Operadors de ransomware que abusen d'Action1 RMM
Les eines de supervisió i gestió remota (RMM) com Action1 RMM s'han convertit cada cop més en una opció atractiva per als proveïdors de serveis gestionats (MSP) i la seva base de clients, ja que permeten la gestió remota de punts finals a les xarxes de clients, inclosa la gestió de pedaços, la instal·lació de programari de seguretat i resolució de problemes. Malauradament, les capacitats d'aquestes eines també han cridat l'atenció dels actors de les amenaces, que ara n'abusen per comprometre les xarxes corporatives i mantenir la persistència.
Taula de continguts
Agents d'amenaça que comprometen les xarxes corporatives
Informes recents d'empreses de seguretat i tuits d'investigadors han fet llum sobre l'abús d'Action1 RMM en atacs de ransomware . Amb Action1, els actors d'amenaces poden executar ordres, scripts i binaris per eliminar les tensions de programari maliciós a les màquines compromeses. Aquestes accions requereixen la creació d'una "política" o una "aplicació" dins de la plataforma, donant indicacions d'ús indegut quan es detecta a la línia d'ordres durant l'execució.
Com a resposta al problema, Action1 ha implementat actualitzacions de seguretat, com ara el filtratge d'IA per analitzar l'activitat dels usuaris per detectar patrons de comportament sospitosos, detectar comptes potencialment maliciosos i alertar el seu equip de seguretat dedicat per a una investigació addicional.
Evidència que recolza el tuit de Kostas
Un membre del grup d'analistes voluntaris The DFIR Report, Kostas, va tuitejar sobre els operadors de ransomware que abusen de la plataforma Action1 RMM, destacant el risc potencial d'augmentar els atacs amb aquest sistema. Per validar aquestes afirmacions, calen proves addicionals per proporcionar una comprensió més clara de la situació.
TTP semblants a la investigació de l'equip de resposta a incidents de BlackBerry
Més proves que donen suport al tuit de Kostas prové de la investigació de l'equip de resposta a incidents de BlackBerry d'un cas relacionat amb el ransomware Monti. En aquest cas, els actors de l'amenaça van aprofitar la vulnerabilitat Log4Shell per introduir-se en el sistema de virtualització VMware Horizon d'un client. Els atacants van xifrar els ordinadors de sobretaula i els servidors dels usuaris i, sobretot, també van descarregar i instal·lar dos agents de monitorització i manteniment remots (RMM), inclòs Action1.
Els investigadors creuen que els atacants van utilitzar el programari RMM per establir la persistència dins de la xarxa i facilitar l'accés remot addicional, convertint-se en el primer incident conegut per aprofitar Action1 d'aquesta manera. Aquesta tàctica, emprada anteriorment pels operadors de Conti , mostra l'evolució i l'adaptació dels ciberdelinqüents que utilitzen la versatilitat del programari RMM legítim com Action1 per dur a terme les seves activitats malicioses.
Acció 1 Combatre l'ús maliciós
Action1 està abordant activament el problema del seu producte de supervisió i gestió remota (RMM) sent abusat pels operadors de ransomware. La companyia ha implementat diverses actualitzacions de seguretat per combatre l'ús maliciós de la seva plataforma alhora que ofereix solucions eficients de gestió remota a la seva base d'usuaris.
Utilitzant actualitzacions de seguretat, filtratge d'IA
Una de les mesures de seguretat implementades per Action1 és l'ús del filtratge d'IA. Aquesta tecnologia analitza l'activitat dels usuaris per detectar patrons de comportament sospitosos i detecta de manera efectiva els comptes potencialment maliciosos. Aprofitant les capacitats d'IA, Action1 pretén mitigar el risc que la seva plataforma sigui explotada per actors d'amenaça per a atacs de ransomware.
La soca de ransomware Monti
Monti és una soca de ransomware relativament nova que els experts consideren una variant més nova de la família Conti . Aquesta soca s'ha observat utilitzant tàctiques que van convertir el seu predecessor, Conti, una amenaça important al ciberespai.
Variant més nova de la família Conti
Monti ha heretat moltes de les tàctiques que van fer de Conti una amenaça greu , inclòs l'abús del programari de gestió remota per iniciar atacs de ransomware. Els operadors de ransomware Monti han demostrat ser adaptables a l'adopció d'enfocaments d'èxit utilitzats per la família Conti.
Abús del programari de gestió remota
Conti era conegut per explotar programari legítim de gestió remota, com AnyDesk, per obtenir accés no autoritzat a xarxes i facilitar els seus atacs. Monti ha seguit un enfocament similar, amb incidents recents relacionats amb l'abús d'Action1 RMM, que és utilitzat pels proveïdors de serveis gestionats per a la gestió remota de punts finals a les xarxes dels clients.
Possible vincle entre Conti i Monti Gangs
El vincle exacte entre els operadors de ransomware Conti i Monti encara no està clar. Tanmateix, les similituds en les seves tàctiques, tècniques i procediments suggereixen que els criminals que hi ha darrere de Monti poden haver estat influenciats per la banda Conti o estar directament relacionats amb ella. Independentment de la connexió, la combinació de Monti d'una soca de ransomware amb tàctiques provades suposa una amenaça important per a les empreses i els seus sistemes.