Ransomware-kezelők visszaélnek Action1 RMM-vel

A távfelügyeleti és felügyeleti (RMM) eszközök, mint például az Action1 RMM, egyre vonzóbb választássá válnak a felügyelt szolgáltatók (MSP) és ügyfélbázisuk számára, mivel lehetővé teszik az ügyfélhálózatok végpontjainak távoli kezelését, beleértve a javítások kezelését, a biztonsági szoftverek telepítését és hibaelhárítás. Sajnos ezeknek az eszközöknek a képességei felkeltették a fenyegetés szereplőinek figyelmét is, akik most visszaélnek velük a vállalati hálózatok kompromittálására és a kitartás fenntartására.

A vállalati hálózatokat kompromittáló fenyegető szereplők

A biztonsági cégek legújabb jelentései és a kutatók tweetjei rávilágítottak az Action1 RMM-mel való visszaélésre zsarolóvírus- támadásokban. Az Action1 használatával a fenyegetés szereplői parancsokat, szkripteket és bináris fájlokat hajthatnak végre a rosszindulatú programok eltávolítása érdekében a feltört gépeken. Ezekhez a műveletekhez egy „házirend” vagy „alkalmazás” létrehozása szükséges a platformon belül, amely visszaélést jelez, ha a parancssorban végrehajtás közben észlelik.

A problémára válaszul az Action1 biztonsági frissítéseket, például mesterséges intelligencia szűrést vezetett be, hogy megvizsgálja a felhasználói tevékenységet gyanús viselkedési minták után, észlelje a potenciálisan rosszindulatú fiókokat, és figyelmeztesse a dedikált biztonsági csapatot a további vizsgálatra.

Bizonyítékok Kostas tweetjére

A The DFIR Report önkéntes elemzői csoport tagja, Kostas Twitteren arról írt, hogy a ransomware üzemeltetők visszaélnek az Action1 RMM platformmal, kiemelve a rendszer használatával megnövekedett támadások lehetséges kockázatát. Ezen állítások érvényesítéséhez további bizonyítékokra van szükség a helyzet világosabb megértéséhez.

TTP-k, amelyek hasonlítanak a BlackBerry Incident Response Team vizsgálatára

A Kostas tweetét alátámasztó további bizonyítékok a BlackBerry Incident Response csapatának egy Monti ransomware-rel kapcsolatos ügyben folytatott vizsgálatából származnak. Ebben az esetben a fenyegetés szereplői a Log4Shell sebezhetőségét kihasználva behatoltak az ügyfél VMware Horizon virtualizációs rendszerébe. A támadók titkosították a felhasználói asztalokat és szervereket, valamint két távoli megfigyelési és karbantartási (RMM) ügynököt is letöltöttek és telepítettek, köztük az Action1-et.

A kutatók úgy vélik, hogy a támadók az RMM-szoftvert használták a hálózaton belüli állandóság megteremtésére és a további távoli hozzáférés elősegítésére, így ez az első ismert incidens az Action1 ilyen módon történő kihasználásában. Ez a korábban a Conti üzemeltetői által alkalmazott taktika a kiberbűnözők fejlődését és alkalmazkodását mutatja be, akik kihasználják a legális RMM szoftverek, például az Action1 sokoldalúságát rosszindulatú tevékenységeik végrehajtására.

1. művelet A rosszindulatú használat elleni küzdelem

Az Action1 aktívan foglalkozik azzal a problémával, hogy távfelügyeleti és felügyeleti (RMM) termékükkel visszaélnek a zsarolóvírus-üzemeltetők. A vállalat különféle biztonsági frissítéseket vezetett be a platform rosszindulatú felhasználása elleni küzdelem érdekében, miközben továbbra is hatékony távoli felügyeleti megoldásokat kínál felhasználói bázisának.

Biztonsági frissítések, mesterséges intelligencia szűrés alkalmazása

Az Action1 által megvalósított egyik biztonsági intézkedés az AI-szűrés használata. Ez a technológia gyanús viselkedési mintákat keres a felhasználói tevékenységben, és hatékonyan észleli a potenciálisan rosszindulatú fiókokat. A mesterséges intelligencia képességeinek kihasználásával az Action1 célja, hogy csökkentse annak kockázatát, hogy platformjukat a fenyegetés szereplői ransomware támadásokra használják ki.

A Monti Ransomware törzs

A Monti egy viszonylag új zsarolóvírus-törzs, amelyet a szakértők a Conti család újabb változatának tekintenek. Ezt a törzset olyan taktikával figyelték meg, amely elődjét, a Conti-t jelentős fenyegetéssé tette a kibertérben.

A Conti család újabb változata

Monti sok olyan taktikát örökölt, amelyek Conti-t komoly fenyegetéssé tették , beleértve a távoli felügyeleti szoftverrel való visszaélést zsarolóvírus-támadások kezdeményezésére. A Monti ransomware szolgáltatók alkalmazkodóképesnek bizonyultak a Conti család által alkalmazott sikeres megközelítések elfogadásában.

Távkezelő szoftverrel való visszaélés

Conti hírhedt volt arról, hogy a legális távoli felügyeleti szoftvereket, például az AnyDesk-et használta ki, hogy illetéktelenül hozzáférjen a hálózatokhoz és megkönnyítse a támadásaikat. A Monti hasonló megközelítést követett, a közelmúltban történt incidensek az Action1 RMM-mel való visszaélések miatt, amelyeket a felügyelt szolgáltatók használnak távoli végpontkezelésre az ügyfélhálózatokon.

Lehetséges kapcsolat a Conti és a Monti Gangs között

A Conti és a Monti ransomware üzemeltetői közötti pontos kapcsolat továbbra is tisztázatlan. A taktikáik, technikáik és eljárásaik hasonlóságai azonban azt sugallják, hogy a Monti mögött álló bűnözőket befolyásolhatta a Conti banda, vagy közvetlen kapcsolatban állhattak vele. A kapcsolattól függetlenül a Monti által bevált taktikával kombinált ransomware törzs jelentős veszélyt jelent a vállalatokra és rendszereikre.