Ransomware operatori ļaunprātīgi izmanto Action1 RMM
Tādi attālās uzraudzības un pārvaldības (RMM) rīki kā Action1 RMM arvien vairāk ir kļuvuši par pievilcīgu izvēli pārvaldītajiem pakalpojumu sniedzējiem (MSP) un viņu klientu bāzei, jo tie ļauj attālināti pārvaldīt galapunktus klientu tīklos, tostarp ielāpu pārvaldību, drošības programmatūras instalēšanu un traucējummeklēšana. Diemžēl šo rīku iespējas ir pievērsušas arī draudu dalībnieku uzmanību, kuri tagad tos ļaunprātīgi izmanto, lai kompromitētu korporatīvos tīklus un saglabātu neatlaidību.
Satura rādītājs
Apdraudētāji, kas kompromitē korporatīvos tīklus
Nesenie drošības firmu ziņojumi un pētnieku tvīti ir atklājuši Action1 RMM ļaunprātīgu izmantošanu izspiedējvīrusu uzbrukumos. Izmantojot Action1, apdraudējuma dalībnieki var izpildīt komandas, skriptus un bināros failus, lai novērstu ļaunprātīgas programmatūras celmus apdraudētajās iekārtās. Lai veiktu šīs darbības, platformā ir jāizveido "politika" vai "lietotne", kas norāda uz ļaunprātīgu izmantošanu, ja izpildes laikā tiek atklāta komandrinda.
Reaģējot uz šo problēmu, Action1 ir ieviesusi drošības jauninājumus, piemēram, AI filtrēšanu, lai skenētu lietotāju darbības, lai noteiktu aizdomīgus uzvedības modeļus, atklātu potenciāli ļaunprātīgus kontus un brīdinātu savu īpašo drošības komandu turpmākai izmeklēšanai.
Pierādījumi, kas atbalsta Kostas tvītu
Brīvprātīgo analītiķu grupas The DFIR Report loceklis Kostas tviterī rakstīja par izspiedējvīrusu operatoriem, kuri ļaunprātīgi izmanto Action1 RMM platformu, uzsverot iespējamo risku palielināt uzbrukumus, izmantojot šo sistēmu. Lai apstiprinātu šos apgalvojumus, ir nepieciešami papildu pierādījumi, lai sniegtu skaidrāku izpratni par situāciju.
TTP, kas atgādina BlackBerry incidentu reaģēšanas komandas izmeklēšanu
Papildu pierādījumi, kas apstiprina Kostas tvītu, nāk no BlackBerry Incident Response komandas izmeklēšanas par lietu, kas saistīta ar Monti ransomware. Šajā gadījumā apdraudējuma dalībnieki izmantoja Log4Shell ievainojamību , lai ielauztos klienta VMware Horizon virtualizācijas sistēmā. Uzbrucēji šifrēja lietotāju galddatorus un serverus, un jo īpaši viņi arī lejupielādēja un instalēja divus attālās uzraudzības un uzturēšanas (RMM) aģentus, tostarp Action1.
Pētnieki uzskata, ka uzbrucēji izmantoja RMM programmatūru, lai nodrošinātu noturību tīklā un atvieglotu papildu attālo piekļuvi, padarot to par pirmo zināmo incidentu, kas šādā veidā izmanto Action1. Šī taktika, ko iepriekš izmantoja Conti operatori , parāda kibernoziedznieku attīstību un pielāgošanos, izmantojot likumīgas RMM programmatūras, piemēram, Action1, daudzpusību, lai veiktu savas ļaunprātīgās darbības.
1. darbība Ļaunprātīgas lietošanas apkarošana
Action1 aktīvi risina jautājumu par to, ka izspiedējvīrusu operatori ļaunprātīgi izmanto savu attālās uzraudzības un pārvaldības (RMM) produktu. Uzņēmums ir ieviesis dažādus drošības jauninājumus, lai cīnītos pret savas platformas ļaunprātīgu izmantošanu, vienlaikus nodrošinot lietotāju bāzei efektīvus attālās pārvaldības risinājumus.
Izmantojot drošības jauninājumus, AI filtrēšanu
Viens no Action1 ieviestajiem drošības pasākumiem ir AI filtrēšanas izmantošana. Šī tehnoloģija skenē lietotāju darbības, meklējot aizdomīgus uzvedības modeļus, un efektīvi atklāj potenciāli ļaunprātīgus kontus. Izmantojot mākslīgā intelekta iespējas, Action1 mērķis ir mazināt risku, ka viņu platformu izmantos izspiedējvīrusu uzbrukumiem.
Monti Ransomware celms
Monti ir salīdzinoši jauns ransomware celms, ko eksperti uzskata par jaunāku Conti saimes variantu. Šis celms ir novērots, izmantojot taktiku, kas padarīja tā priekšgājēju Conti par būtisku apdraudējumu kibertelpā.
Jaunāks Conti ģimenes variants
Monti ir mantojis daudzas taktikas, kas padarīja Conti par nopietnu apdraudējumu , tostarp attālās pārvaldības programmatūras ļaunprātīgu izmantošanu, lai ierosinātu izspiedējvīrusu uzbrukumus. Monti ransomware operatori ir pierādījuši, ka spēj pielāgoties, pieņemot veiksmīgas pieejas, ko izmanto Conti ģimene.
Attālās pārvaldības programmatūras ļaunprātīga izmantošana
Conti bija bēdīgi slavens ar likumīgas attālās pārvaldības programmatūras, piemēram, AnyDesk, izmantošanu, lai iegūtu nesankcionētu piekļuvi tīkliem un atvieglotu to uzbrukumus. Monti ir ievērojis līdzīgu pieeju ar nesenajiem incidentiem, kas saistīti ar Action1 RMM ļaunprātīgu izmantošanu, ko pārvaldītie pakalpojumu sniedzēji izmanto attālai galapunktu pārvaldībai klientu tīklos.
Iespējamā saikne starp Conti un Monti bandām
Precīza saikne starp Conti un Monti ransomware operatoriem joprojām nav skaidra. Tomēr viņu taktikas, tehnikas un procedūru līdzības liecina, ka noziedzniekus, kas atrodas aiz Monti, iespējams, ietekmēja Conti banda vai tie ir tieši saistīti ar to. Neatkarīgi no savienojuma Monti izpirkuma programmatūras celma kombinācija ar pārbaudītu taktiku rada ievērojamus draudus uzņēmumiem un to sistēmām.