Ransomware operatoriai piktnaudžiauja Action1 RMM

Nuotolinio stebėjimo ir valdymo (RMM) įrankiai, tokie kaip Action1 RMM, vis labiau tampa patraukliu pasirinkimu valdomiems paslaugų teikėjams (MSP) ir jų klientų bazei, nes jie leidžia nuotoliniu būdu valdyti galutinius taškus klientų tinkluose, įskaitant pataisų valdymą, saugos programinės įrangos diegimą ir Problemų sprendimas. Deja, šių įrankių galimybės taip pat patraukė grėsmių veikėjų dėmesį, kurie dabar jomis piktnaudžiauja siekdami pažeisti įmonių tinklus ir išlaikyti atkaklumą.

Grėsmės veikėjai, kompromituojantys įmonių tinklus

Naujausi saugumo firmų pranešimai ir tyrėjų tviteriai atskleidė piktnaudžiavimą „Action1 RMM“ išpirkos reikalaujančių programų atakose. Naudodami Action1 grėsmės veikėjai gali vykdyti komandas, scenarijus ir dvejetainius failus, kad pašalintų kenkėjiškų programų įtampą pažeistuose įrenginiuose. Šiems veiksmams reikia sukurti „politiką“ arba „programėlę“ platformoje, rodančią netinkamą naudojimą, kai komandų eilutėje aptinkama vykdymo metu.

Reaguodama į šią problemą, „Action1“ įdiegė saugos atnaujinimus, pvz., AI filtravimą, kad nuskaitytų naudotojų veiklą, ar nėra įtartinų elgesio modelių, aptiktų galimai kenkėjiškas paskyras ir įspėtų savo specialią saugos komandą atlikti tolesnį tyrimą.

Įrodymai, patvirtinantys Kosto tviterį

Savanorių analitikų grupės „The DFIR Report“ narys Kostas socialiniame tinkle „Twitter“ paskelbė apie „ransomware“ operatorius, piktnaudžiaujančius „Action1 RMM“ platforma, pabrėždamas galimą pavojų, kad naudojant šią sistemą padaugės atakų. Norint patvirtinti šiuos teiginius, reikia papildomų įrodymų, kad būtų galima aiškiau suprasti situaciją.

TTP, panašios į „BlackBerry“ incidentų grupės tyrimą

Kiti įrodymai, patvirtinantys Kosto tviterį, gaunami iš BlackBerry Incident Response komandos tyrimo dėl bylos, susijusios su Monti ransomware. Šiuo atveju grėsmės veikėjai pasinaudojo „Log4Shell“ pažeidžiamumu , kad įsiveržtų į kliento „VMware Horizon“ virtualizacijos sistemą. Užpuolikai užšifravo vartotojų stalinius kompiuterius ir serverius, taip pat atsisiuntė ir įdiegė du nuotolinio stebėjimo ir priežiūros (RMM) agentus, įskaitant „Action1“.

Tyrėjai mano, kad užpuolikai naudojo RMM programinę įrangą, kad užtikrintų pastovumą tinkle ir palengvintų papildomą nuotolinę prieigą, todėl tai pirmasis žinomas incidentas, kai tokiu būdu buvo panaudotas „Action1“. Ši taktika, kurią anksčiau taikė „Conti“ operatoriai , rodo kibernetinių nusikaltėlių, naudojančių teisėtos RMM programinės įrangos, tokios kaip „Action1“, universalumą, evoliuciją ir prisitaikymą, kad galėtų vykdyti savo kenkėjišką veiklą.

1 veiksmas. Kova su kenkėjišku naudojimu

„Action1“ aktyviai sprendžia problemą dėl nuotolinio stebėjimo ir valdymo (RMM) produkto, kuriuo piktnaudžiauja išpirkos reikalaujančių programų operatoriai. Bendrovė įdiegė įvairius saugos atnaujinimus, siekdama kovoti su kenkėjišku savo platformos naudojimu, tuo pat metu teikdama efektyvius nuotolinio valdymo sprendimus savo vartotojų bazei.

Naudojant saugos atnaujinimus, dirbtinio intelekto filtravimą

Viena iš „Action1“ įdiegtų saugumo priemonių yra dirbtinio intelekto filtravimo naudojimas. Ši technologija nuskaito vartotojų veiklą, ar nėra įtartinų elgesio modelių, ir efektyviai aptinka galimai kenkėjiškas paskyras. Išnaudodama dirbtinio intelekto galimybes, „Action1“ siekia sumažinti riziką, kad jų platformą išnaudos grėsmės veikėjai išpirkos reikalaujančių programų atakoms.

Monti Ransomware padermė

Monti yra palyginti nauja išpirkos reikalaujanti programa, kurią ekspertai laiko naujesne Conti šeimos versija. Ši padermė buvo pastebėta naudojant taktiką, dėl kurios jos pirmtakas „Conti“ tapo rimta grėsme kibernetinėje erdvėje.

Naujesnis Conti šeimos variantas

Monti paveldėjo daugelį taktikų, dėl kurių Conti buvo rimta grėsmė , įskaitant piktnaudžiavimą nuotolinio valdymo programine įranga, siekiant inicijuoti išpirkos reikalaujančių programų atakas. Įrodė, kad „Monti ransomware“ operatoriai gali pritaikyti sėkmingus Conti šeimos taikomus metodus.

Piktnaudžiavimas nuotolinio valdymo programine įranga

Conti buvo pagarsėjęs tuo, kad naudojo teisėtą nuotolinio valdymo programinę įrangą, tokią kaip AnyDesk, kad gautų neteisėtą prieigą prie tinklų ir palengvintų jų atakas. Monti laikėsi panašaus požiūrio – pastaruoju metu įvyko incidentų, susijusių su piktnaudžiavimu Action1 RMM, kurį valdomi paslaugų teikėjai naudoja nuotoliniam galinių taškų valdymui klientų tinkluose.

Galimas ryšys tarp Conti ir Monti gaujų

Tikslus ryšys tarp Conti ir Monti ransomware operatorių lieka neaiškus. Tačiau jų taktikos, technikos ir procedūrų panašumai rodo, kad Monti nusikaltėliai galėjo turėti įtakos Conti gaujai arba būti su ja tiesiogiai susiję. Nepriklausomai nuo ryšio, Monti išpirkos reikalaujančios programinės įrangos padermė ir patikrinta taktika kelia didelę grėsmę įmonėms ir jų sistemoms.