Ransomware Operators Abusing Action1 RMM
Remote Monitoring and Management (RMM) -työkaluista, kuten Action1 RMM:stä, on tullut yhä houkuttelevampi valinta hallituille palveluntarjoajille (MSP) ja heidän asiakaskunnalleen, koska ne mahdollistavat asiakasverkkojen päätepisteiden etähallinnan, mukaan lukien korjaustiedostojen hallinnan, tietoturvaohjelmistojen asennuksen ja ongelmien karttoittaminen. Valitettavasti näiden työkalujen ominaisuudet ovat kiinnittäneet myös uhkatoimijoiden huomion, jotka nyt käyttävät niitä väärin vaarantaakseen yritysverkostoja ja ylläpitääkseen sinnikkyyttä.
Sisällysluettelo
Uhkatoimijat, jotka vaarantavat yritysverkostoja
Viimeaikaiset tietoturvayritysten raportit ja tutkijoiden twiitit ovat paljastaneet Action1 RMM:n väärinkäytön kiristysohjelmahyökkäyksissä . Action1:n avulla uhkatoimijat voivat suorittaa komentoja, komentosarjoja ja binaareja haittaohjelmien poistamiseksi vaarantuneista koneista. Nämä toiminnot edellyttävät "käytännön" tai "sovelluksen" luomista alustaan, joka osoittaa väärinkäytön, kun se havaitaan komentorivillä suorituksen aikana.
Vastauksena ongelmaan Action1 on ottanut käyttöön tietoturvapäivityksiä, kuten tekoälysuodatuksen, joka tarkistaa käyttäjien toiminnan epäilyttävien käyttäytymismallien varalta, havaitsee mahdollisesti haitalliset tilit ja varoittaa omalle tietoturvatiimilleen lisätutkimuksia varten.
Kostasin twiittiä tukevat todisteet
Vapaaehtoisen analyytikkoryhmän The DFIR Report jäsen Kostas twiittasi kiristyshaittaohjelmien käyttäjistä, jotka käyttivät väärin Action1 RMM -alustaa, korostaen mahdollista riskiä tämän järjestelmän avulla tapahtuville hyökkäyksille. Näiden väitteiden vahvistamiseksi tarvitaan lisätodisteita, jotta tilanne voidaan ymmärtää paremmin.
TTP:t, jotka muistuttavat BlackBerry Incident Response Teamin tutkintaa
Lisää todisteita Kostasin twiitistä tulee BlackBerry Incident Response -tiimin tutkimuksesta Monti ransomwarea koskevasta tapauksesta. Tässä tapauksessa uhkatekijät käyttivät Log4Shell-haavoittuvuutta tunkeutuakseen asiakkaan VMware Horizon -virtualisointijärjestelmään. Hyökkääjät salasivat käyttäjien työpöytiä ja palvelimia, ja erityisesti he myös latasivat ja asensivat kaksi etävalvonta- ja ylläpitoagenttia (RMM), mukaan lukien Action1.
Tutkijat uskovat, että hyökkääjät käyttivät RMM-ohjelmistoa ylläpitääkseen verkon pysyvyyttä ja helpottaakseen lisäetäkäyttöä, joten se on ensimmäinen tunnettu tapaus, jossa Action1 on hyödynnetty tällä tavalla. Tämä Conti-operaattoreiden aiemmin käyttämä taktiikka osoittaa verkkorikollisten kehitystä ja sopeutumista, jotka käyttävät hyväkseen Action1:n kaltaisten laillisten RMM-ohjelmistojen monipuolisuutta suorittaakseen haitallisia toimiaan.
Toimi1 Haitallisen käytön torjunta
Action1 käsittelee aktiivisesti ongelmaa, jonka mukaan lunnasohjelmaoperaattorit käyttävät väärin heidän etävalvonta- ja hallintatuotteensa. Yritys on toteuttanut erilaisia tietoturvapäivityksiä taistellakseen alustansa haitallista käyttöä vastaan ja tarjoaa silti tehokkaita etähallintaratkaisuja käyttäjäkunnalleen.
Käyttää tietoturvapäivityksiä, AI-suodatusta
Yksi Action1:n toteuttamista turvatoimista on tekoälysuodatuksen käyttö. Tämä tekniikka tarkistaa käyttäjien toiminnasta epäilyttäviä käyttäytymismalleja ja havaitsee tehokkaasti mahdollisesti haitalliset tilit. Hyödyntämällä tekoälyominaisuuksia Action1 pyrkii vähentämään riskiä, että uhkatoimijat käyttävät alustaansa lunnasohjelmahyökkäyksiä varten.
Monti Ransomware -kanta
Monti on suhteellisen uusi ransomware-kanta, jota asiantuntijat pitävät Conti-perheen uudemmana muunnelmana. Tätä kantaa on havaittu käyttämällä taktiikkaa, joka teki sen edeltäjästä Contista merkittävän uhan kyberavaruudessa.
Conti-perheen uudempi versio
Monti on perinyt monia taktiikoita, jotka tekivät Contista vakavan uhan , mukaan lukien etähallintaohjelmiston väärinkäyttö kiristysohjelmahyökkäysten käynnistämiseksi. Montin ransomware- operaattorit ovat osoittautuneet mukautuviksi omaksuessaan Conti-perheen käyttämiä onnistuneita lähestymistapoja.
Etähallintaohjelmiston väärinkäyttö
Conti oli tunnettu siitä, että se käytti laillisia etähallintaohjelmistoja, kuten AnyDesk, päästäkseen luvatta verkkoihin ja helpottaakseen niiden hyökkäyksiä. Monti on noudattanut samanlaista lähestymistapaa, ja viimeaikaiset tapaukset ovat liittyneet Action1 RMM:n väärinkäyttöön, jota hallinnoidut palveluntarjoajat käyttävät päätepisteiden etähallintaan asiakasverkoissa.
Mahdollinen linkki Contin ja Monti Gangsin välillä
Tarkka yhteys Contin ja Montin ransomware-operaattoreiden välillä on edelleen epäselvä. Kuitenkin yhtäläisyydet heidän taktiikoissaan, tekniikoissaan ja menettelyissään viittaavat siihen, että Montin takana olevat rikolliset ovat saattaneet vaikuttaa Conti-jengiin tai olla suoraan yhteydessä siihen. Riippumatta yhteydestä Montin yhdistelmä kiristyshaittaohjelmakantaa ja todistettua taktiikkaa muodostaa merkittävän uhan yrityksille ja niiden järjestelmille.