Operateri ransomwarea zlorabe Action1 RMM
Alati za daljinski nadzor i upravljanje (RMM) kao što je Action1 RMM sve više postaju privlačan izbor za pružatelje upravljanih usluga (MSP) i njihovu korisničku bazu, budući da omogućuju daljinsko upravljanje krajnjim točkama na korisničkim mrežama, uključujući upravljanje zakrpama, instalaciju sigurnosnog softvera i rješavanje problema. Nažalost, mogućnosti ovih alata također su privukle pozornost aktera prijetnji, koji ih sada zlorabe kako bi ugrozili korporativne mreže i održali postojanost.
Sadržaj
Akteri prijetnje ugrožavaju korporativne mreže
Nedavna izvješća sigurnosnih tvrtki i tweetovi istraživača rasvijetlili su zlouporabu Action1 RMM-a u napadima ransomwarea . Korištenjem Action1 akteri prijetnji mogu izvršavati naredbe, skripte i binarne datoteke kako bi uklonili zlonamjerni softver na kompromitirana računala. Ove radnje zahtijevaju stvaranje "pravila" ili "aplikacije" unutar platforme, dajući naznaku zlouporabe kada se otkrije u naredbenom retku tijekom izvođenja.
Kao odgovor na problem, Action1 je implementirao sigurnosne nadogradnje kao što je AI filtriranje za skeniranje korisničke aktivnosti u potrazi za sumnjivim obrascima ponašanja, otkrivanje potencijalno zlonamjernih računa i upozoravanje njihovog posvećenog sigurnosnog tima na daljnju istragu.
Dokazi koji podupiru Kostasov tweet
Član dobrovoljne analitičarske skupine The DFIR Report, Kostas, tweetao je o operaterima ransomwarea koji zlorabe Action1 RMM platformu, ističući potencijalni rizik za povećane napade koji koriste ovaj sustav. Za potvrdu ovih tvrdnji potrebni su dodatni dokazi za jasnije razumijevanje situacije.
TTP-ovi koji podsjećaju na istragu tima za odgovor na incidente BlackBerryja
Daljnji dokazi koji podupiru Kostasov tweet dolaze iz istrage BlackBerry Incident Response tima o slučaju koji uključuje Monti ransomware. U ovom slučaju akteri prijetnje iskoristili su ranjivost Log4Shell za upad u klijentov virtualizacijski sustav VMware Horizon. Napadači su šifrirali radna računala i poslužitelje korisnika, a posebno su preuzeli i instalirali dva agenta za daljinsko praćenje i održavanje (RMM), uključujući Action1.
Istraživači vjeruju da su napadači koristili softver RMM za uspostavljanje postojanosti unutar mreže i omogućavanje dodatnog udaljenog pristupa, što ga čini prvim poznatim incidentom koji je iskoristio Action1 na ovaj način. Ova taktika, koju su prethodno koristili Conti operateri , pokazuje evoluciju i prilagodbu kibernetičkih kriminalaca koji iskorištavaju svestranost legitimnog RMM softvera kao što je Action1 za izvođenje svojih zlonamjernih aktivnosti.
Action1 Borba protiv zlonamjerne upotrebe
Action1 se aktivno bavi problemom zlouporabe svog proizvoda za daljinsko praćenje i upravljanje (RMM) od strane operatera ransomwarea. Tvrtka je implementirala različite sigurnosne nadogradnje kako bi se borila protiv zlonamjernog korištenja svoje platforme, istovremeno pružajući učinkovita rješenja za daljinsko upravljanje svojoj bazi korisnika.
Korištenje sigurnosnih nadogradnji, AI filtriranje
Jedna od sigurnosnih mjera koju implementira Action1 je korištenje AI filtriranja. Ova tehnologija skenira aktivnost korisnika u potrazi za sumnjivim obrascima ponašanja i učinkovito otkriva potencijalno zlonamjerne račune. Iskorištavanjem AI sposobnosti, Action1 ima za cilj ublažiti rizik da njihovu platformu iskoriste prijetnje za napade ransomwarea.
Sor Monti Ransomware
Monti je relativno nova vrsta ransomwarea koju stručnjaci smatraju novijom varijantom obitelji Conti . Ovaj soj je primijećen korištenjem taktike zbog koje je njegov prethodnik, Conti, postao značajna prijetnja u kibernetičkom prostoru.
Novija varijanta obitelji Conti
Monti je naslijedio mnoge taktike koje su Conti učinile ozbiljnom prijetnjom , uključujući zlouporabu softvera za daljinsko upravljanje za pokretanje napada ransomwarea. Montijevi operateri ransomwarea pokazali su se prilagodljivima u usvajanju uspješnih pristupa koje koristi obitelj Conti.
Zlouporaba softvera za daljinsko upravljanje
Conti je bio poznat po iskorištavanju legitimnog softvera za daljinsko upravljanje, poput AnyDeska, za dobivanje neovlaštenog pristupa mrežama i olakšavanje njihovih napada. Monti je slijedio sličan pristup, s nedavnim incidentima koji uključuju zlouporabu Action1 RMM-a, koji koriste upravljani pružatelji usluga za daljinsko upravljanje krajnjim točkama na korisničkim mrežama.
Moguća veza između bandi Conti i Monti
Točna veza između operatera ransomware programa Conti i Monti ostaje nejasna. Međutim, sličnosti u njihovim taktikama, tehnikama i postupcima sugeriraju da su kriminalci koji stoje iza Montija možda bili pod utjecajem ili su bili izravno povezani s bandom Conti. Bez obzira na vezu, Montijeva kombinacija soja ransomwarea s dokazanim taktikama predstavlja značajnu prijetnju poduzećima i njihovim sustavima.