Ransomware-Betreiber missbrauchen Action1 RMM
Tools zur Fernüberwachung und -verwaltung (RMM) wie Action1 RMM sind zunehmend zu einer attraktiven Wahl für Managed Service Provider (MSPs) und deren Kundenstamm geworden, da sie die Fernverwaltung von Endpunkten in Kundennetzwerken ermöglichen, einschließlich Patch-Management, Installation von Sicherheitssoftware usw Fehlerbehebung. Leider haben die Fähigkeiten dieser Tools auch die Aufmerksamkeit von Bedrohungsakteuren auf sich gezogen, die sie nun missbrauchen, um Unternehmensnetzwerke zu kompromittieren und die Persistenz aufrechtzuerhalten.
Inhaltsverzeichnis
Bedrohungsakteure kompromittieren Unternehmensnetzwerke
Aktuelle Berichte von Sicherheitsfirmen und Tweets von Forschern haben Aufschluss über den Missbrauch von Action1 RMM bei Ransomware- Angriffen gegeben. Mithilfe von Action1 können Bedrohungsakteure Befehle, Skripte und Binärdateien ausführen, um Malware-Stämme auf gefährdeten Computern abzuwehren. Diese Aktionen erfordern die Erstellung einer „Richtlinie“ oder einer „App“ innerhalb der Plattform, die einen Hinweis auf Missbrauch gibt, wenn sie während der Ausführung in der Befehlszeile erkannt wird.
Als Reaktion auf das Problem hat Action1 Sicherheitsupgrades wie KI-Filterung implementiert, um Benutzeraktivitäten auf verdächtige Verhaltensmuster zu scannen, potenziell bösartige Konten zu erkennen und das spezielle Sicherheitsteam für weitere Untersuchungen zu benachrichtigen.
Beweise, die Kostas' Tweet stützen
Ein Mitglied der freiwilligen Analystengruppe The DFIR Report, Kostas, twitterte über Ransomware-Betreiber, die die Action1 RMM-Plattform missbrauchen, und wies auf das potenzielle Risiko verstärkter Angriffe mit diesem System hin. Um diese Behauptungen zu bestätigen, sind zusätzliche Beweise erforderlich, um ein klareres Verständnis der Situation zu ermöglichen.
TTPs ähneln der Untersuchung des BlackBerry Incident Response Teams
Weitere Beweise, die den Tweet von Kostas stützen, stammen aus der Untersuchung eines Falles mit Monti-Ransomware durch das BlackBerry Incident Response-Team. In diesem Fall nutzten die Bedrohungsakteure die Log4Shell-Schwachstelle aus, um in das VMware Horizon-Virtualisierungssystem eines Kunden einzudringen. Die Angreifer verschlüsselten Benutzer-Desktops und -Server und luden insbesondere auch zwei RMM-Agenten (Remote Monitoring and Maintenance) herunter und installierten sie, darunter Action1.
Forscher glauben, dass die RMM-Software von den Angreifern verwendet wurde, um eine Persistenz im Netzwerk aufzubauen und zusätzlichen Fernzugriff zu ermöglichen. Damit war es der erste bekannte Vorfall, bei dem Action1 auf diese Weise genutzt wurde. Diese Taktik, die zuvor von Conti-Betreibern eingesetzt wurde, zeigt die Entwicklung und Anpassung von Cyberkriminellen, die die Vielseitigkeit legitimer RMM-Software wie Action1 für ihre böswilligen Aktivitäten ausnutzen.
Aktion 1: Bekämpfung missbräuchlicher Nutzung
Action1 geht aktiv gegen das Problem vor, dass sein RMM-Produkt (Remote Monitoring and Management) von Ransomware-Betreibern missbraucht wird. Das Unternehmen hat verschiedene Sicherheitsupgrades implementiert, um die böswillige Nutzung seiner Plattform zu bekämpfen und gleichzeitig seiner Benutzerbasis effiziente Fernverwaltungslösungen bereitzustellen.
Einsatz von Sicherheitsupgrades und KI-Filterung
Eine der von Action1 implementierten Sicherheitsmaßnahmen ist der Einsatz von KI-Filterung. Diese Technologie scannt Benutzeraktivitäten auf verdächtige Verhaltensmuster und erkennt effektiv potenziell bösartige Konten. Durch die Nutzung von KI-Funktionen möchte Action1 das Risiko verringern, dass seine Plattform von Bedrohungsakteuren für Ransomware-Angriffe missbraucht wird.
Der Monti-Ransomware-Stamm
Monti ist eine relativ neue Ransomware-Variante, die von Experten als neuere Variante der Conti-Familie angesehen wird. Dieser Stamm wurde mit Taktiken beobachtet, die seinen Vorgänger Conti zu einer erheblichen Bedrohung im Cyberspace machten.
Neuere Variante der Conti-Familie
Monti hat viele der Taktiken übernommen, die Conti zu einer ernsthaften Bedrohung gemacht haben , einschließlich des Missbrauchs von Fernverwaltungssoftware zur Initiierung von Ransomware-Angriffen. Die Monti-Ransomware- Betreiber haben sich als anpassungsfähig erwiesen und die erfolgreichen Ansätze der Conti-Familie übernommen.
Missbrauch von Remote-Management-Software
Conti war dafür berüchtigt, legitime Fernverwaltungssoftware wie AnyDesk auszunutzen, um sich unbefugten Zugriff auf Netzwerke zu verschaffen und ihre Angriffe zu erleichtern. Monti hat einen ähnlichen Ansatz verfolgt, wobei es in jüngster Zeit zu Vorfällen kam, bei denen es um den Missbrauch von Action1 RMM ging, das von Managed Service Providern für die Remote-Endpunktverwaltung in Kundennetzwerken verwendet wird.
Mögliche Verbindung zwischen Conti- und Monti-Banden
Die genaue Verbindung zwischen den Ransomware-Betreibern Conti und Monti bleibt unklar. Die Ähnlichkeiten in ihren Taktiken, Techniken und Verfahren lassen jedoch darauf schließen, dass die Kriminellen hinter Monti möglicherweise von der Conti-Bande beeinflusst wurden oder in direktem Zusammenhang mit ihr stehen. Unabhängig vom Zusammenhang stellt Montis Kombination aus einem Ransomware-Typ und bewährten Taktiken eine erhebliche Bedrohung für Unternehmen und ihre Systeme dar.