Ransomware अपरेटरहरू दुरुपयोग कार्य1 RMM
Action1 RMM जस्ता रिमोट निगरानी र व्यवस्थापन (RMM) उपकरणहरू व्यवस्थित सेवा प्रदायकहरू (MSPs) र तिनीहरूको ग्राहक आधारका लागि बढ्दो रूपमा आकर्षक छनोट भएका छन्, किनभने तिनीहरूले प्याच व्यवस्थापन, सुरक्षा सफ्टवेयर स्थापना, र लगायत ग्राहक नेटवर्कहरूमा अन्त बिन्दुहरूको रिमोट व्यवस्थापनलाई अनुमति दिन्छ। समस्या निवारण। दुर्भाग्यवश, यी उपकरणहरूको क्षमताहरूले खतरा अभिनेताहरूको ध्यान पनि खिचेको छ, जसले अब उनीहरूलाई कर्पोरेट नेटवर्कहरू सम्झौता गर्न र दृढता कायम राख्न दुरुपयोग गरिरहेका छन्।
सामग्रीको तालिका
कर्पोरेट नेटवर्कमा सम्झौता गर्ने अभिनेताहरूलाई धम्की दिनुहोस्
सुरक्षा फर्महरूबाट भर्खरका रिपोर्टहरू र अनुसन्धानकर्ताहरूका ट्वीटहरूले ransomware आक्रमणहरूमा Action1 RMM को दुरुपयोगमा प्रकाश पारेका छन्। Action1 को प्रयोग गरेर, खतरा अभिनेताहरूले कमाण्डहरू, स्क्रिप्टहरू, र बाइनरीहरू कार्यान्वयन गर्न सक्छन् सम्झौता गरिएका मेसिनहरूमा मालवेयर स्ट्रेनहरू छोड्न। यी कार्यहरूको लागि प्लेटफर्म भित्र "नीति" वा "एप" सिर्जना गर्न आवश्यक छ, कार्यान्वयनको क्रममा कमाण्ड लाइनमा पत्ता लाग्दा दुरुपयोगको संकेत दिँदै।
मुद्दाको जवाफमा, Action1 ले सुरक्षा अपग्रेडहरू लागू गरेको छ जस्तै व्यवहारको संदिग्ध ढाँचाहरूको लागि प्रयोगकर्ता गतिविधि स्क्यान गर्न, सम्भावित रूपमा खराब खाताहरू पत्ता लगाउन, र थप अनुसन्धानको लागि तिनीहरूको समर्पित सुरक्षा टोलीलाई सचेत गर्न AI फिल्टरिङ।
कोस्टासको ट्वीटलाई समर्थन गर्ने प्रमाण
स्वयंसेवक विश्लेषक समूहको सदस्य द DFIR रिपोर्ट, कोस्टासले ransomware अपरेटरहरूले Action1 RMM प्लेटफर्मको दुरुपयोग गर्ने बारे ट्वीट गरे, यो प्रणाली प्रयोग गरेर बढ्दो आक्रमणको सम्भावित जोखिमलाई हाइलाइट गर्दै। यी दावीहरूलाई प्रमाणित गर्न, परिस्थितिको स्पष्ट बुझाइ प्रदान गर्न थप प्रमाण आवश्यक छ।
ब्ल्याकबेरी घटना प्रतिक्रिया टोलीको अनुसन्धानसँग मिल्दोजुल्दो TTPs
कोस्टासको ट्वीटलाई समर्थन गर्ने थप प्रमाणहरू ब्ल्याकबेरी इन्सिडेन्ट रेस्पोन्स टोलीको मोन्टी ransomware सम्बन्धी मुद्दाको अनुसन्धानबाट आउँछ। यस उदाहरणमा, धम्की अभिनेताहरूले ग्राहकको VMware Horizon भर्चुअलाइजेशन प्रणालीमा घुसाउन Log4Shell जोखिमको शोषण गरे। आक्रमणकारीहरूले प्रयोगकर्ताको डेस्कटप र सर्भरहरू इन्क्रिप्ट गरे, र विशेष गरी, तिनीहरूले एक्शन1 सहित दुई रिमोट निगरानी र मर्मतसम्भार (RMM) एजेन्टहरू डाउनलोड र स्थापना गरे।
अन्वेषकहरूले विश्वास गर्छन् कि RMM सफ्टवेयर आक्रमणकारीहरूले नेटवर्क भित्र दृढता स्थापित गर्न र थप रिमोट पहुँचलाई सुविधा दिन प्रयोग गरेको थियो, यो यस तरिकाले Action1 को लाभ उठाउने पहिलो ज्ञात घटना हो। यो कार्यनीति, पहिले Conti अपरेटरहरू द्वारा नियोजित, साइबर अपराधीहरूको विकास र अनुकूलन देखाउँछ Action1 जस्ता वैध RMM सफ्टवेयरको बहुमुखी प्रतिभाको शोषण तिनीहरूको दुर्भावनापूर्ण गतिविधिहरू सञ्चालन गर्न।
Action1 खराब प्रयोग विरुद्ध लड्न
Action1 सक्रिय रूपमा तिनीहरूको रिमोट निगरानी र व्यवस्थापन (RMM) उत्पादन ransomware अपरेटरहरू द्वारा दुरुपयोग भइरहेको मुद्दालाई सम्बोधन गर्दैछ। कम्पनीले अझै पनि आफ्नो प्रयोगकर्ता आधारमा कुशल रिमोट व्यवस्थापन समाधानहरू प्रदान गर्दा तिनीहरूको प्लेटफर्मको दुर्भावनापूर्ण प्रयोगलाई लड्न विभिन्न सुरक्षा अपग्रेडहरू लागू गरेको छ।
सुरक्षा अपग्रेडहरू, एआई फिल्टरिङ रोजगार
Action1 द्वारा लागू गरिएको सुरक्षा उपायहरू मध्ये एक AI फिल्टरिंगको प्रयोग हो। यो प्रविधिले व्यवहारको संदिग्ध ढाँचाहरूको लागि प्रयोगकर्ता गतिविधि स्क्यान गर्दछ र प्रभावकारी रूपमा सम्भावित खराब खाताहरू पत्ता लगाउँदछ। AI क्षमताहरू प्रयोग गरेर, Action1 ले ransomware आक्रमणहरूको लागि खतरा अभिनेताहरूद्वारा शोषण गर्ने तिनीहरूको प्लेटफर्मको जोखिमलाई कम गर्ने लक्ष्य राख्छ।
मोन्टी रान्समवेयर स्ट्रेन
मोन्टी अपेक्षाकृत नयाँ ransomware स्ट्रेन हो जसलाई विशेषज्ञहरूले Conti परिवारको नयाँ संस्करणको रूपमा मान्छन्। यो तनाव रणनीतिहरू प्रयोग गरेर अवलोकन गरिएको छ जसले यसको पूर्ववर्ती, कोन्टीलाई साइबरस्पेसमा महत्त्वपूर्ण खतरा बनायो।
Conti परिवारको नयाँ संस्करण
मोन्टीले धेरै रणनीतिहरू वंशानुगत रूपमा पाएका छन् जसले कन्टीलाई गम्भीर खतरा बनायो , जसमा ransomware आक्रमणहरू सुरु गर्न रिमोट व्यवस्थापन सफ्टवेयरको दुरुपयोग समावेश छ। मोन्टी ransomware अपरेटरहरू Conti परिवार द्वारा नियोजित सफल दृष्टिकोण अपनाउने मा अनुकूलन योग्य साबित भएको छ।
रिमोट म्यानेजमेन्ट सफ्टवेयरको दुरुपयोग
Conti वैध रिमोट म्यानेजमेन्ट सफ्टवेयरको शोषणको लागि कुख्यात थियो, जस्तै AnyDesk, नेटवर्कहरूमा अनाधिकृत पहुँच प्राप्त गर्न र तिनीहरूको आक्रमणलाई सहज बनाउन। मोन्टीले एक समान दृष्टिकोण पछ्याएको छ, हालैका घटनाहरू Action1 RMM को दुरुपयोग सहित, जुन ग्राहक नेटवर्कहरूमा रिमोट एन्डपोइन्ट व्यवस्थापनको लागि व्यवस्थित सेवा प्रदायकहरूद्वारा प्रयोग गरिन्छ।
Conti र Monti Gangs बीच सम्भावित लिङ्क
Conti र Monti ransomware अपरेटरहरू बीचको सही लिङ्क अस्पष्ट रहन्छ। यद्यपि, तिनीहरूको कार्यनीति, प्रविधि र कार्यविधिमा समानताले मोन्टीको पछाडिका अपराधीहरू कोन्टी गिरोहबाट प्रभावित वा प्रत्यक्ष रूपमा सम्बन्धित हुनसक्छन् भनी सुझाव दिन्छ। जडानको बाबजुद, मोन्टीको ransomware स्ट्रेनको सिद्ध रणनीतिहरूको संयोजनले उद्यमहरू र तिनीहरूको प्रणालीहरूको लागि महत्त्वपूर्ण खतरा निम्त्याउँछ।