ผู้ดำเนินการแรนซัมแวร์ใช้ Action1 RMM ในทางที่ผิด
เครื่องมือตรวจสอบและจัดการระยะไกล (RMM) เช่น Action1 RMM ได้กลายเป็นตัวเลือกที่น่าสนใจมากขึ้นสำหรับ Managed Service Providers (MSP) และฐานลูกค้าของพวกเขา เนื่องจากเครื่องมือเหล่านี้ช่วยให้สามารถจัดการระยะไกลของจุดสิ้นสุดบนเครือข่ายลูกค้า รวมถึงการจัดการแพตช์ การติดตั้งซอฟต์แวร์ความปลอดภัย และ การแก้ไขปัญหา. น่าเสียดายที่ความสามารถของเครื่องมือเหล่านี้ยังได้รับความสนใจจากผู้คุกคาม ซึ่งตอนนี้กำลังใช้พวกเขาในทางที่ผิดเพื่อประนีประนอมเครือข่ายองค์กรและคงไว้ซึ่งความคงอยู่
สารบัญ
ผู้คุกคามที่ประนีประนอมเครือข่ายองค์กร
รายงานล่าสุดจากบริษัทรักษาความปลอดภัยและทวีตจากนักวิจัยได้ชี้ให้เห็นถึงการใช้ Action1 RMM ในทางที่ผิดในการโจมตี แรนซัมแวร์ เมื่อใช้ Action1 ผู้คุกคามสามารถเรียกใช้คำสั่ง สคริปต์ และไบนารีเพื่อกำจัดสายพันธุ์มัลแวร์ในเครื่องที่ถูกบุกรุก การดำเนินการเหล่านี้จำเป็นต้องสร้าง "นโยบาย" หรือ "แอป" ภายในแพลตฟอร์ม ซึ่งบ่งชี้ถึงการใช้งานในทางที่ผิดเมื่อตรวจพบในบรรทัดคำสั่งระหว่างการดำเนินการ
เพื่อตอบสนองต่อปัญหานี้ Action1 ได้ใช้การอัปเกรดความปลอดภัย เช่น การกรอง AI เพื่อสแกนกิจกรรมของผู้ใช้เพื่อหารูปแบบพฤติกรรมที่น่าสงสัย ตรวจจับบัญชีที่อาจเป็นอันตราย และแจ้งเตือนทีมรักษาความปลอดภัยเฉพาะของพวกเขาเพื่อทำการตรวจสอบเพิ่มเติม
หลักฐานสนับสนุนทวีตของ Kostas
สมาชิกของกลุ่มนักวิเคราะห์อาสาสมัคร The DFIR Report, Kostas ทวีตเกี่ยวกับผู้ให้บริการแรนซัมแวร์ที่ใช้แพลตฟอร์ม Action1 RMM ในทางที่ผิด โดยเน้นย้ำถึงความเสี่ยงที่อาจเกิดขึ้นจากการโจมตีที่เพิ่มขึ้นโดยใช้ระบบนี้ ในการตรวจสอบคำกล่าวอ้างเหล่านี้ จำเป็นต้องมีหลักฐานเพิ่มเติมเพื่อให้เข้าใจสถานการณ์ได้ชัดเจนยิ่งขึ้น
TTP คล้ายกับการสืบสวนของทีม BlackBerry Incident Response Team
หลักฐานเพิ่มเติมที่สนับสนุนทวีตของ Kostas มาจากการสืบสวนของทีม BlackBerry Incident Response กรณีที่เกี่ยวข้องกับมัลแวร์เรียกค่าไถ่ Monti ในกรณีนี้ ผู้คุกคามใช้ประโยชน์จาก ช่องโหว่ Log4Shell เพื่อบุกรุกเข้าไปในระบบเวอร์ชวลไลเซชัน VMware Horizon ของลูกค้า ผู้โจมตีเข้ารหัสเดสก์ท็อปและเซิร์ฟเวอร์ของผู้ใช้ โดยเฉพาะอย่างยิ่ง พวกเขายังดาวน์โหลดและติดตั้งตัวแทนการตรวจสอบและบำรุงรักษาระยะไกล (RMM) สองตัว รวมถึง Action1
นักวิจัยเชื่อว่าผู้โจมตีใช้ซอฟต์แวร์ RMM เพื่อสร้างการคงอยู่ภายในเครือข่ายและอำนวยความสะดวกในการเข้าถึงระยะไกลเพิ่มเติม ทำให้เป็นเหตุการณ์แรกที่ทราบว่าใช้ประโยชน์จาก Action1 ในลักษณะนี้ กลยุทธ์นี้ใช้ก่อนหน้านี้โดย ผู้ให้บริการ Conti แสดงให้เห็นถึงวิวัฒนาการและการปรับตัวของอาชญากรไซเบอร์ที่ใช้ประโยชน์จากความสามารถรอบด้านของซอฟต์แวร์ RMM ที่ถูกต้องตามกฎหมาย เช่น Action1 เพื่อดำเนินกิจกรรมที่เป็นอันตราย
การดำเนินการ 1 การต่อสู้กับการใช้งานที่เป็นอันตราย
Action1 กำลังแก้ไขปัญหาผลิตภัณฑ์การตรวจสอบและจัดการระยะไกล (RMM) ของตนที่ถูกใช้โดยแรนซัมแวร์ในทางที่ผิด บริษัทได้ใช้การอัปเกรดความปลอดภัยต่างๆ เพื่อต่อสู้กับการใช้แพลตฟอร์มในทางที่ผิด ในขณะที่ยังคงให้บริการโซลูชั่นการจัดการระยะไกลที่มีประสิทธิภาพแก่ฐานผู้ใช้ของพวกเขา
ใช้การอัปเกรดความปลอดภัย การกรอง AI
หนึ่งในมาตรการรักษาความปลอดภัยที่ดำเนินการโดย Action1 คือการใช้การกรองด้วย AI เทคโนโลยีนี้จะสแกนกิจกรรมของผู้ใช้เพื่อหารูปแบบพฤติกรรมที่น่าสงสัย และตรวจจับบัญชีที่อาจเป็นอันตรายได้อย่างมีประสิทธิภาพ ด้วยการใช้ประโยชน์จากความสามารถของ AI Action1 มีเป้าหมายเพื่อลดความเสี่ยงที่แพลตฟอร์มของตนจะถูกโจมตีโดยผู้คุกคามจากการโจมตีแรนซัมแวร์
สายพันธุ์ Monti Ransomware
Monti เป็นแรนซัมแวร์สายพันธุ์ใหม่ที่ผู้เชี่ยวชาญพิจารณาว่าเป็นสายพันธุ์ที่ใหม่กว่าของ ตระกูล Conti ความเครียดนี้ได้รับการสังเกตโดยใช้กลยุทธ์ที่ทำให้ Conti รุ่นก่อนเป็นภัยคุกคามที่สำคัญในไซเบอร์สเปซ
รุ่นใหม่ล่าสุดของตระกูล Conti
Monti ได้สืบทอดกลวิธีหลายอย่างที่ ทำให้ Conti เป็นภัยคุกคามร้ายแรง รวมถึงการใช้ซอฟต์แวร์การจัดการระยะไกลในทางที่ผิดเพื่อเริ่มการโจมตีแรนซัมแวร์ ผู้ให้บริการ แรนซั่มแวร์ของ Monti ได้รับการพิสูจน์แล้วว่าสามารถปรับตัวได้ในการใช้แนวทางที่ประสบความสำเร็จซึ่งใช้โดยตระกูล Conti
การละเมิดซอฟต์แวร์การจัดการระยะไกล
Conti ขึ้นชื่อเรื่องการใช้ประโยชน์จากซอฟต์แวร์การจัดการระยะไกลที่ถูกกฎหมาย เช่น AnyDesk เพื่อเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาตและอำนวยความสะดวกในการโจมตี Monti ปฏิบัติตามแนวทางที่คล้ายกันกับเหตุการณ์ล่าสุดที่เกี่ยวข้องกับการใช้ Action1 RMM ในทางที่ผิด ซึ่งผู้ให้บริการที่มีการจัดการใช้สำหรับการจัดการปลายทางระยะไกลบนเครือข่ายลูกค้า
ความเชื่อมโยงที่เป็นไปได้ระหว่างแก๊ง Conti และ Monti
การเชื่อมโยงที่แน่นอนระหว่างผู้ให้บริการแรนซัมแวร์ Conti และ Monti ยังไม่ชัดเจน อย่างไรก็ตาม ความคล้ายคลึงกันในกลวิธี เทคนิค และกระบวนการของพวกเขาชี้ให้เห็นว่าอาชญากรที่อยู่เบื้องหลังมอนติอาจได้รับอิทธิพลหรือเกี่ยวข้องโดยตรงกับแก๊งค์คอนติ โดยไม่คำนึงถึงการเชื่อมต่อ การรวมกันของแรนซัมแวร์สายพันธุ์ของ Monti กับกลยุทธ์ที่ได้รับการพิสูจน์แล้วก่อให้เกิดภัยคุกคามที่สำคัญต่อองค์กรและระบบของพวกเขา