Pengendali Perisian Tebusan Menyalahguna Tindakan1 RMM
Alat pemantauan dan pengurusan jauh (RMM) seperti Action1 RMM semakin menjadi pilihan yang menarik untuk Pembekal Perkhidmatan Terurus (MSP) dan pangkalan pelanggan mereka, kerana ia membenarkan pengurusan jauh titik akhir pada rangkaian pelanggan, termasuk pengurusan tampung, pemasangan perisian keselamatan dan penyelesaian masalah. Malangnya, keupayaan alat ini juga telah menarik perhatian pelakon ancaman, yang kini menyalahgunakan mereka untuk menjejaskan rangkaian korporat dan mengekalkan kegigihan.
Isi kandungan
Ancaman Pelakon Mengkompromi Rangkaian Korporat
Laporan terbaru daripada firma keselamatan dan tweet daripada penyelidik telah menjelaskan tentang penyalahgunaan Action1 RMM dalam serangan ransomware . Menggunakan Action1, pelaku ancaman boleh melaksanakan arahan, skrip dan perduaan untuk menggugurkan ketegangan perisian hasad pada mesin yang terjejas. Tindakan ini memerlukan penciptaan "dasar" atau "apl" dalam platform, memberikan petunjuk penyalahgunaan apabila dikesan pada baris arahan semasa pelaksanaan.
Sebagai tindak balas kepada isu tersebut, Action1 telah melaksanakan peningkatan keselamatan seperti penapisan AI untuk mengimbas aktiviti pengguna untuk mengesan corak tingkah laku yang mencurigakan, mengesan akaun yang berpotensi berniat jahat dan memaklumkan pasukan keselamatan khusus mereka untuk siasatan lanjut.
Bukti Menyokong Tweet Kostas
Seorang ahli kumpulan penganalisis sukarelawan The DFIR Report, Kostas, menulis tweet tentang pengendali perisian tebusan menyalahgunakan platform Action1 RMM, menonjolkan potensi risiko peningkatan serangan menggunakan sistem ini. Untuk mengesahkan dakwaan ini, bukti tambahan diperlukan untuk memberikan pemahaman yang lebih jelas tentang situasi tersebut.
TTP Menyerupai Penyiasatan Pasukan Respons Insiden BlackBerry
Bukti lanjut yang menyokong tweet Kostas datang daripada penyiasatan pasukan BlackBerry Incident Response terhadap kes yang melibatkan perisian tebusan Monti. Dalam keadaan ini, pelaku ancaman mengeksploitasi kelemahan Log4Shell untuk menceroboh sistem virtualisasi VMware Horizon pelanggan. Penyerang menyulitkan desktop dan pelayan pengguna, dan terutamanya, mereka turut memuat turun dan memasang dua ejen pemantauan dan penyelenggaraan (RMM) jauh, termasuk Action1.
Penyelidik percaya perisian RMM telah digunakan oleh penyerang untuk mewujudkan kegigihan dalam rangkaian dan memudahkan akses jauh tambahan, menjadikannya insiden pertama yang diketahui untuk memanfaatkan Action1 dengan cara ini. Taktik ini, yang sebelum ini digunakan oleh pengendali Conti , menunjukkan evolusi dan penyesuaian penjenayah siber yang mengeksploitasi kepelbagaian perisian RMM yang sah seperti Action1 untuk menjalankan aktiviti jahat mereka.
Tindakan1 Membanteras Penggunaan Hasad
Action1 sedang aktif menangani isu produk pemantauan dan pengurusan jauh (RMM) mereka yang disalahgunakan oleh pengendali perisian tebusan. Syarikat itu telah melaksanakan pelbagai peningkatan keselamatan untuk memerangi penggunaan berniat jahat platform mereka sambil masih menyediakan penyelesaian pengurusan jauh yang cekap kepada pangkalan pengguna mereka.
Menggunakan Peningkatan Keselamatan, Penapisan AI
Salah satu langkah keselamatan yang dilaksanakan oleh Action1 ialah penggunaan penapisan AI. Teknologi ini mengimbas aktiviti pengguna untuk mengesan corak tingkah laku yang mencurigakan dan berkesan mengesan akaun yang berpotensi berniat jahat. Dengan memanfaatkan keupayaan AI, Action1 bertujuan untuk mengurangkan risiko platform mereka dieksploitasi oleh pelaku ancaman untuk serangan perisian tebusan.
Terikan Monti Ransomware
Monti ialah jenis perisian tebusan yang agak baharu yang dianggap oleh pakar sebagai varian baharu daripada keluarga Conti . Ketegangan ini telah diperhatikan menggunakan taktik yang menjadikan pendahulunya, Conti, ancaman ketara di alam siber.
Varian Baru Keluarga Conti
Monti telah mewarisi banyak taktik yang menjadikan Conti ancaman serius , termasuk penyalahgunaan perisian pengurusan jauh untuk memulakan serangan perisian tebusan. Pengendali perisian tebusan Monti telah terbukti boleh menyesuaikan diri dalam menerima pakai pendekatan berjaya yang digunakan oleh keluarga Conti.
Penyalahgunaan Perisian Pengurusan Jauh
Conti terkenal kerana mengeksploitasi perisian pengurusan jauh yang sah, seperti AnyDesk, untuk mendapatkan akses tanpa kebenaran kepada rangkaian dan memudahkan serangan mereka. Monti telah mengikuti pendekatan yang sama, dengan insiden baru-baru ini melibatkan penyalahgunaan Action1 RMM, yang digunakan oleh Penyedia Perkhidmatan Terurus untuk pengurusan titik akhir jauh pada rangkaian pelanggan.
Kemungkinan Hubungan Antara Geng Conti dan Monti
Pautan tepat antara pengendali perisian tebusan Conti dan Monti masih tidak jelas. Walau bagaimanapun, persamaan dalam taktik, teknik dan prosedur mereka menunjukkan bahawa penjenayah di belakang Monti mungkin telah dipengaruhi atau mempunyai kaitan secara langsung dengan kumpulan Conti. Tanpa mengira sambungannya, gabungan Monti daripada strain perisian tebusan dengan taktik yang terbukti menimbulkan ancaman besar kepada perusahaan dan sistem mereka.