اپراتورهای باج افزار از Action1 RMM سوء استفاده می کنند

ابزارهای نظارت و مدیریت از راه دور (RMM) مانند Action1 RMM به طور فزاینده ای به یک انتخاب جذاب برای ارائه دهندگان خدمات مدیریت شده (MSP) و پایگاه مشتریان آنها تبدیل شده اند، زیرا آنها امکان مدیریت از راه دور نقاط پایانی در شبکه های مشتری، از جمله مدیریت پچ، نصب نرم افزار امنیتی، و عیب یابی. متأسفانه، قابلیت‌های این ابزارها توجه بازیگران تهدید را نیز به خود جلب کرده است که اکنون از آنها برای به خطر انداختن شبکه‌های شرکتی و حفظ پایداری سوء استفاده می‌کنند.

بازیگران تهدید شبکه های شرکتی را به خطر می اندازند

گزارش‌های اخیر شرکت‌های امنیتی و توییت‌های محققان، سوء استفاده از Action1 RMM در حملات باج‌افزار را روشن کرده است. با استفاده از Action1، عوامل تهدید می‌توانند دستورات، اسکریپت‌ها و فایل‌های باینری را اجرا کنند تا فشارهای بدافزار را بر روی ماشین‌های در معرض خطر حذف کنند. این اقدامات مستلزم ایجاد یک "خط مشی" یا یک "برنامه" در پلتفرم است که در صورت شناسایی در خط فرمان در حین اجرا، نشانه ای از سوء استفاده را ارائه می دهد.

در پاسخ به این مشکل، Action1 ارتقاهای امنیتی مانند فیلتر هوش مصنوعی را برای اسکن فعالیت کاربر برای الگوهای رفتاری مشکوک، شناسایی حساب‌های بالقوه مخرب و هشدار به تیم امنیتی اختصاصی آنها برای بررسی بیشتر، اجرا کرده است.

شواهدی که از توییت کوستاس حمایت می کنند

یکی از اعضای گروه تحلیلگر داوطلب The DFIR Report، Kostas، در مورد سوء استفاده اپراتورهای باج افزار از پلت فرم Action1 RMM توییت کرد و خطر بالقوه افزایش حملات با استفاده از این سیستم را برجسته کرد. برای تأیید این ادعاها، شواهد اضافی برای ارائه درک روشن تری از وضعیت ضروری است.

TTPهایی شبیه تحقیقات تیم واکنش به حوادث بلک بری

شواهد بیشتری که از توییت کوستاس حمایت می‌کند، از تحقیقات تیم BlackBerry Incident Response در مورد پرونده‌ای مربوط به باج‌افزار Monti می‌آید. در این مثال، عوامل تهدید از آسیب‌پذیری Log4Shell برای نفوذ به سیستم مجازی‌سازی VMware Horizon کلاینت سوء استفاده کردند. مهاجمان دسکتاپ و سرورهای کاربر را رمزگذاری کردند، و به ویژه، آنها همچنین دو عامل نظارت و نگهداری از راه دور (RMM) از جمله Action1 را دانلود و نصب کردند.

محققان بر این باورند که نرم افزار RMM توسط مهاجمان برای ایجاد پایداری در شبکه و تسهیل دسترسی از راه دور اضافی مورد استفاده قرار گرفته است، و این اولین حادثه شناخته شده است که از Action1 به این روش استفاده می کند. این تاکتیک که قبلاً توسط اپراتورهای Conti به کار می‌رفت، تکامل و انطباق مجرمان سایبری را نشان می‌دهد که از تطبیق پذیری نرم‌افزار RMM قانونی مانند Action1 برای انجام فعالیت‌های مخرب خود سوء استفاده می‌کنند.

اقدام 1 مبارزه با استفاده مخرب

Action1 به طور فعال به موضوع سوء استفاده از محصول نظارت و مدیریت از راه دور (RMM) توسط اپراتورهای باج افزار می پردازد. این شرکت ارتقاهای امنیتی مختلفی را برای مبارزه با استفاده مخرب از پلتفرم خود اجرا کرده و در عین حال راه حل های مدیریت از راه دور کارآمدی را برای پایگاه کاربران خود ارائه می دهد.

استفاده از ارتقاء امنیتی، فیلتر هوش مصنوعی

یکی از اقدامات امنیتی اجرا شده توسط Action1 استفاده از فیلترینگ هوش مصنوعی است. این فناوری فعالیت کاربر را برای الگوهای رفتاری مشکوک اسکن می کند و به طور موثر حساب های بالقوه مخرب را شناسایی می کند. هدف Action1 با استفاده از قابلیت‌های هوش مصنوعی، کاهش خطر سوء استفاده از پلتفرم خود توسط بازیگران تهدید برای حملات باج‌افزار است.

سویه باج افزار Monti

Monti یک نوع باج افزار نسبتا جدید است که توسط کارشناسان به عنوان یک نوع جدیدتر از خانواده Conti در نظر گرفته می شود. این سویه با استفاده از تاکتیک هایی مشاهده شده است که سلف آن، Conti را به یک تهدید قابل توجه در فضای مجازی تبدیل کرده است.

نوع جدیدتر خانواده Conti

مونتی بسیاری از تاکتیک‌هایی را که Conti را به یک تهدید جدی تبدیل می‌کردند ، به ارث برده است، از جمله سوء استفاده از نرم‌افزار مدیریت از راه دور برای شروع حملات باج‌افزار. اپراتورهای باج‌افزار Monti ثابت کرده‌اند که در اتخاذ رویکردهای موفق خانواده Conti سازگار هستند.

سوء استفاده از نرم افزار مدیریت از راه دور

Conti به دلیل سوء استفاده از نرم افزارهای مدیریت از راه دور قانونی، مانند AnyDesk، برای دسترسی غیرمجاز به شبکه ها و تسهیل حملات آنها بدنام بود. مونتی رویکرد مشابهی را دنبال کرده است، با حوادث اخیر مربوط به سوء استفاده از Action1 RMM، که توسط ارائه دهندگان خدمات مدیریت شده برای مدیریت نقطه پایانی از راه دور در شبکه های مشتری استفاده می شود.

پیوند احتمالی بین باندهای Conti و Monti

ارتباط دقیق بین اپراتورهای باج افزار Conti و Monti همچنان نامشخص است. با این حال، شباهت‌ها در تاکتیک‌ها، تکنیک‌ها و رویه‌های آن‌ها نشان می‌دهد که جنایتکاران پشت مونتی ممکن است تحت تأثیر باند Conti بوده یا مستقیماً با آن مرتبط باشند. صرف‌نظر از اتصال، ترکیب مونتی از یک نوع باج‌افزار با تاکتیک‌های اثبات‌شده، تهدیدی قابل‌توجه برای شرکت‌ها و سیستم‌های آن‌ها است.