Оператори Рансомваре-а злоупотребљавају Ацтион1 РММ
Алати за даљинско надгледање и управљање (РММ) као што је Ацтион1 РММ постају све привлачнији избор за управљане добављаче услуга (МСП) и њихову базу корисника, пошто омогућавају даљинско управљање крајњим тачкама на корисничким мрежама, укључујући управљање закрпама, инсталацију безбедносног софтвера и решавање проблема. Нажалост, могућности ових алата су такође привукле пажњу актера претњи, који их сада злоупотребљавају да би компромитовали корпоративне мреже и одржали упорност.
Преглед садржаја
Актери претњи који компромитују корпоративне мреже
Недавни извештаји безбедносних фирми и твитови истраживача расветлили су злоупотребу Ацтион1 РММ у нападима рансомвера . Користећи Ацтион1, актери претњи могу да изврше команде, скрипте и бинарне датотеке како би уклонили сојеве малвера на компромитованим машинама. Ове радње захтевају креирање „политике“ или „апликације“ у оквиру платформе, дајући индикацију злоупотребе када се открије на командној линији током извршавања.
Као одговор на проблем, Ацтион1 је имплементирао безбедносне надоградње као што је АИ филтрирање да скенира активност корисника у потрази за сумњивим обрасцима понашања, открије потенцијално злонамерне налоге и упозори њихов наменски безбедносни тим за даљу истрагу.
Докази који подржавају Костасов твит
Члан групе добровољних аналитичара Тхе ДФИР Репорт, Костас, твитовао је о оператерима рансомваре-а који злоупотребљавају Ацтион1 РММ платформу, наглашавајући потенцијални ризик од повећаних напада коришћењем овог система. Да би се ове тврдње потврдиле, неопходни су додатни докази који би пружили јасније разумевање ситуације.
ТТП-ови који личе на истрагу БлацкБерри тима за одговор на инциденте
Даљи докази који подржавају Костасов твит потичу из истраге БлацкБерри Инцидент Респонсе тима о случају који укључује Монти рансомваре. У овом случају, актери претњи су искористили рањивост Лог4Схелл- а да упадну у клијентов ВМваре Хоризон систем виртуелизације. Нападачи су шифровали корисничке радне површине и сервере, а посебно су преузели и инсталирали два агента за даљинско праћење и одржавање (РММ), укључујући Ацтион1.
Истраживачи верују да су РММ софтвер користили нападачи да би успоставили постојаност унутар мреже и омогућили додатни даљински приступ, што га чини првим познатим инцидентом који је искористио Ацтион1 на овај начин. Ова тактика, коју су раније користили Цонти оператери , показује еволуцију и прилагођавање сајбер криминалаца који искориштавају свестраност легитимног РММ софтвера као што је Ацтион1 за обављање својих злонамјерних активности.
Акција 1 Борба против злонамерне употребе
Ацтион1 се активно бави питањем злоупотребе њиховог производа за даљинско праћење и управљање (РММ) од стране оператера рансомваре-а. Компанија је имплементирала различите безбедносне надоградње како би се борила против злонамерне употребе своје платформе, док је и даље пружала ефикасна решења за даљинско управљање својој корисничкој бази.
Коришћење безбедносних надоградњи, АИ филтрирања
Једна од безбедносних мера које спроводи Ацтион1 је коришћење АИ филтрирања. Ова технологија скенира активности корисника у потрази за сумњивим обрасцима понашања и ефикасно открива потенцијално злонамерне налоге. Користећи могућности вештачке интелигенције, Ацтион1 има за циљ да ублажи ризик да њихову платформу искористе актери претњи за нападе рансомвера.
Сој Монти Рансомваре-а
Монти је релативно нова врста рансомваре-а коју стручњаци сматрају новијом варијантом породице Цонти . Ова врста је примећена коришћењем тактике која је његовог претходника, Цонтија, учинила значајном претњом у сајбер простору.
Новија варијанта породице Цонти
Монти је наследио многе тактике које су Контија учиниле озбиљном претњом , укључујући злоупотребу софтвера за даљинско управљање за покретање напада рансомвера. Монти рансомваре оператери су се показали као прилагодљиви у усвајању успешних приступа које користи породица Цонти.
Злоупотреба софтвера за даљинско управљање
Цонти је био познат по томе што је користио легитимни софтвер за даљинско управљање, као што је АниДеск, да би добио неовлашћени приступ мрежама и олакшао њихове нападе. Монти је следио сличан приступ, са недавним инцидентима који су укључивали злоупотребу Ацтион1 РММ-а, који користе управљани добављачи услуга за даљинско управљање крајњим тачкама на корисничким мрежама.
Могућа веза између Цонти и Монти банди
Тачна веза између Цонти и Монти рансомваре оператера остаје нејасна. Међутим, сличности у њиховим тактикама, техникама и процедурама сугеришу да су криминалци који стоје иза Монтија можда били под утицајем или директно повезани са Конти бандом. Без обзира на везу, Монтијева комбинација соја рансомваре-а са доказаном тактиком представља значајну претњу за предузећа и њихове системе.