Εκπτώσεις πολλαπλών αδειών
Computer Security Χειριστές Ransomware που κάνουν κατάχρηση Action1 RMM

Χειριστές Ransomware που κάνουν κατάχρηση Action1 RMM

Μέχρι το Mura το Computer Security
Μετάφραση σε:
Ελληνικά

Τα εργαλεία απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) όπως το Action1 RMM γίνονται όλο και πιο ελκυστική επιλογή για τους Διαχειριζόμενους Παρόχους Υπηρεσιών (MSP) και τη βάση πελατών τους, καθώς επιτρέπουν την απομακρυσμένη διαχείριση τελικών σημείων σε δίκτυα πελατών, συμπεριλαμβανομένης της διαχείρισης ενημερώσεων κώδικα, της εγκατάστασης λογισμικού ασφαλείας και αντιμετώπιση προβλημάτων. Δυστυχώς, οι δυνατότητες αυτών των εργαλείων έχουν τραβήξει επίσης την προσοχή των παραγόντων απειλών, οι οποίοι πλέον τα κάνουν κατάχρηση για να υπονομεύσουν τα εταιρικά δίκτυα και να διατηρήσουν την επιμονή τους.

Απειλές παράγοντες που διακυβεύουν εταιρικά δίκτυα

Πρόσφατες αναφορές από εταιρείες ασφαλείας και tweets από ερευνητές έχουν ρίξει φως στην κατάχρηση του Action1 RMM σε επιθέσεις ransomware . Χρησιμοποιώντας το Action1, οι δράστες απειλών μπορούν να εκτελέσουν εντολές, σενάρια και δυαδικά αρχεία για να μειώσουν τα στελέχη κακόβουλου λογισμικού σε μηχανήματα που έχουν παραβιαστεί. Αυτές οι ενέργειες απαιτούν τη δημιουργία μιας "πολιτικής" ή μιας "εφαρμογής" εντός της πλατφόρμας, η οποία δίνει ένδειξη κακής χρήσης όταν εντοπίζεται στη γραμμή εντολών κατά την εκτέλεση.

Ως απάντηση στο ζήτημα, το Action1 έχει εφαρμόσει αναβαθμίσεις ασφαλείας, όπως φιλτράρισμα AI για να σαρώσει τη δραστηριότητα των χρηστών για ύποπτα μοτίβα συμπεριφοράς, να ανιχνεύσει πιθανούς κακόβουλους λογαριασμούς και να ειδοποιήσει την αποκλειστική ομάδα ασφαλείας τους για περαιτέρω έρευνα.

Στοιχεία που υποστηρίζουν το tweet του Κώστα

Ένα μέλος της ομάδας εθελοντών αναλυτών The DFIR Report, ο Κώστας, έγραψε στο Twitter σχετικά με τους χειριστές ransomware που κάνουν κατάχρηση της πλατφόρμας Action1 RMM, τονίζοντας τον πιθανό κίνδυνο για αυξημένες επιθέσεις χρησιμοποιώντας αυτό το σύστημα. Για να επικυρωθούν αυτοί οι ισχυρισμοί, απαιτούνται πρόσθετα στοιχεία για την καλύτερη κατανόηση της κατάστασης.

TTP που μοιάζουν με την έρευνα της ομάδας αντιμετώπισης περιστατικών BlackBerry

Περαιτέρω στοιχεία που υποστηρίζουν το tweet του Κώστα προέρχονται από την έρευνα της ομάδας BlackBerry Incident Response για μια υπόθεση που αφορά το ransomware Monti. Σε αυτήν την περίπτωση, οι φορείς απειλών εκμεταλλεύτηκαν την ευπάθεια Log4Shell για να εισβάλουν στο σύστημα εικονικοποίησης VMware Horizon ενός πελάτη. Οι εισβολείς κρυπτογραφούσαν επιτραπέζιους υπολογιστές και διακομιστές χρηστών, και συγκεκριμένα, κατέβασαν και εγκατέστησαν επίσης δύο πράκτορες απομακρυσμένης παρακολούθησης και συντήρησης (RMM), συμπεριλαμβανομένου του Action1.

Οι ερευνητές πιστεύουν ότι το λογισμικό RMM χρησιμοποιήθηκε από τους εισβολείς για να εδραιώσει την επιμονή στο δίκτυο και να διευκολύνει την πρόσθετη απομακρυσμένη πρόσβαση, καθιστώντας το το πρώτο γνωστό περιστατικό που αξιοποιεί το Action1 με αυτόν τον τρόπο. Αυτή η τακτική, που χρησιμοποιήθηκε στο παρελθόν από χειριστές Conti , δείχνει την εξέλιξη και την προσαρμογή των εγκληματιών του κυβερνοχώρου που εκμεταλλεύονται την ευελιξία ενός νόμιμου λογισμικού RMM όπως το Action1 για να πραγματοποιήσουν τις κακόβουλες δραστηριότητές τους.

Δράση 1 Καταπολέμηση Κακόβουλης Χρήσης

Το Action1 αντιμετωπίζει ενεργά το ζήτημα της κατάχρησης του προϊόντος απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) από χειριστές ransomware. Η εταιρεία έχει εφαρμόσει διάφορες αναβαθμίσεις ασφαλείας για την καταπολέμηση της κακόβουλης χρήσης της πλατφόρμας της, παρέχοντας παράλληλα αποτελεσματικές λύσεις απομακρυσμένης διαχείρισης στη βάση των χρηστών της.

Χρησιμοποιώντας αναβαθμίσεις ασφαλείας, φιλτράρισμα AI

Ένα από τα μέτρα ασφαλείας που εφαρμόζει το Action1 είναι η χρήση φιλτραρίσματος AI. Αυτή η τεχνολογία σαρώνει τη δραστηριότητα των χρηστών για ύποπτα πρότυπα συμπεριφοράς και εντοπίζει αποτελεσματικά πιθανούς κακόβουλους λογαριασμούς. Με τη μόχλευση των δυνατοτήτων τεχνητής νοημοσύνης, το Action1 στοχεύει να μειώσει τον κίνδυνο εκμετάλλευσης της πλατφόρμας τους από παράγοντες απειλών για επιθέσεις ransomware.

Το στέλεχος Monti Ransomware

Το Monti είναι ένα σχετικά νέο στέλεχος ransomware που θεωρείται από τους ειδικούς ως νεότερη παραλλαγή της οικογένειας Conti . Αυτό το στέλεχος έχει παρατηρηθεί χρησιμοποιώντας τακτικές που έκαναν τον προκάτοχό του, Conti, σημαντική απειλή στον κυβερνοχώρο.

Νεότερη παραλλαγή της οικογένειας Conti

Ο Monti έχει κληρονομήσει πολλές από τις τακτικές που έκαναν το Conti σοβαρή απειλή , συμπεριλαμβανομένης της κατάχρησης λογισμικού απομακρυσμένης διαχείρισης για την έναρξη επιθέσεων ransomware. Οι χειριστές ransomware Monti έχουν αποδειχθεί ότι είναι προσαρμοστικοί στην υιοθέτηση επιτυχημένων προσεγγίσεων που χρησιμοποιούνται από την οικογένεια Conti.

Κατάχρηση λογισμικού απομακρυσμένης διαχείρισης

Ο Conti ήταν διαβόητος για την εκμετάλλευση νόμιμου λογισμικού απομακρυσμένης διαχείρισης, όπως το AnyDesk, για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε δίκτυα και να διευκολύνει τις επιθέσεις τους. Η Monti ακολούθησε παρόμοια προσέγγιση, με πρόσφατα περιστατικά που αφορούν την κατάχρηση του Action1 RMM, το οποίο χρησιμοποιείται από διαχειριζόμενους παρόχους υπηρεσιών για απομακρυσμένη διαχείριση τελικών σημείων σε δίκτυα πελατών.

Πιθανή σύνδεση μεταξύ των συμμοριών Conti και Monti

Η ακριβής σχέση μεταξύ των χειριστών ransomware Conti και Monti παραμένει ασαφής. Ωστόσο, οι ομοιότητες στις τακτικές, τις τεχνικές και τις διαδικασίες τους υποδηλώνουν ότι οι εγκληματίες πίσω από τον Monti μπορεί να έχουν επηρεαστεί ή να σχετίζονται άμεσα με τη συμμορία Conti. Ανεξάρτητα από τη σύνδεση, ο συνδυασμός ενός στελέχους ransomware από τον Monti με αποδεδειγμένες τακτικές αποτελεί σημαντική απειλή για τις επιχειρήσεις και τα συστήματά τους.

Φόρτωση...