Operátoři ransomwaru zneužívají Action1 RMM
Nástroje pro vzdálené monitorování a správu (RMM), jako je Action1 RMM, se stále více stávají přitažlivou volbou pro poskytovatele spravovaných služeb (MSP) a jejich zákaznickou základnu, protože umožňují vzdálenou správu koncových bodů v zákaznických sítích, včetně správy oprav, instalace bezpečnostního softwaru a odstraňování problémů. Schopnosti těchto nástrojů bohužel zaujaly také aktéry hrozeb, kteří je nyní zneužívají ke kompromitaci podnikových sítí a udržení perzistence.
Obsah
Aktéři ohrožení ohrožující podnikové sítě
Nedávné zprávy od bezpečnostních firem a tweety od výzkumníků vrhly světlo na zneužívání Action1 RMM při ransomwarových útocích. Pomocí Action1 mohou aktéři hrozeb spouštět příkazy, skripty a binární soubory, aby snížili napětí malwaru na kompromitovaných počítačích. Tyto akce vyžadují vytvoření „zásady“ nebo „aplikace“ v rámci platformy, která signalizuje zneužití, když je detekována na příkazovém řádku během provádění.
V reakci na tento problém společnost Action1 implementovala upgrady zabezpečení, jako je filtrování AI, aby prozkoumala aktivitu uživatelů a zjistila podezřelé vzorce chování, odhalila potenciálně škodlivé účty a upozornila svůj vyhrazený bezpečnostní tým na další vyšetřování.
Důkazy podporující Kostasův tweet
Člen skupiny dobrovolných analytiků The DFIR Report, Kostas, tweetoval o provozovatelích ransomwaru, kteří zneužívají platformu Action1 RMM, a zdůraznil potenciální riziko zvýšených útoků pomocí tohoto systému. K potvrzení těchto tvrzení jsou nutné další důkazy, které zajistí jasnější pochopení situace.
TTP připomínající vyšetřování týmu BlackBerry Incident Response Team
Další důkazy podporující Kostasův tweet pocházejí z vyšetřování případu Monti ransomware týmem BlackBerry Incident Response. V tomto případě aktéři hrozeb zneužili zranitelnost Log4Shell k proniknutí do klientského virtualizačního systému VMware Horizon. Útočníci zašifrovali uživatelské plochy a servery a zejména si také stáhli a nainstalovali dva agenty vzdáleného monitorování a údržby (RMM), včetně Action1.
Výzkumníci se domnívají, že software RMM útočníci použili k zajištění stálosti v rámci sítě a usnadnění dodatečného vzdáleného přístupu, což z něj činí první známý incident využívající Action1 tímto způsobem. Tato taktika, kterou dříve používali operátoři Conti , ukazuje vývoj a adaptaci kyberzločinců využívajících všestrannost legitimního softwaru RMM, jako je Action1, k provádění svých škodlivých aktivit.
Action1 Boj proti škodlivému použití
Action1 aktivně řeší problém jejich produktu vzdáleného monitorování a správy (RMM), který je zneužíván provozovateli ransomwaru. Společnost implementovala různé bezpečnostní upgrady, aby bojovala proti škodlivému používání jejich platformy a zároveň stále poskytovala efektivní řešení pro vzdálenou správu své uživatelské základně.
Používání upgradů zabezpečení, filtrování AI
Jedním z bezpečnostních opatření implementovaných Action1 je použití filtrování AI. Tato technologie prověřuje aktivitu uživatelů na podezřelé vzorce chování a efektivně odhaluje potenciálně škodlivé účty. Využitím schopností AI se Action1 snaží zmírnit riziko zneužití jejich platformy aktéry hrozeb k útokům ransomwaru.
Kmen Monti Ransomware
Monti je relativně nový kmen ransomwaru, který je odborníky považován za novější variantu rodiny Conti . Tento kmen byl pozorován pomocí taktiky, díky které se jeho předchůdce Conti stal významnou hrozbou v kyberprostoru.
Novější varianta rodiny Conti
Monti zdědil mnoho taktik, které z Conti udělaly vážnou hrozbu , včetně zneužívání softwaru pro vzdálenou správu k iniciaci ransomwarových útoků. Operátoři ransomwaru Monti se prokázali jako přizpůsobiví při přijímání úspěšných přístupů používaných v rodině Conti.
Zneužívání softwaru pro vzdálenou správu
Společnost Conti byla proslulá využíváním legitimního softwaru pro vzdálenou správu, jako je AnyDesk, k získání neoprávněného přístupu k sítím a usnadnění jejich útoků. Monti následoval podobný přístup, s nedávnými incidenty zahrnujícími zneužití Action1 RMM, který používají poskytovatelé spravovaných služeb pro vzdálenou správu koncových bodů v zákaznických sítích.
Možné spojení mezi Conti a Monti Gangy
Přesné spojení mezi provozovateli ransomwaru Conti a Monti zůstává nejasné. Podobnosti v jejich taktice, technikách a postupech však naznačují, že zločinci za Montim mohli být ovlivněni nebo být přímo spřízněni s Conti gangem. Bez ohledu na spojení představuje Montiho kombinace ransomwarového kmene s osvědčenou taktikou významnou hrozbu pro podniky a jejich systémy.