Operátori ransomvéru zneužívajú Action1 RMM

Nástroje vzdialeného monitorovania a správy (RMM), ako je Action1 RMM, sa čoraz viac stávajú príťažlivou voľbou pre poskytovateľov spravovaných služieb (MSP) a ich zákaznícku základňu, pretože umožňujú vzdialenú správu koncových bodov v zákazníckych sieťach vrátane správy opráv, inštalácie bezpečnostného softvéru a riešenie problémov. Schopnosti týchto nástrojov, žiaľ, upútali aj pozornosť aktérov hrozieb, ktorí ich teraz zneužívajú na kompromitovanie podnikových sietí a udržiavanie vytrvalosti.

Aktéri hrozieb ohrozujúci podnikové siete

Nedávne správy od bezpečnostných firiem a tweety od výskumníkov vrhli svetlo na zneužívanie Action1 RMM pri útokoch ransomware . Pomocou Action1 môžu aktéri hrozieb spúšťať príkazy, skripty a binárne súbory, aby znížili napätie škodlivého softvéru na napadnutých počítačoch. Tieto akcie vyžadujú vytvorenie „zásady“ alebo „aplikácie“ v rámci platformy, ktorá signalizuje zneužitie, keď sa zistí na príkazovom riadku počas vykonávania.

V reakcii na tento problém spoločnosť Action1 implementovala bezpečnostné inovácie, ako je filtrovanie AI, aby skenovala aktivitu používateľov, či neobsahuje podozrivé vzorce správania, zisťuje potenciálne škodlivé účty a upozorňuje svoj vyhradený bezpečnostný tím na ďalšie vyšetrovanie.

Dôkazy podporujúce Kostasov Tweet

Člen skupiny dobrovoľných analytikov The DFIR Report, Kostas, tweetoval o prevádzkovateľoch ransomvéru, ktorí zneužívajú platformu Action1 RMM, pričom zdôraznil potenciálne riziko zvýšených útokov pomocou tohto systému. Na potvrdenie týchto tvrdení sú potrebné ďalšie dôkazy, ktoré umožnia jasnejšie pochopenie situácie.

TTP pripomínajúce vyšetrovanie tímu BlackBerry Incident Response Team

Ďalšie dôkazy podporujúce Kostasov tweet pochádzajú z vyšetrovania prípadu Monti ransomware tímom BlackBerry Incident Response. V tomto prípade aktéri hrozby zneužili zraniteľnosť Log4Shell na prienik do klientskeho virtualizačného systému VMware Horizon. Útočníci zašifrovali používateľské desktopy a servery a najmä si stiahli a nainštalovali dvoch agentov vzdialeného monitorovania a údržby (RMM), vrátane Action1.

Výskumníci sa domnievajú, že softvér RMM útočníci použili na zabezpečenie pretrvávania v rámci siete a uľahčenie dodatočného vzdialeného prístupu, čo z neho robí prvý známy incident, ktorý využíva Action1 týmto spôsobom. Táto taktika, ktorú predtým používali operátori Conti , ukazuje vývoj a adaptáciu kyberzločincov, ktorí využívajú všestrannosť legitímneho softvéru RMM, ako je Action1, na vykonávanie svojich škodlivých aktivít.

Action1 Boj proti škodlivému používaniu

Action1 aktívne rieši problém ich produktu na vzdialené monitorovanie a správu (RMM), ktorý zneužívajú operátori ransomvéru. Spoločnosť implementovala rôzne bezpečnostné aktualizácie na boj proti škodlivému používaniu ich platformy a zároveň stále poskytovala efektívne riešenia vzdialenej správy svojej používateľskej základni.

Využíva upgrady zabezpečenia, filtrovanie AI

Jedným z bezpečnostných opatrení implementovaných Action1 je použitie filtrovania AI. Táto technológia kontroluje aktivitu používateľov na podozrivé vzorce správania a efektívne deteguje potenciálne škodlivé účty. Využitím schopností AI sa Action1 snaží zmierniť riziko, že ich platformu zneužijú aktéri hrozieb na ransomvérové útoky.

Kmeň Monti Ransomware

Monti je relatívne nový kmeň ransomvéru, ktorý odborníci považujú za novší variant rodiny Conti . Tento kmeň bol pozorovaný pomocou taktiky, vďaka ktorej sa jeho predchodca Conti stal významnou hrozbou v kybernetickom priestore.

Novší variant rodiny Conti

Monti zdedil mnoho taktík, ktoré z Contiho urobili vážnu hrozbu , vrátane zneužívania softvéru na vzdialenú správu na iniciovanie útokov ransomware. Operátori ransomvéru Monti sa ukázali ako prispôsobiví pri osvojovaní si úspešných prístupov, ktoré využíva rodina Conti.

Zneužívanie softvéru na vzdialenú správu

Spoločnosť Conti bola známa tým, že využívala legitímny softvér na vzdialenú správu, ako je AnyDesk, na získanie neoprávneného prístupu k sieťam a uľahčenie ich útokov. Monti zvolil podobný prístup s nedávnymi incidentmi zahŕňajúcimi zneužitie Action1 RMM, ktorý používajú poskytovatelia spravovaných služieb na vzdialenú správu koncových bodov v zákazníckych sieťach.

Možné prepojenie medzi Conti a Monti Gangs

Presné prepojenie medzi prevádzkovateľmi ransomvéru Conti a Monti zostáva nejasné. Podobnosti v ich taktike, technikách a postupoch však naznačujú, že zločinci stojaci za Montim mohli byť ovplyvnení gangom Conti alebo byť s ním priamo spriaznení. Bez ohľadu na spojenie, Montiho kombinácia ransomvérového kmeňa s osvedčenými taktikami predstavuje významnú hrozbu pre podniky a ich systémy.