אזהרת סייבר דחופה: עשרות ארגונים בישראל מותקפים בימים האחרונים באמצעות כלי ניהול חוקיים

חוקרי TrendAI חושפים היום כי גורמי פשיעה מהמזרח התיכון מנצלים כלי ניהול מרחוק (RMM) לגיטימיים כדי לחדור לרשתות ארגוניות בישראל. התוקפים משתמשים במיילים זדוניים כפתיון ("Initial Access"), ומשם עוברים להפעלה של כלי ניהול תמימים שמאפשרים להם שליטה מלאה בשרתים ובתחנות קצה ללא התראה של מערכות הגנה קלאסיות. התקיפה עודנה פעילה.

התקיפה מטרגטת ארגונים בישראל מכל המגזרים, באמצעות הכלי הציבורי screen connect ועד כה הותקפו עשרות ארגונים. לדברי החוקרים מדובר בשחקן איומים בתחכום נמוך, אך משום שהוא מטרגט טווח רחב של ארגונים ומכיוון שהכלים המותקפים  מוגדרים כבטוחים ברוב הארגונים, התקיפה מצליחה לעקוף חסמי אבטחה מסורתיים.

חוקרי TrendAI קוראים למנהלי אבטחת מידע לבצע ציד איומים יזום אחר פעילות RMM חריגה ולהטיל מגבלות מחמירות על השימוש בכלים אלו עד להודעה חדשה. מדובר באירוע פעיל, ויש לוודא כי המערכות בארגונכם מנוטרות וכי הגישה לכלים אלו מוגבלת למורשים בלבד.

TrendAI ממליצה על צעדים מיידיים לטיפול:

ניטור: הגברת הבקרה על כלי ניהול מרחוק (כגון ScreenConnect, TeamViewer, AnyDesk) וחסימת התקנות/הרצות של גרסאות לא מאושרות או כלים שאינם בשימוש מוצהר.

הקשחה: אכיפת אימות רב-שלבי (MFA) בכלל החיבורים מרחוק, ללא יוצא מן הכלל.

סינון: ביצוע סריקה לאיתור מיילים נכנסים המכילים קישורים או קבצים המקשרים לכלי ניהול אלו, וחסימת כתובות ה-IP של שרתי השליטה (C2) של הכלים במידת האפשר.

סקירה: בדיקת רשימת ההרשאות ב-RMM הארגוני לאיתור משתמשים או התקנים חדשים שלא הוגדרו על ידי צוות ה-IT.