Mga Operator ng Ransomware na Nag-aabuso sa Aksyon1 RMM
Ang remote monitoring and management (RMM) na mga tool tulad ng Action1 RMM ay lalong naging nakakaakit na pagpipilian para sa Managed Service Provider (MSPs) at sa kanilang customer base, dahil pinapayagan nila ang malayuang pamamahala ng mga endpoint sa mga network ng customer, kabilang ang pamamahala ng patch, pag-install ng software ng seguridad, at pag-troubleshoot. Sa kasamaang palad, ang mga kakayahan ng mga tool na ito ay nakakuha din ng pansin ng mga aktor ng pagbabanta, na ngayon ay inaabuso sila upang ikompromiso ang mga corporate network at mapanatili ang pagtitiyaga.
Talaan ng mga Nilalaman
Mga Panganib na Aktor na Kinokompromiso ang Mga Corporate Network
Ang mga kamakailang ulat mula sa mga kumpanya ng seguridad at mga tweet mula sa mga mananaliksik ay nagbigay-liwanag sa pang-aabuso ng Action1 RMM sa mga pag-atake ng ransomware . Gamit ang Action1, maaaring magsagawa ng mga command, script, at binary ang mga threat actor para mawala ang mga strain ng malware sa mga nakompromisong machine. Ang mga pagkilos na ito ay nangangailangan ng paggawa ng isang "patakaran" o isang "app" sa loob ng platform, na nagbibigay ng indikasyon ng maling paggamit kapag natukoy sa command line sa panahon ng pagpapatupad.
Bilang tugon sa isyu, ipinatupad ng Action1 ang mga pag-upgrade sa seguridad tulad ng pag-filter ng AI upang i-scan ang aktibidad ng user para sa mga kahina-hinalang pattern ng pag-uugali, matukoy ang mga potensyal na nakakahamak na account, at alertuhan ang kanilang nakatuong security team para sa karagdagang pagsisiyasat.
Katibayan na Sumusuporta sa Tweet ni Kostas
Isang miyembro ng volunteer analyst group na The DFIR Report, Kostas, ang nag-tweet tungkol sa mga operator ng ransomware na inaabuso ang platform ng Action1 RMM, na itinatampok ang potensyal na panganib para sa tumaas na mga pag-atake gamit ang system na ito. Upang mapatunayan ang mga paghahabol na ito, kailangan ng karagdagang ebidensya upang magbigay ng mas malinaw na pag-unawa sa sitwasyon.
Mga TTP na Kamukha ng BlackBerry Incident Response Team's Investigation
Ang karagdagang ebidensya na sumusuporta sa tweet ni Kostas ay nagmumula sa imbestigasyon ng BlackBerry Incident Response team sa isang kaso na kinasasangkutan ng Monti ransomware. Sa pagkakataong ito, sinamantala ng mga banta ng aktor ang kahinaan ng Log4Shell upang makapasok sa VMware Horizon virtualization system ng isang kliyente. Na-encrypt ng mga umaatake ang mga desktop at server ng user, at kapansin-pansin, nag-download at nag-install din sila ng dalawang remote monitoring and maintenance (RMM) agent, kasama ang Action1.
Naniniwala ang mga mananaliksik na ang RMM software ay ginamit ng mga umaatake upang magtatag ng pagpupursige sa loob ng network at mapadali ang karagdagang malayuang pag-access, na ginagawa itong unang kilalang insidente upang magamit ang Action1 sa ganitong paraan. Ang taktika na ito, na dating ginamit ng mga operator ng Conti , ay nagpapakita ng ebolusyon at adaptasyon ng mga cybercriminal na nagsasamantala sa versatility ng lehitimong RMM software tulad ng Action1 upang isagawa ang kanilang mga malisyosong aktibidad.
Aksyon1 Paglaban sa Nakakahamak na Paggamit
Aktibong tinutugunan ng Action1 ang isyu ng kanilang remote monitoring and management (RMM) na produkto na inaabuso ng mga operator ng ransomware. Ang kumpanya ay nagpatupad ng iba't ibang mga pag-upgrade sa seguridad upang labanan ang malisyosong paggamit ng kanilang platform habang nagbibigay pa rin ng mahusay na mga solusyon sa malayuang pamamahala sa kanilang base ng gumagamit.
Gumagamit ng Mga Pag-upgrade sa Seguridad, Pag-filter ng AI
Isa sa mga hakbang sa seguridad na ipinatupad ng Action1 ay ang paggamit ng AI filtering. Sinusuri ng teknolohiyang ito ang aktibidad ng user para sa mga kahina-hinalang pattern ng pag-uugali at epektibong nakakakita ng mga potensyal na nakakahamak na account. Sa pamamagitan ng paggamit ng mga kakayahan ng AI, nilalayon ng Action1 na pagaanin ang panganib ng kanilang platform na pinagsamantalahan ng mga aktor ng pagbabanta para sa mga pag-atake ng ransomware.
Ang Monti Ransomware Strain
Ang Monti ay isang medyo bagong strain ng ransomware na itinuturing ng mga eksperto bilang isang mas bagong variant ng pamilyang Conti . Ang strain na ito ay naobserbahan gamit ang mga taktika na ginawa ang hinalinhan nito, ang Conti, isang makabuluhang banta sa cyberspace.
Mas Bagong Variant ng Conti Family
Namana ni Monti ang marami sa mga taktika na naging seryosong banta sa Conti , kabilang ang pag-abuso sa remote na software sa pamamahala upang simulan ang mga pag-atake ng ransomware. Ang mga operator ng Monti ransomware ay napatunayang madaling ibagay sa paggamit ng mga matagumpay na diskarte na ginagamit ng pamilyang Conti.
Pang-aabuso sa Remote Management Software
Ang Conti ay kilalang-kilala sa pagsasamantala sa lehitimong remote management software, tulad ng AnyDesk, upang makakuha ng hindi awtorisadong pag-access sa mga network at mapadali ang kanilang mga pag-atake. Sinundan ni Monti ang isang katulad na diskarte, na may kamakailang mga insidente na kinasasangkutan ng pang-aabuso sa Action1 RMM, na ginagamit ng Managed Service Provider para sa remote na endpoint management sa mga network ng customer.
Posibleng Link sa pagitan ng Conti at Monti Gangs
Ang eksaktong link sa pagitan ng Conti at Monti ransomware operator ay nananatiling hindi maliwanag. Gayunpaman, ang mga pagkakatulad sa kanilang mga taktika, diskarte, at pamamaraan ay nagmumungkahi na ang mga kriminal sa likod ng Monti ay maaaring naimpluwensyahan o direktang nauugnay sa Conti gang. Anuman ang koneksyon, ang kumbinasyon ni Monti ng isang ransomware strain na may mga napatunayang taktika ay nagdudulot ng malaking banta sa mga negosyo at kanilang mga system.