مشغلي برامج الفدية يسيئون استخدام Action1 RMM

أصبحت أدوات المراقبة والإدارة عن بُعد (RMM) مثل Action1 RMM خيارًا جذابًا بشكل متزايد لمقدمي الخدمات المُدارة (MSPs) وقاعدة عملائهم ، نظرًا لأنها تتيح الإدارة عن بُعد لنقاط النهاية على شبكات العملاء ، بما في ذلك إدارة التصحيح وتثبيت برامج الأمان و استكشاف الأخطاء وإصلاحها. لسوء الحظ ، جذبت قدرات هذه الأدوات أيضًا انتباه الجهات الفاعلة في التهديد ، الذين يسيئون استخدامها الآن لتقويض شبكات الشركات والحفاظ على المثابرة.

الجهات الفاعلة في مجال التهديد تهدد شبكات الشركات

سلطت التقارير الأخيرة من شركات الأمن والتغريدات من الباحثين الضوء على إساءة استخدام Action1 RMM في هجمات برامج الفدية . باستخدام Action1 ، يمكن للجهات الفاعلة في التهديد تنفيذ الأوامر والبرامج النصية والثنائيات لإسقاط سلالات البرامج الضارة على الأجهزة المخترقة. تتطلب هذه الإجراءات إنشاء "سياسة" أو "تطبيق" داخل النظام الأساسي ، مما يشير إلى سوء الاستخدام عند اكتشافه في سطر الأوامر أثناء التنفيذ.

استجابةً لهذه المشكلة ، نفذت Action1 ترقيات أمنية مثل تصفية الذكاء الاصطناعي لفحص نشاط المستخدم بحثًا عن أنماط السلوك المشبوهة ، واكتشاف الحسابات التي يحتمل أن تكون ضارة ، وتنبيه فريق الأمان المخصص لديهم لإجراء مزيد من التحقيقات.

أدلة تدعم تغريدة كوستاس

قام أحد أعضاء مجموعة المحللين التطوعيين The DFIR Report ، Kostas ، بالتغريد عن إساءة استخدام مشغلي برامج الفدية لمنصة Action1 RMM ، مما يسلط الضوء على المخاطر المحتملة لزيادة الهجمات باستخدام هذا النظام. للتحقق من صحة هذه الادعاءات ، من الضروري وجود أدلة إضافية لتوفير فهم أوضح للموقف.

TTPs تشبه تحقيقات فريق الاستجابة لحوادث BlackBerry

المزيد من الأدلة التي تدعم تغريدة كوستاس تأتي من تحقيق فريق BlackBerry Incident Response في قضية تتعلق ببرنامج Monti ransomware. في هذه الحالة ، استغل ممثلو التهديد ثغرة Log4Shell للتطفل على نظام المحاكاة الافتراضية VMware Horizon للعميل. قام المهاجمون بتشفير أجهزة سطح المكتب والخوادم الخاصة بالمستخدمين ، وعلى وجه الخصوص ، قاموا أيضًا بتنزيل وتثبيت اثنين من وكلاء المراقبة والصيانة عن بُعد (RMM) ، بما في ذلك Action1.

يعتقد الباحثون أن المهاجمين استخدموا برنامج RMM لإثبات الثبات داخل الشبكة وتسهيل الوصول الإضافي عن بُعد ، مما يجعله أول حادثة معروفة للاستفادة من Action1 بهذه الطريقة. يُظهر هذا التكتيك ، الذي استخدمه مشغلو Conti سابقًا ، تطور وتكييف مجرمي الإنترنت الذين يستغلون تعدد استخدامات برامج RMM المشروعة مثل Action1 لتنفيذ أنشطتهم الخبيثة.

الإجراء 1 مكافحة الاستخدام الضار

تعالج Action1 بنشاط مشكلة إساءة استخدام منتجها الخاص بالمراقبة والإدارة عن بُعد (RMM) من قبل مشغلي برامج الفدية. نفذت الشركة ترقيات أمنية مختلفة لمكافحة الاستخدام الضار لمنصتها مع الاستمرار في توفير حلول إدارة فعالة عن بُعد لقاعدة مستخدميها.

توظيف ترقيات الأمان ، تصفية AI

أحد الإجراءات الأمنية التي نفذتها Action1 هو استخدام التصفية بالذكاء الاصطناعي. تقوم هذه التقنية بمسح نشاط المستخدم بحثًا عن أنماط السلوك المشبوهة وتكتشف بشكل فعال الحسابات التي يحتمل أن تكون ضارة. من خلال الاستفادة من إمكانات الذكاء الاصطناعي ، تهدف Action1 إلى التخفيف من مخاطر استغلال نظامها الأساسي من قبل الجهات الفاعلة في التهديد لهجمات برامج الفدية.

سلالة Monti Ransomware

يعد Monti أحد سلالات برامج الفدية الجديدة نسبيًا والتي يعتبرها الخبراء البديل الأحدث لعائلة Conti . وقد لوحظت هذه السلالة باستخدام التكتيكات التي جعلت سلفها ، كونتي ، تهديدًا كبيرًا في الفضاء الإلكتروني.

أحدث متغير من عائلة كونتي

لقد ورث مونتي العديد من الأساليب التي جعلت من كونتي تهديدًا خطيرًا ، بما في ذلك إساءة استخدام برامج الإدارة عن بُعد لبدء هجمات برامج الفدية. أثبت مشغلو Monti Ransomware أنهم قادرون على التكيف في تبني الأساليب الناجحة التي تستخدمها عائلة Conti.

إساءة استخدام برامج الإدارة عن بعد

اشتهر كونتي باستغلال برامج الإدارة عن بُعد الشرعية ، مثل AnyDesk ، للحصول على وصول غير مصرح به إلى الشبكات وتسهيل هجماتها. اتبعت Monti نهجًا مشابهًا ، مع الحوادث الأخيرة التي تنطوي على إساءة استخدام Action1 RMM ، والذي يستخدمه مقدمو الخدمة المدارة لإدارة نقاط النهاية البعيدة على شبكات العملاء.

رابط محتمل بين عصابات كونتي ومونتي

لا يزال الرابط الدقيق بين مشغلي Conti و Monti ransomware غير واضح. ومع ذلك ، فإن أوجه التشابه في تكتيكاتهم وتقنياتهم وإجراءاتهم تشير إلى أن المجرمين الذين يقفون وراء مونتي ربما يكونون قد تأثروا أو على صلة مباشرة بعصابة كونتي. بغض النظر عن الاتصال ، فإن توليفة Monti من سلالة برامج الفدية مع التكتيكات التي أثبتت جدواها تشكل تهديدًا كبيرًا للمؤسسات وأنظمتها.