בימים האחרונים: עשרות ארגונים בישראל מותקפים באמצעות כלי ניהול חוקי

גורמי פשיעה מהמזרח התיכון מנצלים כלי ניהול מרחוק (RMM) לגיטימיים כדי לחדור לרשתות ארגוניות בישראל – כך פרסמה TrendAI, שחשפה את המתקפה. על פי החברה, ההאקרים תוקפים בימים האחרונים עשרות ארגונים בישראל, מכל המגזרים.

התוקפים משתמשים במיילים זדוניים כפתיון לקבלת גישה ראשונית (Initial Access), ומשם עוברים להפעלה של כלי הניהול הציבורי ScreenConnect. כך הם מקבלים שליטה מלאה בשרתים ובתחנות הקצה, בלא התראה של מערכות הגנה קלאסיות. לדברי החוקרים, "התקיפה עודנה פעילה".

החוקרים ציינו כי "מדובר בשחקן איומים בתחכום נמוך, אך משום שהוא מטרגט טווח רחב של ארגונים ומכיוון שהכלי המותקף מוגדר כבטוח ברוב הארגונים – המתקפה מצליחה לעקוף חסמי אבטחה מסורתיים".

המלצה: לבצע ציד איומים יזום אחר פעילות RMM חריגה

החוקרים קוראים למנהלי אבטחת המידע לבצע ציד איומים יזום אחר פעילות RMM חריגה ולהטיל מגבלות מחמירות על השימוש בכלים אלה – עד להודעה חדשה. "מדובר באירוע פעיל", כתבו בבלוג החברה, "ויש לוודא כי המערכות בארגונים שלכם מנוטרות, וכי הגישה לכלים אלה מוגבלת למורשים בלבד".

לסיום נתנו חוקרי TrendAI שורה של המלצות: ניטור – הגברת הבקרה על כלי ניהול מרחוק, כגון ScreenConnect ,TeamViewer או AnyDesk, וחסימת התקנות או הרצות של גרסאות לא מאושרות, או כלים שאינם בשימוש מוצהר; הקשחה – אכיפת אימות רב שלבי (MFA) בכלל החיבורים מרחוק, בלא יוצא מן הכלל; סינון – ביצוע סריקה לאיתור מיילים נכנסים שמכילים קישורים, או קבצים שמקשרים לכלי ניהול אלה, לצד חסימת כתובות ה-IP של שרתי השליטה (C2) על הכלים; וסקירה – בדיקת רשימת ההרשאות ב-RMM הארגוני, לאיתור משתמשים, או התקנים חדשים, שלא הוגדרו על ידי צוות ה-IT.