מפעילי תוכנות כופר משתמשים לרעה בפעולה1 RMM

כלי ניטור וניהול מרחוק (RMM) כמו Action1 RMM הפכו יותר ויותר לבחירה מושכת עבור ספקי שירות מנוהלים (MSPs) ובסיס הלקוחות שלהם, מכיוון שהם מאפשרים ניהול מרחוק של נקודות קצה ברשתות לקוחות, כולל ניהול תיקונים, התקנת תוכנות אבטחה, ו פתרון תקלות. למרבה הצער, היכולות של הכלים הללו משכו גם את תשומת לבם של גורמי איומים, שמשתמשים בהם כעת כדי להתפשר על רשתות ארגוניות ולשמור על התמדה.

איומים על שחקנים שמתפשרים על רשתות ארגוניות

דיווחים אחרונים מחברות אבטחה וציוצים של חוקרים שופכים אור על השימוש לרעה של Action1 RMM בהתקפות כופר . באמצעות Action1, שחקני איומים יכולים לבצע פקודות, סקריפטים וקבצים בינאריים כדי להוריד זני תוכנות זדוניות על מחשבים שנפגעו. פעולות אלו מחייבות יצירת "מדיניות" או "אפליקציה" בתוך הפלטפורמה, המעניקות אינדיקציה לשימוש לרעה כאשר זוהה בשורת הפקודה במהלך הביצוע.

בתגובה לבעיה, Action1 הטמיעה שדרוגי אבטחה כגון סינון AI כדי לסרוק את פעילות המשתמשים לאיתור דפוסי התנהגות חשודים, לזהות חשבונות שעלולים להיות זדוניים ולהתריע על צוות האבטחה הייעודי שלהם להמשך חקירה.

ראיות התומכות בציוץ של קוסטאס

חבר בקבוצת האנליסטים המתנדבים The DFIR Report, Kostas, צייץ בטוויטר על מפעילי תוכנות כופר המשתמשות לרעה בפלטפורמת Action1 RMM, והדגיש את הסיכון הפוטנציאלי להתקפות מוגברות באמצעות מערכת זו. כדי לאמת טענות אלה, יש צורך בראיות נוספות כדי לספק הבנה ברורה יותר של המצב.

TTPs הדומים לחקירת צוות התגובה לאירועים של BlackBerry

ראיות נוספות התומכות בציוץ של קוסטאס מגיעות מחקירת צוות BlackBerry Incident Response של מקרה שבו מעורב תוכנת כופר של מונטי. במקרה זה, שחקני האיום ניצלו את הפגיעות של Log4Shell כדי לחדור למערכת הוירטואליזציה VMware Horizon של הלקוח. התוקפים הצפנו שולחנות עבודה ושרתים של משתמשים, ובמיוחד, הם גם הורידו והתקינו שני סוכני ניטור ותחזוקה מרחוק (RMM), כולל Action1.

חוקרים מאמינים שתוכנת RMM שימשה את התוקפים כדי לבסס התמדה בתוך הרשת ולהקל על גישה מרחוק נוספת, מה שהופך אותה לאירוע הידוע הראשון שממנף את Action1 בצורה זו. טקטיקה זו, שהופעלה בעבר על ידי מפעילי Conti , מראה את ההתפתחות וההסתגלות של פושעי סייבר המנצלים את הרבגוניות של תוכנות RMM לגיטימיות כמו Action1 כדי לבצע את הפעילויות הזדוניות שלהם.

פעולה 1 מאבק בשימוש זדוני

Action1 מטפל באופן פעיל בסוגיית מוצר הניטור והניהול מרחוק (RMM) שלהם מנוצל לרעה על ידי מפעילי תוכנות כופר. החברה הטמיעה שדרוגי אבטחה שונים כדי להילחם בשימוש הזדוני בפלטפורמה שלהם, תוך מתן פתרונות יעילים לניהול מרחוק לבסיס המשתמשים שלהם.

שימוש בשדרוגי אבטחה, סינון AI

אחד מאמצעי האבטחה המיושמת על ידי Action1 הוא השימוש בסינון AI. טכנולוגיה זו סורקת את פעילות המשתמשים לאיתור דפוסי התנהגות חשודים ומזהה ביעילות חשבונות שעלולים להיות זדוניים. על ידי מינוף יכולות בינה מלאכותית, Action1 שואפת לצמצם את הסיכון לניצול הפלטפורמה שלהם על ידי גורמי איומים עבור התקפות כופר.

זן תוכנת הכופר של מונטי

Monti הוא זן חדש יחסית של תוכנת כופר שנחשב על ידי מומחים כגרסה חדשה יותר של משפחת Conti . הזן הזה נצפה באמצעות טקטיקות שהפכו את קודמו, Conti, לאיום משמעותי במרחב הקיברנטי.

גרסה חדשה יותר של משפחת קונטי

מונטי ירש רבות מהטקטיקות שהפכו את קונטי לאיום רציני , כולל שימוש לרעה בתוכנת ניהול מרחוק כדי ליזום התקפות כופר. מפעילי תוכנת הכופר של Monti הוכיחו את עצמם כבעלי יכולת הסתגלות באימוץ גישות מוצלחות של משפחת Conti.

שימוש לרעה בתוכנת ניהול מרחוק

קונטי נודע לשמצה בזכות ניצול תוכנות לגיטימיות לניהול מרחוק, כגון AnyDesk, כדי להשיג גישה לא מורשית לרשתות ולהקל על התקפותיהן. מונטי נקט בגישה דומה, עם תקריות אחרונות שכללו ניצול לרעה של Action1 RMM, המשמש את ספקי השירותים המנוהלים לניהול נקודות קצה מרחוק ברשתות לקוחות.

קישור אפשרי בין כנופיות קונטי ומונטי

הקשר המדויק בין מפעילי תוכנות הכופר של Conti ומונטי עדיין לא ברור. עם זאת, קווי הדמיון בטקטיקות, בטכניקות ובנהלים שלהם מרמזים שייתכן שהפושעים מאחורי מונטי הושפעו או קשורים ישירות לכנופיית קונטי. ללא קשר לקשר, השילוב של מונטי בין זן של תוכנת כופר עם טקטיקות מוכחות מהווה איום משמעותי על הארגונים והמערכות שלהם.