Operatorzy ransomware nadużywają Action1 RMM
Narzędzia do zdalnego monitorowania i zarządzania (RMM), takie jak Action1 RMM, stają się coraz bardziej atrakcyjnym wyborem dla dostawców usług zarządzanych (MSP) i ich klientów, ponieważ umożliwiają zdalne zarządzanie punktami końcowymi w sieciach klientów, w tym zarządzanie poprawkami, instalowanie oprogramowania zabezpieczającego i rozwiązywanie problemów. Niestety, możliwości tych narzędzi zwróciły również uwagę cyberprzestępców, którzy teraz wykorzystują je do włamywania się do sieci korporacyjnych i utrzymywania trwałości.
Spis treści
Aktorzy zagrażający sieciom korporacyjnym
Ostatnie raporty firm bezpieczeństwa i tweety badaczy rzuciły światło na nadużycia Action1 RMM w atakach ransomware . Korzystając z Action1, cyberprzestępcy mogą wykonywać polecenia, skrypty i pliki binarne, aby przenosić złośliwe oprogramowanie na zainfekowane maszyny. Działania te wymagają stworzenia „polityki” lub „aplikacji” w ramach platformy, wskazującej na nadużycia po wykryciu ich w wierszu poleceń podczas wykonywania.
W odpowiedzi na ten problem firma Action1 wdrożyła ulepszenia zabezpieczeń, takie jak filtrowanie AI w celu skanowania aktywności użytkowników w poszukiwaniu podejrzanych wzorców zachowań, wykrywania potencjalnie złośliwych kont i ostrzegania dedykowanego zespołu ds. bezpieczeństwa w celu dalszego zbadania.
Dowody potwierdzające tweet Kostasa
Kostas, członek grupy analityków-wolontariuszy The DFIR Report, napisał na Twitterze o operatorach oprogramowania ransomware nadużywających platformy Action1 RMM, podkreślając potencjalne ryzyko zwiększonej liczby ataków przy użyciu tego systemu. Aby zweryfikować te twierdzenia, konieczne są dodatkowe dowody, aby lepiej zrozumieć sytuację.
TTP przypominające dochodzenie zespołu reagowania na incydenty BlackBerry
Dalsze dowody potwierdzające tweet Kostasa pochodzą z dochodzenia zespołu BlackBerry Incident Response w sprawie dotyczącej oprogramowania ransomware Monti. W tym przypadku cyberprzestępcy wykorzystali lukę w zabezpieczeniach Log4Shell , aby włamać się do systemu wirtualizacji VMware Horizon klienta. Osoby atakujące zaszyfrowały pulpity i serwery użytkowników, a także pobrały i zainstalowały dwóch agentów zdalnego monitorowania i konserwacji (RMM), w tym Action1.
Badacze uważają, że oprogramowanie RMM zostało wykorzystane przez osoby atakujące w celu ustanowienia trwałości w sieci i ułatwienia dodatkowego dostępu zdalnego, co czyni go pierwszym znanym incydentem wykorzystującym działanie Action1 w ten sposób. Ta taktyka, stosowana wcześniej przez operatorów Conti , pokazuje ewolucję i adaptację cyberprzestępców wykorzystujących wszechstronność legalnego oprogramowania RMM, takiego jak Action1, do przeprowadzania złośliwych działań.
Działanie1 Zwalczanie złośliwego użycia
Action1 aktywnie zajmuje się problemem nadużywania ich produktu do zdalnego monitorowania i zarządzania (RMM) przez operatorów oprogramowania ransomware. Firma wdrożyła różne aktualizacje zabezpieczeń, aby zwalczać złośliwe wykorzystanie swojej platformy, jednocześnie zapewniając swoim użytkownikom wydajne rozwiązania do zdalnego zarządzania.
Stosowanie aktualizacji zabezpieczeń, filtrowanie AI
Jednym ze środków bezpieczeństwa wdrożonych przez Action1 jest zastosowanie filtrowania AI. Ta technologia skanuje aktywność użytkowników pod kątem podejrzanych wzorców zachowań i skutecznie wykrywa potencjalnie złośliwe konta. Wykorzystując możliwości sztucznej inteligencji, Action1 ma na celu ograniczenie ryzyka wykorzystania ich platformy przez cyberprzestępców do ataków ransomware.
Szczep Monti Ransomware
Monti to stosunkowo nowa odmiana oprogramowania ransomware, która jest uważana przez ekspertów za nowszą odmianę rodziny Conti . Szczep ten został zaobserwowany przy użyciu taktyk, dzięki którym jego poprzednik, Conti, stał się poważnym zagrożeniem w cyberprzestrzeni.
Nowszy wariant rodziny Conti
Monti odziedziczył wiele taktyk, które uczyniły Conti poważnym zagrożeniem , w tym nadużywanie oprogramowania do zdalnego zarządzania w celu inicjowania ataków ransomware. Operatorzy oprogramowania ransomware Monti okazali się elastyczni w przyjmowaniu skutecznych podejść stosowanych przez rodzinę Conti.
Nadużywanie oprogramowania do zdalnego zarządzania
Conti był znany z wykorzystywania legalnego oprogramowania do zdalnego zarządzania, takiego jak AnyDesk, w celu uzyskania nieautoryzowanego dostępu do sieci i ułatwienia ich ataków. Monti zastosował podobne podejście, z niedawnymi incydentami związanymi z nadużyciami Action1 RMM, który jest używany przez dostawców usług zarządzanych do zdalnego zarządzania punktami końcowymi w sieciach klientów.
Możliwy związek między gangami Conti i Monti
Dokładny związek między operatorami ransomware Conti i Monti pozostaje niejasny. Jednak podobieństwa w ich taktyce, technikach i procedurach sugerują, że przestępcy stojący za Montim mogli być pod wpływem gangu Conti lub być z nim bezpośrednio związani. Niezależnie od połączenia, połączenie odmiany ransomware przez Montiego ze sprawdzoną taktyką stanowi poważne zagrożenie dla przedsiębiorstw i ich systemów.