Оператори програм-вимагачів зловживають Action1 RMM

Інструменти віддаленого моніторингу та керування (RMM), такі як Action1 RMM, дедалі більше стають привабливим вибором для постачальників керованих послуг (MSP) та їх клієнтської бази, оскільки вони дозволяють дистанційно керувати кінцевими точками в мережах клієнтів, включаючи керування виправленнями, встановлення програмного забезпечення безпеки та вирішення проблем. На жаль, можливості цих інструментів також привернули увагу зловмисників, які зараз зловживають ними, щоб скомпрометувати корпоративні мережі та підтримувати стійкість.

Зловмисники, що компрометують корпоративні мережі

Недавні звіти охоронних фірм і твіти дослідників пролили світло на зловживання Action1 RMM під час атак програм-вимагачів . Використовуючи Action1, зловмисники можуть виконувати команди, сценарії та двійкові файли, щоб скинути зловмисне програмне забезпечення на скомпрометовані машини. Ці дії вимагають створення «політики» або «програми» на платформі, яка б сповіщала про зловживання у разі виявлення в командному рядку під час виконання.

У відповідь на цю проблему Action1 запровадив оновлення безпеки, такі як фільтрація штучного інтелекту для сканування активності користувачів на наявність підозрілих моделей поведінки, виявлення потенційно зловмисних облікових записів і сповіщення спеціальної групи безпеки для подальшого розслідування.

Докази, що підтверджують твіт Костаса

Костас, член волонтерської групи аналітиків The DFIR Report, написав у Twitter про те, що оператори програм-вимагачів зловживають платформою Action1 RMM, підкресливши потенційний ризик посилення атак за допомогою цієї системи. Для підтвердження цих тверджень необхідні додаткові докази для більш чіткого розуміння ситуації.

TTP, схожі на розслідування групи реагування на інциденти BlackBerry

Додаткові докази, що підтверджують твіт Костаса, походять від розслідування групи реагування на інциденти BlackBerry справи, пов’язаної з програмою-вимагачем Monti. У цьому випадку зловмисники скористалися вразливістю Log4Shell , щоб проникнути в клієнтську систему віртуалізації VMware Horizon. Зловмисники зашифрували робочі столи та сервери користувачів, а також завантажили та встановили два агенти віддаленого моніторингу та обслуговування (RMM), включаючи Action1.

Дослідники вважають, що програмне забезпечення RMM було використано зловмисниками для встановлення стійкості в мережі та сприяння додатковому віддаленому доступу, що робить це першим відомим інцидентом, який використовує Action1 таким чином. Ця тактика, яку раніше використовували оператори Conti , демонструє еволюцію та адаптацію кіберзлочинців, які використовують універсальність законного програмного забезпечення RMM, такого як Action1, для здійснення своїх зловмисних дій.

Дія 1 Боротьба зі зловмисним використанням

Action1 активно вирішує проблему того, що їхній продукт віддаленого моніторингу та керування (RMM) зловживають оператори програм-вимагачів. Компанія впровадила різні оновлення безпеки для боротьби зі зловмисним використанням своєї платформи, водночас надаючи ефективні рішення для віддаленого керування своїй базі користувачів.

Використання оновлень безпеки, фільтрація AI

Одним із заходів безпеки, реалізованих Action1, є використання фільтрації AI. Ця технологія перевіряє дії користувачів на наявність підозрілих моделей поведінки та ефективно виявляє потенційно шкідливі облікові записи. Використовуючи можливості штучного інтелекту, Action1 прагне зменшити ризик використання своєї платформи зловмисниками для атак програм-вимагачів.

Штам програм-вимагачів Monti

Monti — відносно новий штам програми-вимагача, який експерти вважають новішим варіантом сімейства Conti . Цей штам спостерігали з використанням тактики, яка зробила його попередника, Conti, значною загрозою в кіберпросторі.

Новіший варіант родини Конті

Монті успадкував багато тактик, які зробили Conti серйозною загрозою , зокрема використання програмного забезпечення для віддаленого керування для ініціювання атак програм-вимагачів. Оператори програм-вимагачів Monti довели свою здатність адаптуватися до успішних підходів, застосовуваних родиною Conti.

Зловживання програмним забезпеченням для віддаленого керування

Конті був відомий тим, що використовував законне програмне забезпечення для віддаленого керування, таке як AnyDesk, для отримання несанкціонованого доступу до мереж і сприяння їхнім атакам. Monti дотримувався подібного підходу з нещодавніми інцидентами, пов’язаними зі зловживанням Action1 RMM, який використовується постачальниками керованих послуг для віддаленого керування кінцевими точками в мережах клієнтів.

Можливий зв'язок між бандами Конті та Монті

Точний зв’язок між операторами програм-вимагачів Conti та Monti залишається неясним. Однак схожість у їхній тактиці, прийомах і процедурах свідчить про те, що злочинці, які стояли за Монті, могли перебувати під впливом банди Конті або бути безпосередньо пов’язаними з нею. Незалежно від зв’язку, комбінація програми-вимагача Монті з перевіреною тактикою становить серйозну загрозу для підприємств та їхніх систем.