Ransomware-operatører misbruker handling1 RMM
Fjernovervåking og administrasjon (RMM)-verktøy som Action1 RMM har i økende grad blitt et tiltalende valg for Managed Service Providers (MSP-er) og deres kundebase, siden de tillater ekstern administrasjon av endepunkter på kundenettverk, inkludert patchadministrasjon, installasjon av sikkerhetsprogramvare, og feilsøking. Dessverre har egenskapene til disse verktøyene også fanget oppmerksomheten til trusselaktører, som nå misbruker dem for å kompromittere bedriftsnettverk og opprettholde utholdenhet.
Innholdsfortegnelse
Trusselaktører som kompromitterer bedriftsnettverk
Nylige rapporter fra sikkerhetsfirmaer og tweets fra forskere har kastet lys over misbruket av Action1 RMM i løsepenge- angrep. Ved å bruke Action1 kan trusselaktører utføre kommandoer, skript og binærfiler for å slippe skadelig programvare på kompromitterte maskiner. Disse handlingene krever opprettelse av en "policy" eller en "app" på plattformen, som gir indikasjon på misbruk når det oppdages på kommandolinjen under kjøring.
Som svar på problemet har Action1 implementert sikkerhetsoppgraderinger som AI-filtrering for å skanne brukeraktivitet for mistenkelige atferdsmønstre, oppdage potensielt skadelige kontoer og varsle deres dedikerte sikkerhetsteam for videre etterforskning.
Bevis som støtter Kostas sin tweet
Et medlem av den frivillige analytikergruppen The DFIR Report, Kostas, twitret om løsepengevareoperatører som misbruker Action1 RMM-plattformen, og fremhever den potensielle risikoen for økte angrep ved å bruke dette systemet. For å validere disse påstandene, er ytterligere bevis nødvendig for å gi en klarere forståelse av situasjonen.
TTP-er som ligner BlackBerry Incident Response Teams undersøkelse
Ytterligere bevis som støtter Kostas' tweet kommer fra BlackBerry Incident Response-teamets etterforskning av en sak som involverer Monti løsepengevare. I dette tilfellet utnyttet trusselaktørene Log4Shell-sårbarheten til å trenge inn i en klients VMware Horizon-virtualiseringssystem. Angriperne krypterte brukerstasjonære datamaskiner og servere, og spesielt lastet de også ned og installerte to agenter for ekstern overvåking og vedlikehold (RMM), inkludert Action1.
Forskere mener at RMM-programvaren ble brukt av angriperne for å etablere utholdenhet i nettverket og lette ytterligere ekstern tilgang, noe som gjør det til den første kjente hendelsen som utnytter Action1 på denne måten. Denne taktikken, som tidligere ble brukt av Conti-operatører , viser utviklingen og tilpasningen til nettkriminelle som utnytter allsidigheten til legitim RMM-programvare som Action1 for å utføre sine ondsinnede aktiviteter.
Handling 1 Bekjempe ondsinnet bruk
Action1 tar aktivt opp problemet med at produktet deres for fjernovervåking og administrasjon (RMM) blir misbrukt av løsepengevareoperatører. Selskapet har implementert ulike sikkerhetsoppgraderinger for å bekjempe ondsinnet bruk av plattformen deres, samtidig som de gir effektive fjernadministrasjonsløsninger til brukerbasen.
Bruker sikkerhetsoppgraderinger, AI-filtrering
Et av sikkerhetstiltakene implementert av Action1 er bruken av AI-filtrering. Denne teknologien skanner brukeraktivitet for mistenkelige atferdsmønstre og oppdager effektivt potensielt skadelige kontoer. Ved å utnytte AI-evner, har Action1 som mål å redusere risikoen for at plattformen deres blir utnyttet av trusselaktører for løsepengevareangrep.
Monti Ransomware-stammen
Monti er en relativt ny ransomware-stamme som av eksperter anses som en nyere variant av Conti-familien . Denne belastningen har blitt observert ved hjelp av taktikk som gjorde forgjengeren Conti til en betydelig trussel i cyberspace.
Nyere variant av Conti-familien
Monti har arvet mange av taktikkene som gjorde Conti til en alvorlig trussel , inkludert misbruk av fjernadministrasjonsprogramvare for å sette i gang løsepenge-angrep. Monti-ransomware- operatørene har vist seg å være tilpasningsdyktige når det gjelder å ta i bruk vellykkede tilnærminger brukt av Conti-familien.
Misbruk av fjernadministrasjonsprogramvare
Conti var beryktet for å utnytte legitim ekstern administrasjonsprogramvare, som AnyDesk, for å få uautorisert tilgang til nettverk og lette angrepene deres. Monti har fulgt en lignende tilnærming, med nylige hendelser som involverer misbruk av Action1 RMM, som brukes av Managed Service Providers for ekstern endepunktadministrasjon på kundenettverk.
Mulig kobling mellom Conti og Monti Gangs
Den nøyaktige koblingen mellom Conti- og Monti-ransomware-operatørene er fortsatt uklar. Likhetene i deres taktikk, teknikker og prosedyrer tyder imidlertid på at de kriminelle bak Monti kan ha blitt påvirket av eller være direkte relatert til Conti-gjengen. Uavhengig av sammenhengen, utgjør Montis kombinasjon av en løsepengevarestamme med utprøvde taktikker en betydelig trussel mot bedrifter og deres systemer.