קבוצת האקרים מוכרת 250 אלף מאגרי מידע פרוצים ברשת האפלה
חוקרים ישראלים חשפו כי המידע נגנב בסבב תקיפות עולמי של 83 אלף ארגונים
עמי רוחקס דומבה
| 17/12/2020
צילום: Guardicore
אופיר הרפז ועמרי מרום, חוקרי סייבר מחברת גארדיקור הישראלית, חשפו רשת תקיפה שמציעה למכירה 250 אלף מאגרי מידע ברשת האפלה. המאגרים נגנבו ב-83 אלף פריצות שונות שנעשו לשרתי חברות וארגונים, כשהאקרים מציעים אותם למכירה במחיר של 550 דולר לכל מאגר מידע, שיועברו אליהם בביטקוין.
במסגרת החקירה התברר שהמאגרים נגנבו ממערכות MySQL באמצעות ניחוש של סיסמאות חלשות. המתקפות בוצעו משרתים בבריטניה ואירלנד, אולם להערכת החוקרים מדובר בהסוואה של מקום המצאם האמיתי של התוקפים. בסך הכל נגנבו ומוצעים למכירה 7 טרה בייט של נתונים, מה שהופך את ארוע המכירה לאחד הרחבים שנעשו אי פעם.
התוקפים ניסו בשלב הראשון לקבל דמי כופר מחברות שנפגעו והצליחו בכך באופן חלקי. לכן הם פנו להציע את מאגרי המידע לגורמים חיצוניים באמצעות אתר מכירה שהקימו ברשת האפילה. חוקרי גארדיקור עדכנו את קהילת מנהלי האבטחה בעולם על החשיפה על מנת שהחברות שנפגעו יהיו מיודעות שהמידע שהוצא מהן עומד כעת למכירה
לדברי הרפז, המתקפה הרחבה ואיסוף המידע נשענו על כשל אבטחה בסיסי של ניהול הארגון במערכת חשופה לאינטרנט, במקום במערכת פנים ארגונית סגורה, כשהמערכת מוגנת רק על ידי סיסמה שהיא פעמים רבות קלה לניחוש. הפתרון לכך הוא בשליטה מלאה של מנהלי הרשת על התעבורה הפנימית כך שהגישה לשרתי המידע הרגישים תהיה רק למשתמשים המתאימים והפרדה בינם לבין שרתים חשופי אינטרנט. למרבה הצער, לאחר שהמידע יוצא מהארגון לא ניתן כבר לעצור את הסחר בו והעברתו לגורמים שמעונינים בו.
חברת הסייבר Guardicore הוקמה על ידי ידי דרור סלעי, פבל גורביץ' ואריאל צייטלין ומפתחת תוכנת הגנה כוללת למערכות ארגוניות בענן ובשרתים הפנימיים עבור חברות בתחומי הפיננסיים, המסחר האלקטרוני והטכנולוגיה ובארגוני חינוך. החברה מעסיקה 200 עובדים במרכזי פיתוח, מכירות ותמיכת לקוחות בישראל, ארה"ב, קנדה, ברזיל, הודו, מקסיקו, מערב אירופה ואוקראינה.
חוקרים ישראלים חשפו כי המידע נגנב בסבב תקיפות עולמי של 83 אלף ארגונים
צילום: Guardicore
אופיר הרפז ועמרי מרום, חוקרי סייבר מחברת גארדיקור הישראלית, חשפו רשת תקיפה שמציעה למכירה 250 אלף מאגרי מידע ברשת האפלה. המאגרים נגנבו ב-83 אלף פריצות שונות שנעשו לשרתי חברות וארגונים, כשהאקרים מציעים אותם למכירה במחיר של 550 דולר לכל מאגר מידע, שיועברו אליהם בביטקוין.
במסגרת החקירה התברר שהמאגרים נגנבו ממערכות MySQL באמצעות ניחוש של סיסמאות חלשות. המתקפות בוצעו משרתים בבריטניה ואירלנד, אולם להערכת החוקרים מדובר בהסוואה של מקום המצאם האמיתי של התוקפים. בסך הכל נגנבו ומוצעים למכירה 7 טרה בייט של נתונים, מה שהופך את ארוע המכירה לאחד הרחבים שנעשו אי פעם.
התוקפים ניסו בשלב הראשון לקבל דמי כופר מחברות שנפגעו והצליחו בכך באופן חלקי. לכן הם פנו להציע את מאגרי המידע לגורמים חיצוניים באמצעות אתר מכירה שהקימו ברשת האפילה. חוקרי גארדיקור עדכנו את קהילת מנהלי האבטחה בעולם על החשיפה על מנת שהחברות שנפגעו יהיו מיודעות שהמידע שהוצא מהן עומד כעת למכירה
לדברי הרפז, המתקפה הרחבה ואיסוף המידע נשענו על כשל אבטחה בסיסי של ניהול הארגון במערכת חשופה לאינטרנט, במקום במערכת פנים ארגונית סגורה, כשהמערכת מוגנת רק על ידי סיסמה שהיא פעמים רבות קלה לניחוש. הפתרון לכך הוא בשליטה מלאה של מנהלי הרשת על התעבורה הפנימית כך שהגישה לשרתי המידע הרגישים תהיה רק למשתמשים המתאימים והפרדה בינם לבין שרתים חשופי אינטרנט. למרבה הצער, לאחר שהמידע יוצא מהארגון לא ניתן כבר לעצור את הסחר בו והעברתו לגורמים שמעונינים בו.
חברת הסייבר Guardicore הוקמה על ידי ידי דרור סלעי, פבל גורביץ' ואריאל צייטלין ומפתחת תוכנת הגנה כוללת למערכות ארגוניות בענן ובשרתים הפנימיים עבור חברות בתחומי הפיננסיים, המסחר האלקטרוני והטכנולוגיה ובארגוני חינוך. החברה מעסיקה 200 עובדים במרכזי פיתוח, מכירות ותמיכת לקוחות בישראל, ארה"ב, קנדה, ברזיל, הודו, מקסיקו, מערב אירופה ואוקראינה.
