Operatorii de ransomware abuzează de Action1 RMM
Instrumentele de monitorizare și management de la distanță (RMM) precum Action1 RMM au devenit din ce în ce mai mult o alegere atrăgătoare pentru furnizorii de servicii gestionate (MSP) și pentru baza lor de clienți, deoarece permit gestionarea de la distanță a punctelor terminale din rețelele clienților, inclusiv gestionarea corecțiilor, instalarea software-ului de securitate și depanare. Din păcate, capacitățile acestor instrumente au atras și atenția actorilor amenințărilor, care acum le abuzează pentru a compromite rețelele corporative și a menține persistența.
Cuprins
Amenințări care compromit rețelele corporative
Rapoartele recente ale firmelor de securitate și tweet-urile cercetătorilor au făcut lumină asupra abuzului de Action1 RMM în atacurile ransomware . Folosind Action1, actorii amenințărilor pot executa comenzi, scripturi și binare pentru a elimina tulpinile de malware pe mașinile compromise. Aceste acțiuni necesită crearea unei „politici” sau a unei „aplicații” în cadrul platformei, dând indicații de utilizare greșită atunci când sunt detectate pe linia de comandă în timpul execuției.
Ca răspuns la această problemă, Action1 a implementat upgrade de securitate, cum ar fi filtrarea AI, pentru a scana activitatea utilizatorilor pentru modele de comportament suspecte, pentru a detecta conturi potențial rău intenționate și pentru a alerta echipa de securitate dedicată pentru investigații suplimentare.
Dovezi care susțin tweetul lui Kostas
Un membru al grupului de analiști voluntari The DFIR Report, Kostas, a postat pe Twitter despre operatorii de ransomware care abuzează de platforma Action1 RMM, evidențiind riscul potențial de creștere a atacurilor folosind acest sistem. Pentru a valida aceste afirmații, sunt necesare dovezi suplimentare pentru a oferi o înțelegere mai clară a situației.
TTP-uri asemănătoare investigației echipei de răspuns la incidente BlackBerry
Alte dovezi care susțin tweetul lui Kostas provin din investigația echipei BlackBerry Incident Response asupra unui caz care implică ransomware Monti. În acest caz, actorii amenințărilor au exploatat vulnerabilitatea Log4Shell pentru a pătrunde în sistemul de virtualizare VMware Horizon al unui client. Atacatorii au criptat desktop-urile și serverele utilizatorilor și, în special, au descărcat și instalat și doi agenți de monitorizare și întreținere la distanță (RMM), inclusiv Action1.
Cercetătorii cred că software-ul RMM a fost folosit de atacatori pentru a stabili persistența în rețea și pentru a facilita accesul suplimentar la distanță, făcându-l primul incident cunoscut care a folosit Action1 în acest mod. Această tactică, folosită anterior de operatorii Conti , arată evoluția și adaptarea infractorilor cibernetici care exploatează versatilitatea software-ului RMM legitim precum Action1 pentru a-și desfășura activitățile rău intenționate.
Acțiune 1 Combaterea utilizării rău intenționate
Action1 abordează în mod activ problema ca produsul lor de monitorizare și management de la distanță (RMM) să fie abuzat de operatorii de ransomware. Compania a implementat diverse actualizări de securitate pentru a combate utilizarea rău intenționată a platformei sale, oferind în același timp soluții eficiente de management de la distanță pentru baza de utilizatori.
Folosind upgrade de securitate, filtrare AI
Una dintre măsurile de securitate implementate de Action1 este utilizarea de filtrare AI. Această tehnologie scanează activitatea utilizatorilor pentru modele de comportament suspecte și detectează eficient conturile potențial rău intenționate. Prin valorificarea capabilităților AI, Action1 își propune să atenueze riscul ca platforma lor să fie exploatată de către actori amenințări pentru atacuri ransomware.
Tulpina Monti Ransomware
Monti este o tulpină de ransomware relativ nouă, care este considerată de experți o variantă mai nouă a familiei Conti . Această tulpină a fost observată folosind tactici care au făcut din predecesorul său, Conti, o amenințare semnificativă în spațiul cibernetic.
Varianta mai nouă a familiei Conti
Monti a moștenit multe dintre tacticile care au făcut din Conti o amenințare serioasă , inclusiv abuzul de software de management de la distanță pentru a iniția atacuri ransomware. Operatorii de ransomware Monti s-au dovedit a fi adaptabili în adoptarea abordărilor de succes folosite de familia Conti.
Abuzul de software de management de la distanță
Conti era renumit pentru exploatarea software-ului legitim de management de la distanță, cum ar fi AnyDesk, pentru a obține acces neautorizat la rețele și a facilita atacurile acestora. Monti a urmat o abordare similară, cu incidente recente care implică abuzul de Action1 RMM, care este utilizat de către furnizorii de servicii gestionate pentru gestionarea de la distanță a punctelor finale în rețelele clienților.
Posibilă legătură între Conti și Monti Gangs
Legătura exactă dintre operatorii de ransomware Conti și Monti rămâne neclară. Cu toate acestea, asemănările în tacticile, tehnicile și procedurile lor sugerează că infractorii din spatele lui Monti ar fi fost influențați de gașca Conti sau să fie direct legați de aceasta. Indiferent de conexiune, combinația lui Monti de o tulpină de ransomware cu tactici dovedite reprezintă o amenințare semnificativă pentru întreprinderi și sistemele acestora.