Operadores de Ransomware Abusando do Action1 RMM
As ferramentas de Monitoramento e Gerenciamento Remoto (RMM), como o Action1 RMM, tornaram-se cada vez mais uma opção atraente para Provedores de Serviços Gerenciados (MSPs) e sua base de clientes, pois permitem o gerenciamento remoto de terminais em redes de clientes, incluindo gerenciamento de correções, instalação de software de segurança e solução de problemas. Infelizmente, os recursos dessas ferramentas também chamaram a atenção dos agentes de ameaças, que agora estão abusando deles para comprometer redes corporativas e manter persistência.
Índice
Autores de Ameaças que Comprometem Redes Corporativas
Relatórios recentes de empresas de segurança e tweets de pesquisadores lançaram luz sobre o abuso do Action1 RMM em ataques de ransomware. Usando o Action1, os agentes de ameaças podem executar comandos, scripts e binários para descartar tensões de malware nas máquinas comprometidas. Essas ações requerem a criação de uma "política" ou um "app" dentro da plataforma, dando indicação de uso indevido quando detectado na linha de comando durante a execução.
Em resposta ao problema, o Action1 implementou atualizações de segurança, como filtragem de IA, para verificar a atividade do usuário em busca de padrões suspeitos de comportamento, detectar contas potencialmente maliciosas e alertar sua equipe de segurança dedicada para uma investigação mais aprofundada.
Evidências que Apóiam o Tweet de Kostas
Um membro do grupo de analistas voluntários The DFIR Report, Kostas, twittou sobre operadores de ransomware que abusam da plataforma Action1 RMM, destacando o risco em potencial do aumento de ataques usando esse sistema. Para validar essas alegações, evidências adicionais são necessárias para fornecer uma compreensão mais clara da situação.
TTPs Semelhantes à Investigação da Equipe do BlackBerry Incident Response
Outras evidências que apóiam o tweet de Kostas vêm da investigação da equipe do BlackBerry Incident Response de um caso envolvendo o Monti Ransomware. Nesse caso, os agentes de ameaças exploraram a vulnerabilidade Log4Shell para invadir o sistema de virtualização VMware Horizon de um cliente. Os invasores criptografaram os desktops e servidores dos usuários e, principalmente, também baixaram e instalaram dois agentes de Monitoramento e Manutenção Remotos (RMM), incluindo o Action1.
Os pesquisadores acreditam que o software RMM foi usado pelos invasores para estabelecer persistência na rede e facilitar o acesso remoto adicional, tornando-o o primeiro incidente conhecido a alavancar o Action1 dessa maneira. Essa tática, anteriormente empregada pelos operadores do Conti, mostra a evolução e a adaptação dos cibercriminosos que exploram a versatilidade RMM do softwares legítimos, como o Action1, para realizar suas atividades maliciosas.
O Combate do Ação1 ao Seu Uso Malicioso
A Action1 está abordando ativamente o problema de seu produto de Monitoramento e Gerenciamento Remoto (RMM) ser abusado pelos operadores de ransomware. A empresa implementou várias atualizações de segurança para combater o uso mal-intencionado de sua plataforma, ao mesmo tempo em que fornece soluções eficientes de gerenciamento remoto para sua base de usuários.
Empregando Atualizações de Segurança e Filtragem de IA
Uma das medidas de segurança implementadas pelo Action1 é o uso de filtragem AI. Essa tecnologia verifica a atividade do usuário em busca de padrões suspeitos de comportamento e detecta efetivamente contas potencialmente maliciosas. Ao aproveitar os recursos de IA, o Action1 visa mitigar o risco de sua plataforma ser explorada por agentes de ameaças para ataques de ransomware.
A Tipo do Monti Ransomware
Monti é uma variedade relativamente nova de ransomware, considerada pelos especialistas como uma variante mais recente da família Conti. Esse tipo foi observado usando táticas que fizeram do seu predecessor, o Conti, uma ameaça significativa no ciberespaço.
A Variante Mais Recente da Família Conti
Monti herdou muitas das táticas que fizeram do Conti uma ameaça séria, incluindo o abuso de software de gerenciamento remoto para iniciar ataques de ransomware. Os operadores do Monti ransomware provaram ser adaptáveis na adoção das abordagens bem-sucedidas empregadas pela família Conti.
O Abuso do Software de Gerenciamento Remoto
O Conti era conhecido por explorar legítimos softwares de gerenciamento remoto, como o AnyDesk, para obter acesso não autorizado a redes e facilitar os seus ataques. O Monti seguiu uma abordagem semelhante, com incidentes recentes envolvendo o abuso do Action1 RMM, que é usado pelos provedores de serviços gerenciados para gerenciamento de terminais remotos em redes de clientes.
A Possível Ligação entre as Gangues Conti e Monti
A ligação exata entre os operadores do Conti Ransomware e o Monti permanece incerta. No entanto, as semelhanças em suas táticas, técnicas e procedimentos sugerem que os criminosos por trás do Monti podem ter sido influenciados ou estar diretamente relacionados à gangue do Conti. Independentemente da conexão, a combinação de Monti de uma variedade de ransomware com táticas comprovadas representa uma ameaça significativa para as empresas e seus sistemas.