Operaterji izsiljevalske programske opreme zlorabljajo Action1 RMM
Orodja za daljinsko spremljanje in upravljanje (RMM), kot je Action1 RMM, so vse bolj postala privlačna izbira za ponudnike upravljanih storitev (MSP) in njihovo bazo strank, saj omogočajo oddaljeno upravljanje končnih točk v omrežjih strank, vključno z upravljanjem popravkov, namestitvijo varnostne programske opreme in odpravljanje težav. Na žalost so zmožnosti teh orodij pritegnile tudi pozornost akterjev groženj, ki jih zdaj zlorabljajo za ogrožanje omrežij podjetij in ohranjanje obstojnosti.
Kazalo
Akterji groženj, ki ogrožajo korporativna omrežja
Nedavna poročila varnostnih podjetij in tviti raziskovalcev so osvetlili zlorabo Action1 RMM pri napadih z izsiljevalsko programsko opremo . Z uporabo Action1 lahko akterji groženj izvajajo ukaze, skripte in binarne datoteke, da odstranijo napetosti zlonamerne programske opreme na ogroženih računalnikih. Ta dejanja zahtevajo ustvarjanje "politike" ali "aplikacije" znotraj platforme, ki nakazuje zlorabo, ko je zaznana v ukazni vrstici med izvajanjem.
Kot odgovor na to težavo je Action1 uvedel varnostne nadgradnje, kot je filtriranje z umetno inteligenco, da skenira dejavnosti uporabnikov za sumljive vzorce vedenja, odkrije potencialno zlonamerne račune in opozori njihovo namensko varnostno ekipo za nadaljnjo preiskavo.
Dokazi, ki podpirajo Kostasov tvit
Član skupine prostovoljnih analitikov The DFIR Report, Kostas, je tvitnil o operaterjih izsiljevalske programske opreme, ki zlorabljajo platformo Action1 RMM, in poudaril potencialno tveganje za povečane napade z uporabo tega sistema. Za potrditev teh trditev so potrebni dodatni dokazi za jasnejše razumevanje situacije.
TTP-ji, ki spominjajo na preiskavo skupine za odzivanje na incidente BlackBerry
Nadaljnji dokazi, ki podpirajo Kostasov tvit, prihajajo iz preiskave skupine BlackBerry Incident Response o primeru, ki vključuje izsiljevalsko programsko opremo Monti. V tem primeru so akterji groženj izkoristili ranljivost Log4Shell za vdor v odjemalčev virtualizacijski sistem VMware Horizon. Napadalci so šifrirali uporabniška namizja in strežnike, predvsem pa so prenesli in namestili dva agenta za oddaljeno spremljanje in vzdrževanje (RMM), vključno z Action1.
Raziskovalci verjamejo, da so napadalci programsko opremo RMM uporabili za vzpostavitev obstojnosti v omrežju in olajšanje dodatnega oddaljenega dostopa, zaradi česar je to prvi znani incident, ki je na ta način izkoristil Action1. Ta taktika, ki so jo prej uporabljali operaterji Conti , prikazuje razvoj in prilagajanje kibernetskih kriminalcev, ki izkoriščajo vsestranskost zakonite programske opreme RMM, kot je Action1, za izvajanje svojih zlonamernih dejavnosti.
Action1 Boj proti zlonamerni uporabi
Action1 se aktivno ukvarja s tem, da operaterji izsiljevalske programske opreme zlorabljajo njihov produkt za daljinsko spremljanje in upravljanje (RMM). Podjetje je uvedlo različne varnostne nadgradnje za boj proti zlonamerni uporabi svoje platforme, hkrati pa še vedno zagotavlja učinkovite rešitve za upravljanje na daljavo svoji bazi uporabnikov.
Uporaba varnostnih nadgradenj, filtriranje AI
Eden od varnostnih ukrepov, ki jih izvaja Action1, je uporaba filtriranja AI. Ta tehnologija pregleduje dejavnosti uporabnikov za sumljive vzorce vedenja in učinkovito zazna potencialno zlonamerne račune. Z izkoriščanjem zmogljivosti umetne inteligence želi Action1 zmanjšati tveganje, da bi akterji groženj njihovo platformo izrabili za napade z izsiljevalsko programsko opremo.
Sev Monti Ransomware
Monti je razmeroma nov sev izsiljevalske programske opreme, ki ga strokovnjaki obravnavajo kot novejšo različico družine Conti . Ta vrsta je bila opažena z uporabo taktike, zaradi katere je njen predhodnik Conti postal pomembna grožnja v kibernetskem prostoru.
Novejša različica družine Conti
Monti je podedoval številne taktike, zaradi katerih je Conti postal resna grožnja , vključno z zlorabo programske opreme za oddaljeno upravljanje za sprožitev napadov z izsiljevalsko programsko opremo. Operaterji izsiljevalske programske opreme Monti so se izkazali za prilagodljive pri sprejemanju uspešnih pristopov, ki jih uporablja družina Conti.
Zloraba programske opreme za oddaljeno upravljanje
Conti je bil znan po izkoriščanju zakonite programske opreme za daljinsko upravljanje, kot je AnyDesk, za pridobitev nepooblaščenega dostopa do omrežij in olajšanje njihovih napadov. Monti je sledil podobnemu pristopu z nedavnimi incidenti, ki vključujejo zlorabo Action1 RMM, ki ga uporabljajo upravljani ponudniki storitev za oddaljeno upravljanje končnih točk v omrežjih strank.
Možna povezava med tolpama Conti in Monti
Natančna povezava med operaterjema izsiljevalskih programov Conti in Monti ostaja nejasna. Vendar pa podobnosti v njihovih taktikah, tehnikah in postopkih kažejo, da so kriminalci, ki stojijo za Montijem, morda pod vplivom tolpe Conti ali da so z njo neposredno povezani. Ne glede na povezavo Montijeva kombinacija vrste izsiljevalske programske opreme s preizkušenimi taktikami predstavlja veliko grožnjo podjetjem in njihovim sistemom.