Giảm giá nhiều giấy phép
Computer Security Kẻ khai thác ransomware lạm dụng Action1 RMM

Kẻ khai thác ransomware lạm dụng Action1 RMM

Đến năm Mura năm Computer Security
Dịch sang:
Tiếng Việt Nam

Các công cụ quản lý và giám sát từ xa (RMM) như Action1 RMM ngày càng trở thành lựa chọn hấp dẫn cho Nhà cung cấp dịch vụ được quản lý (MSP) và cơ sở khách hàng của họ, vì chúng cho phép quản lý từ xa các điểm cuối trên mạng khách hàng, bao gồm quản lý bản vá, cài đặt phần mềm bảo mật và xử lý sự cố. Thật không may, khả năng của những công cụ này cũng đã thu hút sự chú ý của các tác nhân đe dọa, những kẻ hiện đang lạm dụng chúng để xâm phạm mạng công ty và duy trì sự bền bỉ.

Các tác nhân đe dọa xâm phạm mạng công ty

Các báo cáo gần đây từ các công ty bảo mật và các tweet từ các nhà nghiên cứu đã làm sáng tỏ việc lạm dụng Action1 RMM trong các cuộc tấn công ransomware . Sử dụng Action1, các tác nhân đe dọa có thể thực thi các lệnh, tập lệnh và tệp nhị phân để loại bỏ các dòng phần mềm độc hại trên các máy bị xâm nhập. Những hành động này yêu cầu tạo một "chính sách" hoặc một "ứng dụng" trong nền tảng, đưa ra dấu hiệu sử dụng sai khi được phát hiện trên dòng lệnh trong khi thực thi.

Để giải quyết vấn đề này, Action1 đã triển khai các nâng cấp bảo mật như lọc AI để quét hoạt động của người dùng để tìm các kiểu hành vi đáng ngờ, phát hiện các tài khoản độc hại tiềm ẩn và cảnh báo cho nhóm bảo mật chuyên dụng của họ để điều tra thêm.

Bằng chứng ủng hộ Tweet của Kostas

Một thành viên của nhóm phân tích tình nguyện Báo cáo DFIR, Kostas, đã tweet về những kẻ khai thác ransomware lạm dụng nền tảng Action1 RMM, nhấn mạnh nguy cơ tiềm ẩn đối với các cuộc tấn công gia tăng khi sử dụng hệ thống này. Để xác thực những tuyên bố này, cần có thêm bằng chứng để hiểu rõ hơn về tình hình.

TTP tương tự như cuộc điều tra của nhóm ứng phó sự cố BlackBerry

Thêm bằng chứng hỗ trợ tweet của Kostas đến từ cuộc điều tra của nhóm Phản hồi Sự cố BlackBerry về một trường hợp liên quan đến phần mềm tống tiền Monti. Trong trường hợp này, các tác nhân đe dọa đã khai thác lỗ hổng Log4Shell để xâm nhập vào hệ thống ảo hóa VMware Horizon của khách hàng. Những kẻ tấn công đã mã hóa máy tính để bàn và máy chủ của người dùng, đồng thời đáng chú ý là chúng cũng đã tải xuống và cài đặt hai tác nhân giám sát và bảo trì từ xa (RMM), bao gồm Action1.

Các nhà nghiên cứu tin rằng phần mềm RMM đã được những kẻ tấn công sử dụng để thiết lập tính bền vững trong mạng và tạo điều kiện truy cập từ xa bổ sung, khiến đây trở thành sự cố đầu tiên được biết đến khi tận dụng Action1 theo cách này. Chiến thuật này, trước đây được sử dụng bởi các nhà khai thác Conti , cho thấy sự phát triển và thích ứng của tội phạm mạng khai thác tính linh hoạt của phần mềm RMM hợp pháp như Action1 để thực hiện các hoạt động độc hại của chúng.

Hành động 1 Chống sử dụng ác ý

Action1 đang tích cực giải quyết vấn đề sản phẩm quản lý và giám sát từ xa (RMM) của họ bị lạm dụng bởi những kẻ khai thác ransomware. Công ty đã thực hiện nhiều nâng cấp bảo mật khác nhau để chống lại việc sử dụng độc hại nền tảng của họ trong khi vẫn cung cấp các giải pháp quản lý từ xa hiệu quả cho cơ sở người dùng của họ.

Sử dụng nâng cấp bảo mật, lọc AI

Một trong những biện pháp bảo mật được Action1 triển khai là sử dụng bộ lọc AI. Công nghệ này quét hoạt động của người dùng để tìm các kiểu hành vi đáng ngờ và phát hiện hiệu quả các tài khoản độc hại tiềm ẩn. Bằng cách tận dụng các khả năng của AI, Action1 nhằm mục đích giảm thiểu rủi ro nền tảng của họ bị các tác nhân đe dọa khai thác cho các cuộc tấn công ransomware.

Chủng mã độc tống tiền Monti

Monti là một chủng ransomware tương đối mới được các chuyên gia coi là một biến thể mới hơn của dòng Conti . Người ta đã quan sát thấy chủng này sử dụng các chiến thuật khiến người tiền nhiệm của nó, Conti, trở thành mối đe dọa đáng kể trong không gian ảo.

Biến thể mới hơn của gia đình Conti

Monti đã kế thừa nhiều chiến thuật khiến Conti trở thành mối đe dọa nghiêm trọng , bao gồm cả việc lạm dụng phần mềm quản lý từ xa để bắt đầu các cuộc tấn công ransomware. Những kẻ điều hành phần mềm tống tiền Monti đã được chứng minh là có khả năng thích ứng trong việc áp dụng các phương pháp tiếp cận thành công được sử dụng bởi gia đình Conti.

Lạm dụng phần mềm quản lý từ xa

Conti nổi tiếng với việc khai thác phần mềm quản lý từ xa hợp pháp, chẳng hạn như AnyDesk, để truy cập trái phép vào mạng và tạo điều kiện cho các cuộc tấn công của họ. Monti đã làm theo cách tiếp cận tương tự, với các sự cố gần đây liên quan đến việc lạm dụng Action1 RMM, được Nhà cung cấp dịch vụ được quản lý sử dụng để quản lý điểm cuối từ xa trên mạng khách hàng.

Liên kết có thể có giữa Conti và Monti Gangs

Mối liên hệ chính xác giữa những kẻ điều hành ransomware Conti và Monti vẫn chưa rõ ràng. Tuy nhiên, những điểm tương đồng trong chiến thuật, kỹ thuật và thủ tục của họ cho thấy những tên tội phạm đứng sau Monti có thể đã bị ảnh hưởng hoặc có liên quan trực tiếp đến băng nhóm Conti. Bất kể mối liên hệ nào, sự kết hợp của Monti giữa một chủng ransomware với các chiến thuật đã được chứng minh sẽ gây ra mối đe dọa đáng kể cho các doanh nghiệp và hệ thống của họ.

Đang tải...