts Health NHS Trust הודיע כי קבוצת כופרה מסוג Clop ניצלה פגיעות קריטית ב-Oracle E-Business Suite (CVE-2025-61882) וגנבה קבצים ממסד נתונים המכיל חשבוניות לאורך מספר שנים. המידע שנחשף כולל שמות מלאים וכתובות של מטופלים ששילמו עבור טיפולים ושירותים, וכן נתונים של עובדים לשעבר שחייבים כסף ושל ספקים. בנוסף, נגנבו גם קבצי הנהלת חשבונות של ארגון NHS נוסף – Barking, Havering and Redbridge University Hospitals, עבור שירותים שסופקו מאז אפריל 2024. קבוצת Clop כבר פרסמה את המידע הגנוב בפורטל הדלפות שלה ברשת החשוכה.
לפי Barts, הגניבה התרחשה באוגוסט אך נודעה להם רק בנובמבר כשהמידע הופיע בדארק-ווב. הארגון דיווח ל-NCSC, למשטרה ולICO ומנסה להוציא צו משפטי למניעת הפצת המידע, אם כי יעילות הצווים מוגבלת. עם זאת, הובהר כי מערכות הרשומות הרפואיות והמערכות הקליניות לא נפגעו, והתשתית המרכזית נותרה מאובטחת. מטופלים ששילמו לבתי החולים מתבקשים לבדוק את החשבוניות שלהם ולהיזהר מפניות חשודות שעלולות לנצל את הדליפה.
2. שרשרת אספקה ובקרת גישה:
שני אחים תאומים, מונייב וסוהייב אחתר, בני 34 מווירג'יניה ובעלי עבר פלילי נרחב בתחום הסייבר, נעצרו לאחר שהואשמו במחיקת 96 מאגרי מידע ממשלתיים בארה"ב. לפי כתב האישום, השניים פעלו מתוך נקמה בעקבות פיטוריהם מחברת IT שסיפקה שירותים לממשל הפדרלי. הם מחקו בסיסי נתונים שכללו גם מידע רגיש של משרדי ממשלה, גנבו מידע אישי של מאות אנשים ואף ניסו להשמיד ראיות. מדובר באותם אחים שכבר הורשעו ב-2015 בפריצה למחשבים ממשלתיים, גניבת מידע רגיש והונאות כרטיסי אשראי, ובכל זאת, לאחר שחרורם, הועסקו שוב כקבלנים פדרליים.
הפרשה מעלה שתי שאלות קריטיות:
עד כמה הארגון מכיר את עברם הפלילי של עובדי הספקים שלו? האם קיימת דרישה לבדיקות רקע מספקים ולקבלני משנה העובדים עם מערכות רגישות?
כיצד שוב ושוב עובדים מפוטרים מצליחים להמשיך ולהגיע לרשתות הארגון? מדוע ביטול הגישה שלהם אינו מתבצע מיידית, וכיצד תהליכי Offboarding עדיין כושלים בהגנה על נכסים חיוניים?
3. מתקפת האקינג:
אירוע סייבר זוהה בסוף השבוע אצל אחד מספקי השירות של חברת התעופה "ישראייר", לאחר שקבוצת האקרים מטורקיה ניצלה פרצה שלא הייתה ידועה מראש. עם זיהוי החדירה, הופעלו מנגנוני האבטחה של החברה ונערכו בדיקות מקיפות בשיתוף מומחי סייבר. מהממצאים הראשוניים עולה חשד לדליפה מצומצמת של מידע הקשור להזמנות וכרטיסי טיסה לא מדובר בפרטי אשראי, אלא בפרטים טכניים בלבד. האירוע נבלם, אינו פעיל עוד, ומערכות "ישראייר" פועלות כרגיל ללא פגיעה תפעולית.
"ישראייר" מדגישה כי מערכותיה עצמן לא היו בסיכון בשום שלב. החברה פעלה בהתאם לנהלים, דיווחה מיד לרשויות הסייבר המוסמכות ומשתפת פעולה באופן מלא עם הגורמים החוקרים. הרשויות הצליחו לזהות את קבוצת ההאקרים המעורבת, והחקירה נמצאת בשלבים סופיים כדי להבטיח את המשך הרציפות התפעולית והביטחון של החברה.
4. כופר:
במהלך 11 החודשים האחרונים נרשמה עלייה משמעותית בהיקף תקיפות הכופר: כ-7,500 קרבנות פורסמו השנה באתרי הדלפות של קבוצות כופרה, עלייה של 37% לעומת השנה שעברה ו-55% לעומת 2023. קבוצת Qilin מובילה את טבלת התוקפים עם כמעט 900 קורבנות שפרסמה מאז תחילת השנה.
