גל תקיפות סייבר חדש שמכוון נגד ארגונים בישראל מעורר בימים האחרונים דאגה בקרב קהילת אבטחת המידע המקומית. חוקרי TrendAI חושפים כי גורמי פשיעה מהמזרח התיכון מנהלים קמפיין תקיפה פעיל שבמסגרתו נעשה שימוש בכלי ניהול מרחוק (RMM) לגיטימיים, במטרה להשיג גישה לרשתות ארגוניות ולבסס בהן שליטה.
לפי ממצאי החוקרים, שלב החדירה הראשוני מתחיל באמצעות הודעות דואר אלקטרוני זדוניות המשמשות כפתיון. לאחר השגת הגישה הראשונית, התוקפים מפעילים כלי ניהול מרחוק תמימים לכאורה, המאפשרים להם לקבל שליטה על שרתים ותחנות קצה בתוך הארגון. השימוש בכלים חוקיים ומוכרים מקשה על מערכות אבטחה מסורתיות לזהות את הפעילות כחשודה, ובכך מגדיל את סיכויי ההצלחה של המתקפה.
התקיפה מכוונת לארגונים בישראל מכלל המגזרים, כאשר אחד הכלים המרכזיים שבהם נעשה שימוש הוא ScreenConnect. עד כה, לפי TrendAI, נפגעו עשרות ארגונים. החוקרים מציינים כי מאחורי הקמפיין עומד שחקן איומים בעל רמת תחכום נמוכה יחסית, אך דווקא היקף המטרות הרחב והשימוש בכלים הנתפסים כלגיטימיים מאפשרים לו לעקוף מנגנוני אבטחה ולהגיע למספר רב של יעדים.
ב- TrendAI מדגישים כי מדובר באירוע פעיל ומתמשך, וקוראים למנהלי אבטחת מידע לבצע ציד איומים יזום אחר פעילות חריגה הקשורה לכלי RMM. בנוסף, מומלץ להחמיר באופן מיידי את מדיניות השימוש בכלים אלו ולוודא שרק גורמים מורשים יכולים להפעילם.
החברה ממליצה על מספר צעדים מיידיים לצמצום הסיכון. בין היתר, להגביר את הניטור של כלי ניהול מרחוק דוגמת ScreenConnect, TeamViewer ו-AnyDesk, ולחסום התקנות או הרצות של גרסאות שאינן מאושרות. בנוסף, מומלץ לאכוף אימות רב-שלבי (MFA) בכל חיבור מרחוק ללא חריגים.
עוד ממליצים החוקרים לבצע סריקות לאיתור הודעות דואר אלקטרוני המכילות קישורים או קבצים הקשורים לכלי ניהול מרחוק, ולחסום כתובות IP המשויכות לשרתי שליטה ובקרה במידת האפשר. לצד זאת, יש לבצע בדיקה מקיפה של הרשאות המשתמשים במערכות ה-RMM הארגוניות כדי לאתר משתמשים או התקנים חדשים שלא אושרו על ידי צוותי ה-IT.
בשל העובדה שהתקיפה עדיין נמשכת, ב-TrendAI מדגישים כי ניטור רציף והקשחת הגישה לכלי הניהול מרחוק הם צעדים חיוניים עבור כל ארגון המבקש לצמצם את החשיפה לאיום.