रैंसमवेयर ऑपरेटर्स Action1 RMM का दुरुपयोग कर रहे हैं

रिमोट मॉनिटरिंग एंड मैनेजमेंट (आरएमएम) टूल्स जैसे एक्शन1 आरएमएम तेजी से प्रबंधित सेवा प्रदाताओं (एमएसपी) और उनके ग्राहक आधार के लिए एक आकर्षक विकल्प बन गया है, क्योंकि वे पैच प्रबंधन, सुरक्षा सॉफ्टवेयर इंस्टॉलेशन और ग्राहक नेटवर्क पर एंडपॉइंट्स के दूरस्थ प्रबंधन की अनुमति देते हैं। समस्या निवारण। दुर्भाग्य से, इन उपकरणों की क्षमताओं ने खतरे के अभिनेताओं का भी ध्यान आकर्षित किया है, जो अब कॉर्पोरेट नेटवर्क से समझौता करने और दृढ़ता बनाए रखने के लिए उनका दुरुपयोग कर रहे हैं।

कॉर्पोरेट नेटवर्क से समझौता करने वाले खतरे वाले अभिनेता

सुरक्षा फर्मों की हालिया रिपोर्ट और शोधकर्ताओं के ट्वीट ने रैंसमवेयर हमलों में एक्शन1 आरएमएम के दुरुपयोग पर प्रकाश डाला है। Action1 का उपयोग करते हुए, खतरे वाले अभिनेता समझौता किए गए मशीनों पर मैलवेयर के तनाव को कम करने के लिए कमांड, स्क्रिप्ट और बायनेरिज़ को निष्पादित कर सकते हैं। इन कार्रवाइयों के लिए प्लेटफ़ॉर्म के भीतर एक "नीति" या "ऐप" बनाने की आवश्यकता होती है, जो निष्पादन के दौरान कमांड लाइन पर पता चलने पर दुरुपयोग का संकेत देता है।

इस मुद्दे के जवाब में, Action1 ने व्यवहार के संदिग्ध पैटर्न के लिए उपयोगकर्ता गतिविधि को स्कैन करने, संभावित दुर्भावनापूर्ण खातों का पता लगाने और आगे की जांच के लिए अपनी समर्पित सुरक्षा टीम को सतर्क करने के लिए AI फ़िल्टरिंग जैसे सुरक्षा उन्नयन लागू किए हैं।

कोस्तस के ट्वीट का समर्थन करने वाले साक्ष्य

स्वयंसेवी विश्लेषक समूह द डीएफआईआर रिपोर्ट, कोस्टास के एक सदस्य ने रैंसमवेयर ऑपरेटरों द्वारा एक्शन1 आरएमएम प्लेटफॉर्म का दुरुपयोग करने के बारे में ट्वीट किया, इस प्रणाली का उपयोग करके हमलों के संभावित जोखिम को उजागर किया। इन दावों को मान्य करने के लिए, स्थिति की स्पष्ट समझ प्रदान करने के लिए अतिरिक्त साक्ष्य आवश्यक हैं।

टीटीपी ब्लैकबेरी इंसीडेंट रिस्पांस टीम की जांच से मिलते जुलते हैं

कोस्टास के ट्वीट का समर्थन करने वाले और सबूत ब्लैकबेरी इंसीडेंट रिस्पांस टीम द्वारा मोंटी रैंसमवेयर से जुड़े एक मामले की जांच से सामने आए हैं। इस उदाहरण में, थ्रेट एक्टर्स ने क्लाइंट के VMware होराइजन वर्चुअलाइजेशन सिस्टम में घुसपैठ करने के लिए Log4Shell भेद्यता का फायदा उठाया। हमलावरों ने उपयोगकर्ता के डेस्कटॉप और सर्वर को एन्क्रिप्ट किया, और विशेष रूप से, उन्होंने एक्शन1 सहित दो रिमोट मॉनिटरिंग एंड मेंटेनेंस (आरएमएम) एजेंटों को भी डाउनलोड और इंस्टॉल किया।

शोधकर्ताओं का मानना है कि RMM सॉफ़्टवेयर का उपयोग हमलावरों द्वारा नेटवर्क के भीतर दृढ़ता स्थापित करने और अतिरिक्त रिमोट एक्सेस की सुविधा के लिए किया गया था, जिससे यह इस तरह से Action1 का लाभ उठाने वाली पहली ज्ञात घटना बन गई। यह रणनीति, जो पहले कॉन्टी ऑपरेटरों द्वारा नियोजित की गई थी, साइबर अपराधियों के विकास और अनुकूलन को दर्शाता है जो उनकी दुर्भावनापूर्ण गतिविधियों को अंजाम देने के लिए एक्शन1 जैसे वैध आरएमएम सॉफ़्टवेयर की बहुमुखी प्रतिभा का शोषण करते हैं।

Action1 दुर्भावनापूर्ण उपयोग का मुकाबला करना

Action1 रैंसमवेयर ऑपरेटरों द्वारा उनके रिमोट मॉनिटरिंग एंड मैनेजमेंट (RMM) उत्पाद के दुरुपयोग के मुद्दे को सक्रिय रूप से संबोधित कर रहा है। कंपनी ने अपने प्लेटफ़ॉर्म के दुर्भावनापूर्ण उपयोग से निपटने के लिए विभिन्न सुरक्षा उन्नयन लागू किए हैं जबकि अभी भी अपने उपयोगकर्ता आधार को कुशल दूरस्थ प्रबंधन समाधान प्रदान कर रहे हैं।

रोजगार सुरक्षा उन्नयन, एआई फ़िल्टरिंग

Action1 द्वारा कार्यान्वित सुरक्षा उपायों में से एक AI फ़िल्टरिंग का उपयोग है। यह तकनीक व्यवहार के संदिग्ध पैटर्न के लिए उपयोगकर्ता गतिविधि को स्कैन करती है और संभावित रूप से दुर्भावनापूर्ण खातों का प्रभावी ढंग से पता लगाती है। एआई क्षमताओं का लाभ उठाकर, एक्शन1 का उद्देश्य रैंसमवेयर हमलों के लिए खतरे वाले अभिनेताओं द्वारा उनके प्लेटफॉर्म के शोषण के जोखिम को कम करना है।

द मोंटी रैंसमवेयर स्ट्रेन

मोंटी एक अपेक्षाकृत नया रैंसमवेयर स्ट्रेन है जिसे विशेषज्ञों द्वारा कोंटी परिवार के नए संस्करण के रूप में माना जाता है। इस तनाव को रणनीति का उपयोग करते हुए देखा गया है जिसने इसके पूर्ववर्ती, कोंटी को साइबर स्पेस में एक महत्वपूर्ण खतरा बना दिया।

कोंटी परिवार का नया संस्करण

मोंटी को विरासत में मिली ऐसी कई रणनीतियाँ हैं जो कोंटी को एक गंभीर खतरा बना देती हैं , जिसमें रैनसमवेयर हमलों को शुरू करने के लिए दूरस्थ प्रबंधन सॉफ़्टवेयर का दुरुपयोग शामिल है। मोंटी रैंसमवेयर संचालक कोंटी परिवार द्वारा नियोजित सफल दृष्टिकोण अपनाने में अनुकूल साबित हुए हैं।

दूरस्थ प्रबंधन सॉफ्टवेयर का दुरुपयोग

कोंटी वैध दूरस्थ प्रबंधन सॉफ़्टवेयर का शोषण करने के लिए कुख्यात था, जैसे कि AnyDesk, नेटवर्क तक अनधिकृत पहुँच प्राप्त करने और उनके हमलों को सुविधाजनक बनाने के लिए। मोंटी ने इसी तरह के दृष्टिकोण का पालन किया है, एक्शन1 आरएमएम के दुरुपयोग से जुड़ी हालिया घटनाओं के साथ, जिसका उपयोग प्रबंधित सेवा प्रदाताओं द्वारा ग्राहक नेटवर्क पर दूरस्थ समापन बिंदु प्रबंधन के लिए किया जाता है।

कोंटी और मोंटी गैंग के बीच संभावित लिंक

कोंटी और मोंटी रैंसमवेयर ऑपरेटरों के बीच सटीक लिंक अभी भी स्पष्ट नहीं है। हालांकि, उनकी रणनीति, तकनीक और प्रक्रियाओं में समानताएं बताती हैं कि मोंटी के पीछे के अपराधी कोंटी गिरोह से प्रभावित हो सकते हैं या सीधे संबंधित हो सकते हैं। कनेक्शन के बावजूद, मोंटी का रैंसमवेयर स्ट्रेन का सिद्ध रणनीति के साथ संयोजन उद्यमों और उनके सिस्टम के लिए एक महत्वपूर्ण खतरा बन गया है।