Ransomware-operators maken misbruik van Action1 RMM
Tools voor bewaking en beheer op afstand (RMM) zoals Action1 RMM zijn steeds meer een aantrekkelijke keuze geworden voor Managed Service Providers (MSP's) en hun klantenbestand, omdat ze het beheer op afstand van eindpunten op klantnetwerken mogelijk maken, inclusief patchbeheer, installatie van beveiligingssoftware en probleemoplossen. Helaas hebben de mogelijkheden van deze tools ook de aandacht getrokken van bedreigingsactoren, die ze nu misbruiken om bedrijfsnetwerken te compromitteren en volharding te behouden.
Inhoudsopgave
Bedreigingsactoren die bedrijfsnetwerken compromitteren
Recente rapporten van beveiligingsbedrijven en tweets van onderzoekers hebben licht geworpen op het misbruik van Action1 RMM bij ransomware- aanvallen. Met behulp van Action1 kunnen bedreigingsactoren opdrachten, scripts en binaire bestanden uitvoeren om malware op gecompromitteerde machines te verwijderen. Deze acties vereisen de creatie van een "beleid" of een "app" binnen het platform, die een indicatie geeft van misbruik wanneer deze tijdens de uitvoering op de opdrachtregel wordt gedetecteerd.
Als reactie op het probleem heeft Action1 beveiligingsupgrades geïmplementeerd, zoals AI-filtering om gebruikersactiviteit te scannen op verdachte gedragspatronen, potentieel kwaadaardige accounts te detecteren en hun toegewijde beveiligingsteam te waarschuwen voor verder onderzoek.
Bewijs ter ondersteuning van de tweet van Kostas
Een lid van de vrijwillige analistengroep The DFIR Report, Kostas, tweette over ransomware-operators die het Action1 RMM-platform misbruikten, en benadrukte het potentiële risico op meer aanvallen met behulp van dit systeem. Om deze beweringen te valideren, is aanvullend bewijs nodig om een beter begrip van de situatie te geven.
TTP's die lijken op het onderzoek van het BlackBerry Incident Response Team
Verder bewijs ter ondersteuning van de tweet van Kostas komt uit het onderzoek van het BlackBerry Incident Response-team naar een zaak waarbij Monti-ransomware betrokken was. In dit geval misbruikten de bedreigingsactoren de Log4Shell-kwetsbaarheid om binnen te dringen in het VMware Horizon-virtualisatiesysteem van een klant. De aanvallers hebben de desktops en servers van gebruikers versleuteld, en met name hebben ze ook twee remote monitoring and maintenance (RMM)-agents gedownload en geïnstalleerd, waaronder Action1.
Onderzoekers denken dat de RMM-software door de aanvallers is gebruikt om persistentie binnen het netwerk tot stand te brengen en aanvullende toegang op afstand mogelijk te maken, waardoor dit het eerste bekende incident is waarbij Action1 op deze manier wordt gebruikt. Deze tactiek, die eerder door Conti-operators werd gebruikt, toont de evolutie en aanpassing van cybercriminelen die gebruikmaken van de veelzijdigheid van legitieme RMM-software zoals Action1 om hun kwaadaardige activiteiten uit te voeren.
Actie 1 Bestrijding van kwaadaardig gebruik
Action1 pakt actief het probleem aan van hun product voor monitoring en beheer op afstand (RMM) dat wordt misbruikt door ransomware-operators. Het bedrijf heeft verschillende beveiligingsupgrades geïmplementeerd om het kwaadwillende gebruik van hun platform tegen te gaan en tegelijkertijd efficiënte oplossingen voor beheer op afstand aan hun gebruikersbestand te bieden.
Gebruikmakend van beveiligingsupgrades, AI-filtering
Een van de beveiligingsmaatregelen die door Action1 zijn geïmplementeerd, is het gebruik van AI-filtering. Deze technologie scant gebruikersactiviteit op verdachte gedragspatronen en detecteert effectief mogelijk schadelijke accounts. Door gebruik te maken van AI-mogelijkheden, wil Action1 het risico verkleinen dat hun platform wordt misbruikt door bedreigingsactoren voor ransomware-aanvallen.
De Monti Ransomware-stam
Monti is een relatief nieuwe ransomware-stam die door experts wordt beschouwd als een nieuwere variant van de Conti-familie . Deze soort is waargenomen met behulp van tactieken die zijn voorganger, Conti, tot een aanzienlijke bedreiging in de cyberspace maakten.
Nieuwere variant van de Conti-familie
Monti heeft veel van de tactieken geërfd die van Conti een serieuze bedreiging maakten , waaronder het misbruik van software voor beheer op afstand om ransomware-aanvallen uit te voeren. De Monti-ransomware- operators hebben bewezen flexibel te zijn in het toepassen van succesvolle benaderingen die door de Conti-familie worden gebruikt.
Misbruik van software voor beheer op afstand
Conti was berucht vanwege het misbruiken van legitieme software voor beheer op afstand, zoals AnyDesk, om ongeoorloofde toegang tot netwerken te krijgen en hun aanvallen te vergemakkelijken. Monti heeft een soortgelijke aanpak gevolgd, met recente incidenten met betrekking tot misbruik van Action1 RMM, dat wordt gebruikt door Managed Service Providers voor eindpuntbeheer op afstand op klantnetwerken.
Mogelijke link tussen Conti en Monti Gangs
De exacte link tussen de exploitanten van de ransomware Conti en Monti blijft onduidelijk. De overeenkomsten in hun tactieken, technieken en procedures suggereren echter dat de criminelen achter Monti mogelijk zijn beïnvloed door of rechtstreeks verband houden met de Conti-bende. Ongeacht de connectie vormt Monti's combinatie van een ransomware-stam met bewezen tactieken een aanzienlijke bedreiging voor ondernemingen en hun systemen.