Операторы программ-вымогателей злоупотребляют Action1 RMM

Инструменты удаленного мониторинга и управления (RMM), такие как Action1 RMM, становятся все более привлекательными для поставщиков управляемых услуг (MSP) и их клиентской базы, поскольку они позволяют удаленно управлять конечными точками в клиентских сетях, включая управление исправлениями, установку программного обеспечения для обеспечения безопасности и Поиск неисправностей. К сожалению, возможности этих инструментов также привлекли внимание злоумышленников, которые теперь злоупотребляют ими, чтобы скомпрометировать корпоративные сети и сохранить устойчивость.

Злоумышленники, компрометирующие корпоративные сети

Недавние отчеты охранных фирм и твиты исследователей пролили свет на злоупотребление Action1 RMM в атаках программ-вымогателей . С помощью Action1 злоумышленники могут выполнять команды, сценарии и двоичные файлы, чтобы сбрасывать вредоносные программы на скомпрометированные машины. Эти действия требуют создания «политики» или «приложения» на платформе, указывающих на неправомерное использование при обнаружении в командной строке во время выполнения.

В ответ на эту проблему Action1 внедрила обновления безопасности, такие как фильтрация ИИ для сканирования активности пользователей на предмет подозрительных моделей поведения, обнаружения потенциально вредоносных учетных записей и оповещения своей специальной группы безопасности для дальнейшего расследования.

Доказательства, подтверждающие твит Костаса

Член группы волонтеров-аналитиков The DFIR Report Костас написал в Твиттере об операторах программ-вымогателей, злоупотребляющих платформой Action1 RMM, подчеркнув потенциальный риск увеличения числа атак с использованием этой системы. Для подтверждения этих утверждений необходимы дополнительные доказательства, обеспечивающие более четкое понимание ситуации.

TTP, напоминающие расследование группы реагирования на инциденты BlackBerry

Дополнительные доказательства, подтверждающие твит Костаса, получены в результате расследования группой реагирования на инциденты BlackBerry случая, связанного с программой-вымогателем Monti. В данном случае злоумышленники воспользовались уязвимостью Log4Shell , чтобы проникнуть в клиентскую систему виртуализации VMware Horizon. Злоумышленники зашифровали рабочие столы и серверы пользователей, а также загрузили и установили два агента удаленного мониторинга и обслуживания (RMM), включая Action1.

Исследователи полагают, что программное обеспечение RMM использовалось злоумышленниками для установления персистентности в сети и облегчения дополнительного удаленного доступа, что делает это первым известным инцидентом, в котором Action1 используется таким образом. Эта тактика, ранее использовавшаяся операторами Conti , демонстрирует эволюцию и адаптацию киберпреступников, использующих универсальность законного программного обеспечения RMM, такого как Action1, для осуществления своих злонамеренных действий.

Action1 Борьба со злонамеренным использованием

Action1 активно решает проблему, связанную с тем, что операторы программ-вымогателей злоупотребляют своим продуктом для удаленного мониторинга и управления (RMM). Компания реализовала различные обновления безопасности для борьбы со злонамеренным использованием своей платформы, при этом предоставляя своим пользователям эффективные решения для удаленного управления.

Использование обновлений безопасности, фильтрация ИИ

Одной из мер безопасности, реализованных Action1, является использование фильтрации AI. Эта технология сканирует действия пользователей на наличие подозрительных моделей поведения и эффективно обнаруживает потенциально вредоносные учетные записи. Используя возможности искусственного интеллекта, Action1 стремится снизить риск использования своей платформы злоумышленниками для атак программ-вымогателей.

Штамм программ-вымогателей Monti

Monti — это относительно новый вид программ-вымогателей, который эксперты считают новым вариантом семейства Conti . Этот штамм был обнаружен с использованием тактики, которая сделала его предшественника, Conti, серьезной угрозой в киберпространстве.

Новый вариант семейства Conti

Monti унаследовал многие тактики, которые сделали Conti серьезной угрозой , в том числе злоупотребление программным обеспечением удаленного управления для инициирования атак программ-вымогателей. Операторы программ-вымогателей Monti доказали свою способность адаптироваться, применяя успешные подходы, используемые семейством Conti.

Злоупотребление программным обеспечением для удаленного управления

Conti была известна тем, что использовала законное программное обеспечение для удаленного управления, такое как AnyDesk, для получения несанкционированного доступа к сетям и облегчения своих атак. Компания Monti применила аналогичный подход в связи с недавними инцидентами, связанными со злоупотреблением Action1 RMM, который используется поставщиками управляемых услуг для удаленного управления конечными точками в клиентских сетях.

Возможная связь между бандами Конти и Монти

Точная связь между операторами программ-вымогателей Conti и Monti остается неясной. Однако сходство в их тактике, методах и процедурах предполагает, что преступники, стоящие за Монти, могли находиться под влиянием банды Конти или иметь прямое отношение к ней. Независимо от связи, сочетание штамма программы-вымогателя Monti с проверенной тактикой представляет серьезную угрозу для предприятий и их систем.