Операторите на Ransomware злоупотребяват с Action1 RMM
Инструментите за отдалечено наблюдение и управление (RMM) като Action1 RMM все повече се превръщат в привлекателен избор за доставчиците на управлявани услуги (MSP) и тяхната клиентска база, тъй като позволяват дистанционно управление на крайни точки в клиентски мрежи, включително управление на корекции, инсталиране на софтуер за сигурност и Отстраняване на неизправности. За съжаление, възможностите на тези инструменти също привлякоха вниманието на участниците в заплахи, които сега злоупотребяват с тях, за да компрометират корпоративни мрежи и да поддържат устойчивост.
Съдържание
Актьори на заплаха, компрометиращи корпоративни мрежи
Скорошни доклади от охранителни фирми и туитове от изследователи хвърлиха светлина върху злоупотребата с Action1 RMM при атаки на рансъмуер . Използвайки Action1, участниците в заплахата могат да изпълняват команди, скриптове и двоични файлове, за да премахнат щамовете на зловреден софтуер на компрометирани машини. Тези действия изискват създаването на „политика“ или „приложение“ в рамките на платформата, което дава индикация за злоупотреба, когато бъде открита в командния ред по време на изпълнение.
В отговор на проблема, Action1 внедри надстройки на сигурността, като AI филтриране, за да сканира активността на потребителите за подозрителни модели на поведение, да открие потенциално злонамерени акаунти и да предупреди техния специален екип за сигурност за по-нататъшно разследване.
Доказателство в подкрепа на туит на Костас
Костас, член на доброволческата група анализатори The DFIR Report, написа в Туитър за операторите на ransomware, злоупотребяващи с платформата Action1 RMM, подчертавайки потенциалния риск от повишени атаки, използващи тази система. За потвърждаване на тези твърдения са необходими допълнителни доказателства за по-ясно разбиране на ситуацията.
TTP, наподобяващи разследването на екипа за реагиране при инциденти на BlackBerry
Допълнителни доказателства в подкрепа на туита на Костас идват от разследването на екипа за реагиране при инциденти на BlackBerry на случай, включващ ransomware Monti. В този случай участниците в заплахата са използвали уязвимостта на Log4Shell , за да проникнат в клиентската система за виртуализация VMware Horizon. Нападателите криптираха потребителски настолни компютри и сървъри и по-специално те изтеглиха и инсталираха два агента за дистанционно наблюдение и поддръжка (RMM), включително Action1.
Изследователите смятат, че софтуерът RMM е бил използван от нападателите, за да установят устойчивост в мрежата и да улеснят допълнителен отдалечен достъп, което го прави първият известен инцидент, използващ Action1 по този начин. Тази тактика, използвана преди това от операторите на Conti , показва еволюцията и адаптацията на киберпрестъпниците, които използват гъвкавостта на легитимния RMM софтуер като Action1, за да извършват своите злонамерени дейности.
Действие 1 Борба със злонамерената употреба
Action1 активно се занимава с проблема с техния продукт за отдалечено наблюдение и управление (RMM), който се злоупотребява от оператори на ransomware. Компанията е внедрила различни подобрения на сигурността, за да се бори със злонамереното използване на тяхната платформа, като същевременно предоставя ефективни решения за дистанционно управление на своята потребителска база.
Използване на подобрения на сигурността, AI филтриране
Една от мерките за сигурност, прилагани от Action1, е използването на AI филтриране. Тази технология сканира активността на потребителите за подозрителни модели на поведение и ефективно открива потенциално злонамерени акаунти. Чрез използване на възможностите на AI, Action1 има за цел да намали риска платформата им да бъде експлоатирана от заплахи за атаки на ransomware.
Щамът Monti Ransomware
Monti е сравнително нов щам рансъмуер, който се счита от експертите за по-нов вариант на семейството Conti . Този щам е наблюдаван с помощта на тактики, които превърнаха предшественика му Conti в значителна заплаха в киберпространството.
По-нов вариант на семейство Конти
Монти е наследил много от тактиките, които превърнаха Конти в сериозна заплаха , включително злоупотребата със софтуер за отдалечено управление за иницииране на рансъмуер атаки. Операторите на ransomware Monti доказаха, че могат да се адаптират при възприемането на успешни подходи, използвани от семейство Conti.
Злоупотреба със софтуер за отдалечено управление
Conti беше известен с това, че използва легитимен софтуер за дистанционно управление, като AnyDesk, за получаване на неоторизиран достъп до мрежи и улесняване на техните атаки. Monti следва подобен подход с неотдавнашни инциденти, включващи злоупотреба с Action1 RMM, който се използва от доставчиците на управлявани услуги за дистанционно управление на крайни точки в клиентски мрежи.
Възможна връзка между Conti и Monti Gangs
Точната връзка между операторите на рансъмуер Conti и Monti остава неясна. Приликите в техните тактики, техники и процедури обаче предполагат, че престъпниците зад Монти може да са били повлияни или пряко свързани с бандата Конти. Независимо от връзката, комбинацията на Monti от ransomware щам с доказани тактики представлява значителна заплаха за предприятията и техните системи.