Operatorët e Ransomware Abuzojnë Action1 RMM
Mjetet e monitorimit dhe menaxhimit në distancë (RMM) si Action1 RMM janë bërë gjithnjë e më shumë një zgjedhje tërheqëse për Ofruesit e Shërbimeve të Menaxhuara (MSP) dhe bazën e tyre të klientëve, pasi ato lejojnë menaxhimin në distancë të pikave fundore në rrjetet e klientëve, duke përfshirë menaxhimin e rregullimit, instalimin e softuerit të sigurisë dhe zgjidhjen e problemeve. Fatkeqësisht, aftësitë e këtyre mjeteve kanë tërhequr gjithashtu vëmendjen e aktorëve të kërcënimit, të cilët tani po i keqpërdorin ato për të kompromentuar rrjetet e korporatave dhe për të ruajtur këmbënguljen.
Tabela e Përmbajtjes
Aktorët e Kërcënimit që komprometojnë Rrjetet e Korporatave
Raportet e fundit nga firmat e sigurisë dhe postimet në Twitter nga studiuesit kanë hedhur dritë mbi abuzimin e Action1 RMM në sulmet e ransomware . Duke përdorur Action1, aktorët e kërcënimit mund të ekzekutojnë komanda, skripte dhe binare për të hequr sforcimet e malware në makinat e komprometuara. Këto veprime kërkojnë krijimin e një "politi" ose një "aplikacioni" brenda platformës, duke dhënë tregues të keqpërdorimit kur zbulohet në vijën e komandës gjatë ekzekutimit.
Në përgjigje të kësaj çështjeje, Action1 ka zbatuar përmirësime të sigurisë si filtrimi i AI për të skanuar aktivitetin e përdoruesve për modele të dyshimta sjelljeje, për të zbuluar llogari të mundshme me qëllim të keq dhe për të paralajmëruar ekipin e tyre të dedikuar të sigurisë për hetime të mëtejshme.
Dëshmi që mbështesin Tweet-in e Kostas
Një anëtar i grupit vullnetar të analistëve The DFIR Report, Kostas, postoi në Twitter rreth operatorëve të ransomware që abuzojnë me platformën Action1 RMM, duke theksuar rrezikun e mundshëm për sulme në rritje duke përdorur këtë sistem. Për të vërtetuar këto pretendime, nevojiten prova shtesë për të siguruar një kuptim më të qartë të situatës.
TTP që i ngjajnë Hetimit të Ekipit të Reagimit të Incidentit të BlackBerry
Prova të mëtejshme që mbështesin tweet-in e Kostas vijnë nga hetimi i ekipit BlackBerry Incident Response për një rast që përfshin ransomware Monti. Në këtë rast, aktorët e kërcënimit shfrytëzuan cenueshmërinë Log4Shell për të ndërhyrë në sistemin e virtualizimit të VMware Horizon të klientit. Sulmuesit koduan desktopët dhe serverët e përdoruesve, dhe veçanërisht, ata gjithashtu shkarkojnë dhe instaluan dy agjentë të monitorimit dhe mirëmbajtjes në distancë (RMM), duke përfshirë Action1.
Studiuesit besojnë se softueri RMM është përdorur nga sulmuesit për të vendosur qëndrueshmëri brenda rrjetit dhe për të lehtësuar aksesin shtesë në distancë, duke e bërë atë incidentin e parë të njohur për të përdorur Action1 në këtë mënyrë. Kjo taktikë, e përdorur më parë nga operatorët Conti , tregon evolucionin dhe përshtatjen e kriminelëve kibernetikë që shfrytëzojnë shkathtësinë e softuerit legjitim RMM si Action1 për të kryer aktivitetet e tyre keqdashëse.
Veprimi 1 Lufta kundër përdorimit me qëllim të keq
Action1 po trajton në mënyrë aktive çështjen e abuzimit të produktit të tyre të monitorimit dhe menaxhimit në distancë (RMM) nga operatorët e ransomware. Kompania ka zbatuar përmirësime të ndryshme sigurie për të luftuar përdorimin keqdashës të platformës së tyre, ndërsa ende ofron zgjidhje efikase të menaxhimit në distancë për bazën e tyre të përdoruesve.
Përdorimi i përmirësimeve të sigurisë, filtrimi i AI
Një nga masat e sigurisë të zbatuara nga Action1 është përdorimi i filtrimit të AI. Kjo teknologji skanon aktivitetin e përdoruesve për modele të dyshimta sjelljeje dhe zbulon në mënyrë efektive llogaritë e mundshme me qëllim të keq. Duke shfrytëzuar aftësitë e AI, Action1 synon të zbusë rrezikun që platforma e tyre të shfrytëzohet nga aktorët e kërcënimit për sulme ransomware.
Strain Monti Ransomware
Monti është një lloj relativisht i ri ransomware që konsiderohet nga ekspertët si një variant më i ri i familjes Conti . Kjo tendosje është vërejtur duke përdorur taktika që e bënë paraardhësin e tij, Conti, një kërcënim të rëndësishëm në hapësirën kibernetike.
Varianti më i ri i familjes Conti
Monti ka trashëguar shumë nga taktikat që e bënë Conti një kërcënim serioz , duke përfshirë abuzimin e softuerit të menaxhimit në distancë për të iniciuar sulme ransomware. Operatorët e ransomware Monti kanë provuar të jenë të adaptueshëm në adoptimin e qasjeve të suksesshme të përdorura nga familja Conti.
Abuzimi i softuerit të menaxhimit në distancë
Conti ishte i njohur për shfrytëzimin e softuerit legjitim të menaxhimit në distancë, si AnyDesk, për të fituar akses të paautorizuar në rrjete dhe për të lehtësuar sulmet e tyre. Monti ka ndjekur një qasje të ngjashme, me incidentet e fundit që përfshijnë abuzimin e Action1 RMM, i cili përdoret nga Ofruesit e Shërbimeve të Menaxhuara për menaxhimin e pikës fundore në distancë në rrjetet e klientëve.
Lidhja e mundshme midis bandave Conti dhe Monti
Lidhja e saktë midis operatorëve të ransomware Conti dhe Monti mbetet e paqartë. Megjithatë, ngjashmëritë në taktikat, teknikat dhe procedurat e tyre sugjerojnë se kriminelët pas Montit mund të kenë qenë të ndikuar ose të jenë të lidhur drejtpërdrejt me bandën Conti. Pavarësisht nga lidhja, kombinimi i Monti-t i një lloji ransomware me taktika të provuara përbën një kërcënim të rëndësishëm për ndërmarrjet dhe sistemet e tyre.