Ransomware-operatører misbruger handling1 RMM
Fjernovervågnings- og administrationsværktøjer (RMM) som Action1 RMM er i stigende grad blevet et tiltalende valg for Managed Service Providers (MSP'er) og deres kundebase, da de tillader fjernstyring af endepunkter på kundernes netværk, herunder patch-administration, installation af sikkerhedssoftware og fejlfinding. Desværre har disse værktøjers muligheder også fanget opmærksomheden hos trusselsaktører, som nu misbruger dem til at kompromittere virksomhedsnetværk og opretholde vedholdenhed.
Indholdsfortegnelse
Trussel aktører, der kompromitterer virksomhedens netværk
Nylige rapporter fra sikkerhedsfirmaer og tweets fra forskere har kastet lys over misbruget af Action1 RMM i ransomware- angreb. Ved at bruge Action1 kan trusselsaktører udføre kommandoer, scripts og binære filer for at slippe malware-stammer på kompromitterede maskiner. Disse handlinger kræver oprettelse af en "politik" eller en "app" på platformen, der giver indikation af misbrug, når det opdages på kommandolinjen under udførelse.
Som svar på problemet har Action1 implementeret sikkerhedsopgraderinger såsom AI-filtrering for at scanne brugeraktivitet for mistænkelige adfærdsmønstre, opdage potentielt ondsindede konti og advare deres dedikerede sikkerhedsteam for yderligere undersøgelse.
Beviser, der understøtter Kostas' tweet
Et medlem af den frivillige analytikergruppe The DFIR Report, Kostas, tweetede om ransomware-operatører, der misbruger Action1 RMM-platformen, og fremhævede den potentielle risiko for øgede angreb ved hjælp af dette system. For at validere disse påstande er yderligere beviser nødvendige for at give en klarere forståelse af situationen.
TTP'er, der ligner BlackBerry Incident Response Teams undersøgelse
Yderligere beviser, der understøtter Kostas' tweet, kommer fra BlackBerry Incident Response-teamets undersøgelse af en sag, der involverer Monti ransomware. I dette tilfælde udnyttede trusselsaktørerne Log4Shell-sårbarheden til at trænge ind i en klients VMware Horizon-virtualiseringssystem. Angriberne krypterede brugerens desktops og servere, og især downloadede og installerede de også to remote monitoring and maintenance (RMM) agenter, inklusive Action1.
Forskere mener, at RMM-softwaren blev brugt af angriberne til at etablere persistens i netværket og lette yderligere fjernadgang, hvilket gør det til den første kendte hændelse, der udnytter Action1 på denne måde. Denne taktik, som tidligere blev brugt af Conti-operatører , viser udviklingen og tilpasningen af cyberkriminelle, der udnytter alsidigheden af legitim RMM-software som Action1 til at udføre deres ondsindede aktiviteter.
Handling 1 Bekæmpelse af ondsindet brug
Action1 adresserer aktivt problemet med, at deres fjernovervågnings- og styringsprodukt (RMM) bliver misbrugt af ransomware-operatører. Virksomheden har implementeret forskellige sikkerhedsopgraderinger for at bekæmpe den ondsindede brug af deres platform, mens de stadig leverer effektive fjernstyringsløsninger til deres brugerbase.
Anvendelse af sikkerhedsopgraderinger, AI-filtrering
En af sikkerhedsforanstaltningerne implementeret af Action1 er brugen af AI-filtrering. Denne teknologi scanner brugeraktivitet for mistænkelige adfærdsmønstre og registrerer effektivt potentielt ondsindede konti. Ved at udnytte AI-kapaciteter sigter Action1 på at mindske risikoen for, at deres platform bliver udnyttet af trusselsaktører til ransomware-angreb.
Monti Ransomware-stammen
Monti er en relativt ny ransomware-stamme, der af eksperter betragtes som en nyere variant af Conti-familien . Denne stamme er blevet observeret ved hjælp af taktik, der gjorde dens forgænger, Conti, til en betydelig trussel i cyberspace.
Nyere variant af Conti-familien
Monti har arvet mange af de taktikker, der gjorde Conti til en alvorlig trussel , inklusive misbrug af fjernstyringssoftware til at igangsætte ransomware-angreb. Monti ransomware- operatørerne har vist sig at være tilpasningsdygtige til at anvende succesfulde tilgange, som Conti-familien anvender.
Misbrug af fjernstyringssoftware
Conti var berygtet for at udnytte legitim fjernstyringssoftware, såsom AnyDesk, til at få uautoriseret adgang til netværk og lette deres angreb. Monti har fulgt en lignende tilgang med nylige hændelser, der involverer misbrug af Action1 RMM, som bruges af Managed Service Providers til fjernstyring af slutpunkter på kundernes netværk.
Mulig forbindelse mellem Conti og Monti Gangs
Den nøjagtige forbindelse mellem Conti og Monti ransomware-operatørerne er stadig uklar. Men lighederne i deres taktik, teknikker og procedurer tyder på, at de kriminelle bag Monti kan være blevet påvirket af eller være direkte relateret til Conti-banden. Uanset sammenhængen udgør Montis kombination af en ransomware-stamme med dokumenteret taktik en væsentlig trussel mod virksomheder og deres systemer.