ការបញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
Computer Security ប្រតិបត្តិករ Ransomware បំពាន Action1 RMM

ប្រតិបត្តិករ Ransomware បំពាន Action1 RMM

ដោយ Mura ក្នុង Computer Security
បកប្រែទៅ៖
ភាសាខ្មែរ

ឧបករណ៍ត្រួតពិនិត្យ និងគ្រប់គ្រងពីចម្ងាយ (RMM) ដូចជា Action1 RMM បានក្លាយជាជម្រើសដ៏គួរឱ្យទាក់ទាញសម្រាប់អ្នកផ្តល់សេវាគ្រប់គ្រង (MSPs) និងអតិថិជនរបស់ពួកគេ ចាប់តាំងពីពួកគេអនុញ្ញាតឱ្យមានការគ្រប់គ្រងពីចម្ងាយនៃចំណុចបញ្ចប់នៅលើបណ្តាញអតិថិជន រួមទាំងការគ្រប់គ្រងបំណះ ការដំឡើងកម្មវិធីសុវត្ថិភាព និង ការ​ដោះស្រាយ​បញ្ហា។ ជាអកុសល សមត្ថភាពរបស់ឧបករណ៍ទាំងនេះក៏បានទាក់ទាញចំណាប់អារម្មណ៍របស់អ្នកដើរតួគំរាមកំហែងផងដែរ ដែលឥឡូវនេះកំពុងបំពានពួកគេដើម្បីសម្របសម្រួលបណ្តាញសាជីវកម្ម និងរក្សាភាពស្ថិតស្ថេរ។

តួអង្គគំរាមកំហែង សម្របសម្រួលបណ្តាញសាជីវកម្ម

របាយការណ៍ថ្មីៗពីក្រុមហ៊ុនសន្តិសុខ និង tweets ពីអ្នកស្រាវជ្រាវបានបំភ្លឺអំពីការរំលោភបំពាននៃ Action1 RMM ក្នុងការវាយប្រហារ ransomware ។ ដោយប្រើ Action1 តួអង្គគំរាមកំហែងអាចប្រតិបត្តិពាក្យបញ្ជា ស្គ្រីប និងប្រព័ន្ធគោលពីរដើម្បីទម្លាក់មេរោគ malware នៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។ សកម្មភាពទាំងនេះទាមទារឱ្យមានការបង្កើត "គោលការណ៍" ឬ "កម្មវិធី" នៅក្នុងវេទិកានេះ ដោយផ្តល់នូវការចង្អុលបង្ហាញពីការប្រើប្រាស់ខុសនៅពេលដែលបានរកឃើញនៅលើបន្ទាត់ពាក្យបញ្ជាកំឡុងពេលប្រតិបត្តិ។

ដើម្បីឆ្លើយតបទៅនឹងបញ្ហានេះ Action1 បានអនុវត្តការអាប់ដេតផ្នែកសុវត្ថិភាពដូចជា AI filtering ដើម្បីស្កេនសកម្មភាពអ្នកប្រើប្រាស់សម្រាប់គំរូនៃអាកប្បកិរិយាគួរឱ្យសង្ស័យ រកឃើញគណនីដែលមានគ្រោះថ្នាក់ និងជូនដំណឹងដល់ក្រុមសុវត្ថិភាពដែលខិតខំប្រឹងប្រែងរបស់ពួកគេសម្រាប់ការស៊ើបអង្កេតបន្ថែម។

ភស្តុតាងដែលគាំទ្រការ Tweet របស់ Kostas

សមាជិកម្នាក់នៃក្រុមអ្នកវិភាគស្ម័គ្រចិត្ត The DFIR Report, Kostas, tweeted អំពីប្រតិបត្តិករ ransomware បំពានលើវេទិកា Action1 RMM ដោយបង្ហាញពីហានិភ័យដែលអាចកើតមានសម្រាប់ការកើនឡើងនៃការវាយប្រហារដោយប្រើប្រព័ន្ធនេះ។ ដើម្បីធ្វើឱ្យការអះអាងទាំងនេះមានសុពលភាព ភស្តុតាងបន្ថែមគឺចាំបាច់ដើម្បីផ្តល់នូវការយល់ដឹងកាន់តែច្បាស់អំពីស្ថានភាព។

TTPs ស្រដៀងនឹងការស៊ើបអង្កេតរបស់ក្រុម BlackBerry Incident Response

ភ័ស្តុតាងបន្ថែមទៀតដែលគាំទ្រ Tweet របស់ Kostas មកពីការស៊ើបអង្កេតរបស់ក្រុម BlackBerry Incident Response លើករណីដែលពាក់ព័ន្ធនឹង Monti ransomware ។ ក្នុងករណីនេះ តួអង្គគំរាមកំហែងបានទាញយក ភាពងាយរងគ្រោះ Log4Shell ដើម្បីជ្រៀតចូលទៅក្នុងប្រព័ន្ធនិម្មិត VMware Horizon របស់អតិថិជន។ អ្នកវាយប្រហារបានអ៊ិនគ្រីបផ្ទៃតុ និងម៉ាស៊ីនមេអ្នកប្រើប្រាស់ ហើយជាពិសេសនោះ ពួកគេក៏បានទាញយក និងដំឡើងភ្នាក់ងារត្រួតពិនិត្យ និងថែទាំពីចម្ងាយ (RMM) ចំនួនពីរ រួមទាំង Action1 ផងដែរ។

អ្នកស្រាវជ្រាវជឿថាកម្មវិធី RMM ត្រូវបានប្រើប្រាស់ដោយអ្នកវាយប្រហារដើម្បីបង្កើតភាពជាប់លាប់នៅក្នុងបណ្តាញ និងជួយសម្រួលដល់ការចូលប្រើពីចម្ងាយបន្ថែម ដែលធ្វើឱ្យវាក្លាយជាឧប្បត្តិហេតុដែលគេស្គាល់ដំបូងគេក្នុងការប្រើសកម្មភាព 1 ក្នុងលក្ខណៈនេះ។ យុទ្ធសាស្ត្រនេះ ដែលពីមុនត្រូវបានប្រើប្រាស់ដោយ ប្រតិបត្តិករ Conti បង្ហាញពីការវិវត្ត និងការសម្របខ្លួននៃឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ដែលទាញយកប្រយោជន៍ពីកម្មវិធី RMM ស្របច្បាប់ដូចជា Action1 ដើម្បីអនុវត្តសកម្មភាពព្យាបាទរបស់ពួកគេ។

សកម្មភាព1 ប្រយុទ្ធប្រឆាំងនឹងការប្រើប្រាស់ព្យាបាទ

Action1 កំពុងដោះស្រាយយ៉ាងសកម្មនូវបញ្ហានៃផលិតផលការត្រួតពិនិត្យ និងគ្រប់គ្រងពីចម្ងាយ (RMM) របស់ពួកគេដែលត្រូវបានបំពានដោយប្រតិបត្តិករ ransomware ។ ក្រុមហ៊ុនបានអនុវត្តការអាប់ដេតសុវត្ថិភាពផ្សេងៗ ដើម្បីប្រយុទ្ធប្រឆាំងនឹងការប្រើប្រាស់ព្យាបាទនៃវេទិការបស់ពួកគេ ខណៈពេលដែលនៅតែផ្តល់នូវដំណោះស្រាយគ្រប់គ្រងពីចម្ងាយប្រកបដោយប្រសិទ្ធភាពដល់មូលដ្ឋានអ្នកប្រើប្រាស់របស់ពួកគេ។

ការប្រើប្រាស់ការអាប់ដេតសុវត្ថិភាព តម្រង AI

វិធានការសុវត្ថិភាពមួយដែលបានអនុវត្តដោយ Action1 គឺការប្រើប្រាស់តម្រង AI ។ បច្ចេកវិទ្យានេះស្កែនសកម្មភាពរបស់អ្នកប្រើប្រាស់សម្រាប់គំរូនៃអាកប្បកិរិយាគួរឱ្យសង្ស័យ និងរកឃើញគណនីដែលមានគ្រោះថ្នាក់ប្រកបដោយប្រសិទ្ធភាព។ តាមរយៈការប្រើប្រាស់សមត្ថភាព AI នោះ Action1 មានគោលបំណងកាត់បន្ថយហានិភ័យនៃវេទិការបស់ពួកគេដែលត្រូវបានកេងប្រវ័ញ្ចដោយតួអង្គគំរាមកំហែងសម្រាប់ការវាយប្រហារ ransomware ។

មេរោគ Monti Ransomware

Monti គឺជាប្រភេទមេរោគ ransomware ថ្មីដែលត្រូវបានពិចារណាដោយអ្នកជំនាញថាជាវ៉ារ្យ៉ង់ថ្មីនៃ គ្រួសារ Conti ។ ភាពតានតឹងនេះត្រូវបានគេសង្កេតឃើញដោយប្រើកលល្បិចដែលធ្វើឱ្យអ្នកកាន់តំណែងមុនរបស់ខ្លួនគឺ Conti ដែលជាការគំរាមកំហែងយ៉ាងសំខាន់នៅក្នុងអ៊ីនធឺណិត។

វ៉ារ្យ៉ង់ថ្មីនៃគ្រួសារ Conti

Monti បានទទួលមរតកនូវយុទ្ធសាស្ត្រជាច្រើនដែល ធ្វើឱ្យ Conti ក្លាយជាការគំរាមកំហែងយ៉ាងធ្ងន់ធ្ងរ រួមទាំងការបំពានកម្មវិធីគ្រប់គ្រងពីចម្ងាយ ដើម្បីចាប់ផ្តើមការវាយប្រហារ ransomware ។ ប្រតិបត្តិករ ransomware Monti បានបង្ហាញថាអាចសម្របខ្លួនបានក្នុងការទទួលយកវិធីសាស្រ្តជោគជ័យដែលប្រើប្រាស់ដោយគ្រួសារ Conti ។

ការបំពានកម្មវិធីគ្រប់គ្រងពីចម្ងាយ

Conti មានភាពល្បីល្បាញចំពោះការទាញយកកម្មវិធីគ្រប់គ្រងពីចម្ងាយស្របច្បាប់ដូចជា AnyDesk ដើម្បីទទួលបានការចូលប្រើបណ្តាញដោយគ្មានការអនុញ្ញាត និងសម្រួលដល់ការវាយប្រហាររបស់ពួកគេ។ Monti បានអនុវត្តតាមវិធីសាស្រ្តស្រដៀងគ្នានេះ ជាមួយនឹងឧប្បត្តិហេតុថ្មីៗនេះពាក់ព័ន្ធនឹងការបំពាននៃ Action1 RMM ដែលត្រូវបានប្រើដោយអ្នកផ្តល់សេវាដែលមានការគ្រប់គ្រងសម្រាប់ការគ្រប់គ្រងចំណុចបញ្ចប់ពីចម្ងាយនៅលើបណ្តាញអតិថិជន។

ទំនាក់ទំនងដែលអាចកើតមានរវាងក្រុម Conti និងក្រុម Monti

ទំនាក់ទំនងពិតប្រាកដរវាងប្រតិបត្តិករ ransomware Conti និង Monti នៅតែមិនច្បាស់លាស់។ ទោះជាយ៉ាងណាក៏ដោយ ភាពស្រដៀងគ្នានៃកលល្បិច បច្ចេកទេស និងនីតិវិធីរបស់ពួកគេបង្ហាញថា ឧក្រិដ្ឋជននៅពីក្រោយ Monti អាចត្រូវបានជះឥទ្ធិពល ឬទាក់ទងដោយផ្ទាល់ទៅនឹងក្រុម Conti។ ដោយមិនគិតពីការតភ្ជាប់ ការរួមបញ្ចូលគ្នារបស់ Monti នៃ ransomware strain ជាមួយនឹងយុទ្ធសាស្ត្រដែលបានបង្ហាញ បង្កការគំរាមកំហែងយ៉ាងសំខាន់ដល់សហគ្រាស និងប្រព័ន្ធរបស់ពួកគេ។

កំពុង​ផ្ទុក...