Operatori di ransomware che abusano di Action1 RMM
Gli strumenti di monitoraggio e gestione remoti (RMM) come Action1 RMM sono diventati sempre più una scelta allettante per i fornitori di servizi gestiti (MSP) e la loro base di clienti, poiché consentono la gestione remota degli endpoint sulle reti dei clienti, compresa la gestione delle patch, l'installazione del software di sicurezza e Risoluzione dei problemi. Sfortunatamente, le capacità di questi strumenti hanno attirato l'attenzione anche degli attori delle minacce, che ora ne stanno abusando per compromettere le reti aziendali e mantenere la persistenza.
Sommario
Attori della minaccia che compromettono le reti aziendali
Rapporti recenti di società di sicurezza e tweet di ricercatori hanno fatto luce sull'abuso di Action1 RMM negli attacchi ransomware . Utilizzando Azione1, gli attori delle minacce possono eseguire comandi, script e file binari per eliminare i ceppi di malware sulle macchine compromesse. Queste azioni richiedono la creazione di una "policy" o di una "app" all'interno della piattaforma, che fornisca indicazioni di uso improprio quando rilevato sulla riga di comando durante l'esecuzione.
In risposta al problema, Action1 ha implementato aggiornamenti di sicurezza come il filtro AI per scansionare l'attività degli utenti alla ricerca di modelli di comportamento sospetti, rilevare account potenzialmente dannosi e avvisare il proprio team di sicurezza dedicato per ulteriori indagini.
Prove a sostegno del tweet di Kostas
Un membro del gruppo di analisti volontari The DFIR Report, Kostas, ha twittato sugli operatori di ransomware che abusano della piattaforma Action1 RMM, evidenziando il potenziale rischio di un aumento degli attacchi che utilizzano questo sistema. Per convalidare queste affermazioni, sono necessarie ulteriori prove per fornire una comprensione più chiara della situazione.
TTP simili all'indagine del BlackBerry Incident Response Team
Ulteriori prove a sostegno del tweet di Kostas provengono dall'indagine del team BlackBerry Incident Response su un caso che coinvolge il ransomware Monti. In questo caso, gli autori delle minacce hanno sfruttato la vulnerabilità Log4Shell per intromettersi nel sistema di virtualizzazione VMware Horizon di un cliente. Gli aggressori hanno crittografato i desktop e i server degli utenti e, in particolare, hanno anche scaricato e installato due agenti di monitoraggio e manutenzione remoti (RMM), tra cui Action1.
I ricercatori ritengono che il software RMM sia stato utilizzato dagli aggressori per stabilire la persistenza all'interno della rete e facilitare l'accesso remoto aggiuntivo, rendendolo il primo incidente noto a sfruttare Action1 in questo modo. Questa tattica, precedentemente impiegata dagli operatori Conti , mostra l'evoluzione e l'adattamento dei criminali informatici che sfruttano la versatilità del software RMM legittimo come Action1 per svolgere le loro attività dannose.
Azione1 Lotta all'uso dannoso
Action1 sta affrontando attivamente il problema dell'abuso del proprio prodotto di monitoraggio e gestione remota (RMM) da parte degli operatori di ransomware. L'azienda ha implementato vari aggiornamenti di sicurezza per combattere l'uso dannoso della propria piattaforma, pur continuando a fornire efficienti soluzioni di gestione remota alla propria base di utenti.
Utilizzo di aggiornamenti di sicurezza, filtro AI
Una delle misure di sicurezza implementate da Action1 è l'uso del filtro AI. Questa tecnologia esegue la scansione dell'attività dell'utente alla ricerca di modelli di comportamento sospetti e rileva in modo efficace gli account potenzialmente dannosi. Sfruttando le capacità dell'intelligenza artificiale, Action1 mira a mitigare il rischio che la propria piattaforma venga sfruttata da attori delle minacce per attacchi ransomware.
Il ceppo Monti Ransomware
Monti è un ceppo di ransomware relativamente nuovo considerato dagli esperti come una nuova variante della famiglia Conti . Questa tensione è stata osservata utilizzando tattiche che hanno reso il suo predecessore, Conti, una minaccia significativa nel cyberspazio.
Nuova variante della famiglia Conti
Monti ha ereditato molte delle tattiche che hanno reso Conti una seria minaccia , compreso l'abuso di software di gestione remota per avviare attacchi ransomware. Gli operatori del ransomware Monti hanno dimostrato di essere adattabili nell'adottare approcci di successo impiegati dalla famiglia Conti.
Abuso del software di gestione remota
Conti era noto per sfruttare software di gestione remota legittimo, come AnyDesk, per ottenere l'accesso non autorizzato alle reti e facilitare i loro attacchi. Monti ha seguito un approccio simile, con recenti incidenti che hanno comportato l'abuso di Action1 RMM, utilizzato dai fornitori di servizi gestiti per la gestione remota degli endpoint sulle reti dei clienti.
Possibile legame tra le bande Conti e Monti
Il collegamento esatto tra gli operatori di ransomware Conti e Monti rimane poco chiaro. Tuttavia, le somiglianze nelle loro tattiche, tecniche e procedure suggeriscono che i criminali dietro Monti potrebbero essere stati influenzati o essere direttamente collegati alla banda Conti. Indipendentemente dalla connessione, la combinazione di Monti di un ceppo ransomware con tattiche collaudate rappresenta una minaccia significativa per le imprese e i loro sistemi.