הפריצה לא התחילה במשתמש. היא התחילה בשער

שרשרת התקיפה שמתאר דוח חדש של חברת האבטחה Huntress, שעליו דיווח אתר Cybersecurity Dive, אינה מתחילה במשתמש שלחץ על קישור ולא בסיסמה שדלפה. היא מתחילה צעד אחד קודם — בהתקן שבקצה הרשת, זה שאמור להיות שער הכניסה המאובטח של הארגון. הפגיעות מכונה CitrixBleed 2 ויושבת ברכיבי Citrix NetScaler ADC ו- NetScaler Gateway — התקנים שכל תפקידם לעמוד בין הארגון לאינטרנט. זהו בדיוק סוג הנכס שנופל בין הכיסאות: מחובר לרשת החיצונית מעצם ייעודו, אינו מחשב קצה ולכן אינו מכוסה בהגנות שמותקנות על תחנות ושרתים ונוגעים בו רק כשמשהו נשבר. בסדרת התקיפות פעל גורם עוין אשר מתמחה בהשגת הפריצה הראשונית לארגונים ומוכר את הגישה הלאה לכנופיות כופר — מודל עסקי שבו הגישה עצמה היא הסחורה.

Huntress מתעדת כחצי תריסר מקרים בין ינואר ליוני 2026 בעלי דפוס כמעט זהה: ניצול הפגיעות בהתקן; הרצת סקריפט שמעלה את התוקף מהרשאות מוגבלות להרשאות מנהל מערכת; יצירת חשבונות מנהל מקומיים זדוניים; וביסוס אחיזה קבועה באמצעות כלי גישה מרחוק לגיטימיים לחלוטין — ScreenConnect ו- Zoho Assist.

בנקודה הזו כדאי לעצור. הכלים הללו לא נפרצו ולא כשלו. הם שימשו את התוקף בדיוק כפי שהם משמשים צוותי IT בכל העולם: תוכנה מסחרית, מוכרת, כזו שרבים מהארגונים כבר מריצים בעצמם. כלי שליטה מרחוק שמופיע ברשת אינו מדליק נורה אדומה — הוא נראה כמו יום עבודה שגרתי. זו בדיוק הסיבה שהתוקף בחר בו.

במקרה אחד, המתקדם מכולם, הגיעה השרשרת עד לפריסת כופרה מסוג DragonForce. מייקל טיגס, אנליסט תגובה טקטית בכיר ב-Huntress, תלה את ההצלחה שם בגורם אחד: מהירות. הכופרה נפרסה כמעט מיד לאחר הרצת סקריפט הסלמת ההרשאות — כלומר חלון התגובה לא נסגר, הוא מעולם לא נפתח.

ושאר המקרים? הם אינם חמורים פחות, הם מקרים שבהם החזיק גורם עוין דריסת רגל בארגון, עם הרשאות מנהל וערוץ גישה שנראה כמו תעבורת IT שגרתית — בלי שנפרסה כופרה. במודל שבו הגישה היא הסחורה, מועד המימוש נקבע לפי לוח הזמנים של התוקף, לא של הארגון. מי שמודד את עצמו לפי "לא הותקפנו" מפספס בדיוק את התרחיש הזה.

השם CitrixBleed 2 אינו מקרי. קודמתה מ- 2023 הובילה לגל תקיפות עצום נגד ארגונים גדולים, בהם Comcast וחברת בת של Boeing. באפריל השנה תיעדו חוקרי Sophos דפוס פעילות דומה שאותו הם מסמנים כ- STAC3725, שכלל ניצול לרעה של QEMU — אמולטור בקוד פתוח. הדמיון אינו מוכיח שמדובר באותו גורם, אבל הוא ממחיש שהדפוס הזה אינו חד פעמי.

מה זה אומר בפועל? Huntress קוראת למשתמשי NetScaler לעדכן ולנקוט צעדים נוספים — וכאן נכנס תפקידם של עדכוני תוכנה ואבטחה כתהליך מנוהל, שבו מקבלים התקני ההיקף החשופים לאינטרנט עדיפות ראשונה. הם היחידים שהתוקף יכול לנסות בלי שאיש יזמין אותו פנימה. מודיעין סייבר נועד להציף מתי רכיב מסוים נמצא תחת ניצול פעיל בשטח, כדי שהעדכון לא יידחה כברירת מחדל לחלון התחזוקה הבא. כמו כן, סקר סיכונים עונה על השאלה שארגונים רבים מתקשים לענות עליה מהר: מה בדיוק חשוף אצלנו החוצה ואילו כלי גישה מרחוק מותקנים ברשת שלנו — ובידיעת מי.

אבל כשהכופרה נפרסת כמעט מיד עם השגת ההרשאות, מה שמכריע כבר אינו קו ההגנה אלא מי מסתכל. חשבון מנהל מקומי שנולד בשעה מוזרה; כלי שליטה מרחוק שמופיע לפתע על שרת שאיש לא נגע בו — אלו אירועים ש- SIEM/SOC, ריכוז יומני האירועים של הארגון וצוות שמנטר אותם ברציפות, אמור לקשור זה לזה בזמן אמת. לא ביום ראשון בבוקר, כשמישהו מגיע לסקור לוגים. בארגון שצוות המחשוב בו מונה שניים או שלושה אנשים, זה לרוב ההבדל המעשי בין אירוע שנעצר לאירוע שמתגלה בדיעבד.

לצדם, הגנה אקטיבית מכופר מנסה לבלום התנהגות הצפנה בעודה מתרחשת, וגיבוי והמשכיות עסקית — כשהם נבדקים ומופרדים מהרשת — קובעים כמה תעלה השעה שאחרי. אף אחד מהם אינו מבטיח שהתקיפה לא תתרחש. יחד הם מזיזים את המחט בין אירוע מנוהל לבין שבוע השבתה.

למקור הידיעה ולקריאה נוספת

הפריצה לא התחילה במשתמש. היא התחילה בשער
דילוג לתוכן