סכנה מרחוק: גל תקיפות סייבר נגד עשרות ארגונים בישראל

חוקרי TrendAI חושפים כי גורמי פשיעה מהמזרח התיכון מנצלים כלי ניהול מרחוק (RMM) לגיטימיים כדי לחדור לרשתות ארגוניות בישראל. התוקפים משתמשים במיילים זדוניים כפתיון ("Initial Access"), ומשם עוברים להפעלה של כלי ניהול תמימים שמאפשרים להם שליטה מלאה בשרתים ובתחנות קצה ללא התראה של מערכות הגנה קלאסיות. התקיפה עודנה פעילה.

התקיפה מטרגטת ארגונים בישראל מכל המגזרים, באמצעות הכלי הציבורי screen connect ועד כה הותקפו עשרות ארגונים. לדברי החוקרים מדובר בשחקן איומים בתחכום נמוך, אך משום שהוא מטרגט טווח רחב של ארגונים ומכיוון שהכלים המותקפים  מוגדרים כבטוחים ברוב הארגונים, התקיפה מצליחה לעקוף חסמי אבטחה מסורתיים.

חוקרי TrendAI קוראים למנהלי אבטחת מידע לבצע ציד איומים יזום אחר פעילות RMM חריגה ולהטיל מגבלות מחמירות על השימוש בכלים אלו עד להודעה חדשה. מדובר באירוע פעיל, ויש לוודא כי המערכות בארגונכם מנוטרות וכי הגישה לכלים אלו מוגבלת למורשים בלבד.

בחברתTrendAI ממליצים על צעדים מיידיים :

ניטור: הגברת הבקרה על כלי ניהול מרחוק (כגון ScreenConnect, TeamViewer, AnyDesk) וחסימת התקנות/הרצות של גרסאות לא מאושרות או כלים שאינם בשימוש מוצהר.

הקשחה: אכיפת אימות רב-שלבי (MFA) בכלל החיבורים מרחוק, ללא יוצא מן הכלל.

סינון: ביצוע סריקה לאיתור מיילים נכנסים המכילים קישורים או קבצים המקשרים לכלי ניהול אלו, וחסימת כתובות ה-IP של שרתי השליטה (C2) של הכלים במידת האפשר.

סקירה: בדיקת רשימת ההרשאות ב-RMM הארגוני לאיתור משתמשים או התקנים חדשים שלא הוגדרו על ידי צוות ה-IT.