דיגיטל וטק

עשרות ארגונים נפגעו: 4 צעדים מיידים לטיפול במתקפת הסייבר החדשה

חוקרי TrendAI חושפים כי גורמי פשיעה מהמזרח התיכון מנצלים כלים לגיטימיים כדי לחדור לרשתות ארגוניות בארץ. אלו הצעדים המיידיים שאתם חייבים לנקוט כדי להגן על המערכות

מערכת ice | 1/6/2026 16:25 עקבו אחרינו בגוגל

מתקפת סייבר-אילוסטרציה (צילום shutterstock)

חוקרי TrendAI, חטיבה עסקית עצמאית של ענקית אבטחת הסייבר Trend Micro, חושפים היום (שני) שני גורמי פשיעה מהמזרח התיכון מנצלים כלי ניהול מרחוק (RMM) לגיטימיים כדי לחדור לרשתות ארגוניות בישראל.

התוקפים משתמשים במיילים זדוניים כפתיון ("Initial Access"), ומשם עוברים להפעלה של כלי ניהול תמימים שמאפשרים להם שליטה מלאה בשרתים ובתחנות קצה ללא התראה של מערכות הגנה קלאסיות. התקיפה עודנה פעילה.

התקיפה מטרגטת ארגונים בישראל מכל המגזרים, באמצעות הכלי הציבורי screen connect ועד כה הותקפו עשרות ארגונים. לדברי החוקרים מדובר בשחקן איומים בתחכום נמוך, אך משום שהוא מטרגט טווח רחב של ארגונים ומכיוון שהכלים המותקפים מוגדרים כבטוחים ברוב הארגונים, התקיפה מצליחה לעקוף חסמי אבטחה מסורתיים.

עקב ממצאים אלו, חוקרי TrendAI קוראים למנהלי אבטחת מידע לבצע ציד איומים יזום אחר פעילות RMM חריגה ולהטיל מגבלות מחמירות על השימוש בכלים אלו עד להודעה חדשה. מדובר באירוע פעיל, ויש לוודא כי המערכות בארגונכם מנוטרות וכי הגישה לכלים אלו מוגבלת למורשים בלבד.

TrendAI ממליצה על צעדים מיידיים לטיפול:
ניטור: הגברת הבקרה על כלי ניהול מרחוק (כגון ScreenConnect, TeamViewer, AnyDesk) וחסימת התקנות/הרצות של גרסאות לא מאושרות או כלים שאינם בשימוש מוצהר.

הקשחה: אכיפת אימות רב-שלבי (MFA) בכלל החיבורים מרחוק, ללא יוצא מן הכלל.

סינון: ביצוע סריקה לאיתור מיילים נכנסים המכילים קישורים או קבצים המקשרים לכלי ניהול אלו, וחסימת כתובות ה-IP של שרתי השליטה (C2) של הכלים במידת האפשר.