Flerlicensrabatter
Computer Security Ransomware-operatörer missbrukar åtgärd1 RMM

Ransomware-operatörer missbrukar åtgärd1 RMM

Med Mura år Computer Security
Översätt till:
Svenska

Fjärrövervaknings- och hanteringsverktyg (RMM) som Action1 RMM har i allt högre grad blivit ett tilltalande val för Managed Service Providers (MSPs) och deras kundbas, eftersom de tillåter fjärrhantering av slutpunkter på kundnätverk, inklusive patchhantering, installation av säkerhetsprogramvara och felsökning. Tyvärr har kapaciteten hos dessa verktyg också fångat uppmärksamheten hos hotaktörer, som nu missbrukar dem för att äventyra företagsnätverk och upprätthålla uthållighet.

Hotaktörer som äventyrar företagsnätverk

De senaste rapporterna från säkerhetsföretag och tweets från forskare har belyst missbruket av Action1 RMM i ransomware -attacker. Med hjälp av Action1 kan hotaktörer köra kommandon, skript och binärer för att släppa skadlig programvara på komprometterade maskiner. Dessa åtgärder kräver skapandet av en "policy" eller en "app" inom plattformen, vilket ger en indikation på missbruk när det upptäcks på kommandoraden under körning.

Som svar på problemet har Action1 implementerat säkerhetsuppgraderingar som AI-filtrering för att skanna användaraktivitet efter misstänkta beteendemönster, upptäcka potentiellt skadliga konton och varna deras dedikerade säkerhetsteam för vidare utredning.

Bevis som stöder Kostas tweet

En medlem av volontäranalytikergruppen The DFIR Report, Kostas, twittrade om ransomware-operatörer som missbrukar Action1 RMM-plattformen och lyfter fram den potentiella risken för ökade attacker med detta system. För att validera dessa påståenden krävs ytterligare bevis för att ge en tydligare förståelse av situationen.

TTP:er som liknar BlackBerry Incident Response Teams utredning

Ytterligare bevis som stöder Kostas tweet kommer från BlackBerry Incident Response-teamets utredning av ett fall som involverar Monti ransomware. I det här fallet utnyttjade hotaktörerna Log4Shell-sårbarheten för att inkräkta på en klients VMware Horizon-virtualiseringssystem. Angriparna krypterade användarens skrivbord och servrar, och särskilt laddade de ner och installerade två agenter för fjärrövervakning och underhåll (RMM), inklusive Action1.

Forskare tror att RMM-programvaran användes av angriparna för att etablera uthållighet inom nätverket och underlätta ytterligare fjärråtkomst, vilket gör det till den första kända incidenten som utnyttjar Action1 på detta sätt. Denna taktik, som tidigare använts av Conti-operatörer , visar utvecklingen och anpassningen av cyberkriminella som utnyttjar mångsidigheten hos legitim RMM-programvara som Action1 för att utföra sina skadliga aktiviteter.

Åtgärd 1 Bekämpning av skadlig användning

Action1 tar aktivt upp problemet med att deras produkt för fjärrövervakning och hantering (RMM) missbrukas av ransomware-operatörer. Företaget har implementerat olika säkerhetsuppgraderingar för att bekämpa skadlig användning av deras plattform samtidigt som de tillhandahåller effektiva fjärrhanteringslösningar till deras användarbas.

Använder säkerhetsuppgraderingar, AI-filtrering

En av säkerhetsåtgärderna som implementeras av Action1 är användningen av AI-filtrering. Den här tekniken söker igenom användaraktivitet efter misstänkta beteendemönster och upptäcker effektivt potentiellt skadliga konton. Genom att utnyttja AI-kapaciteten syftar Action1 till att minska risken för att deras plattform utnyttjas av hotaktörer för ransomware-attacker.

Monti Ransomware-stammen

Monti är en relativt ny ransomware-stam som av experter anses vara en nyare variant av Conti-familjen . Denna stam har observerats med hjälp av taktik som gjorde dess föregångare, Conti, till ett betydande hot i cyberrymden.

Nyare variant av Conti-familjen

Monti har ärvt många av de taktiker som gjorde Conti till ett allvarligt hot , inklusive missbruk av fjärrhanteringsprogram för att initiera ransomware-attacker. Monti ransomware- operatörer har visat sig vara anpassningsbara när det gäller att anta framgångsrika metoder som används av Conti-familjen.

Missbruk av programvara för fjärrhantering

Conti var ökänd för att ha utnyttjat legitim programvara för fjärrhantering, som AnyDesk, för att få obehörig åtkomst till nätverk och underlätta deras attacker. Monti har följt ett liknande tillvägagångssätt, med nya incidenter som involverade missbruk av Action1 RMM, som används av Managed Service Providers för fjärrstyrning av slutpunkter i kundnätverk.

Möjlig länk mellan Conti och Monti Gangs

Den exakta kopplingen mellan Conti och Monti ransomware-operatörer är fortfarande oklart. Men likheterna i deras taktik, tekniker och procedurer tyder på att brottslingarna bakom Monti kan ha påverkats av eller är direkt relaterade till Conti-gänget. Oavsett sambandet utgör Montis kombination av en ransomware-stam med beprövad taktik ett betydande hot mot företag och deras system.

Läser in...