Opérateurs de ransomwares abusant d'Action1 RMM
Les outils de surveillance et de gestion à distance (RMM) comme Action1 RMM sont devenus un choix de plus en plus attrayant pour les fournisseurs de services gérés (MSP) et leur clientèle, car ils permettent la gestion à distance des terminaux sur les réseaux clients, y compris la gestion des correctifs, l'installation de logiciels de sécurité et dépannage. Malheureusement, les capacités de ces outils ont également attiré l'attention des acteurs de la menace, qui en abusent maintenant pour compromettre les réseaux d'entreprise et maintenir la persistance.
Table des matières
Acteurs menaçants compromettant les réseaux d'entreprise
Des rapports récents d'entreprises de sécurité et des tweets de chercheurs ont mis en lumière l'abus d'Action1 RMM dans les attaques de ransomwares . À l'aide d'Action1, les pirates peuvent exécuter des commandes, des scripts et des fichiers binaires pour éliminer les souches de logiciels malveillants sur les machines compromises. Ces actions nécessitent la création d'une « politique » ou d'une « application » au sein de la plate-forme, indiquant une mauvaise utilisation lorsqu'elle est détectée sur la ligne de commande lors de l'exécution.
En réponse au problème, Action1 a mis en place des mises à niveau de sécurité telles que le filtrage de l'IA pour analyser l'activité des utilisateurs à la recherche de comportements suspects, détecter les comptes potentiellement malveillants et alerter leur équipe de sécurité dédiée pour une enquête plus approfondie.
Preuve à l'appui du tweet de Kostas
Un membre du groupe d'analystes bénévoles The DFIR Report, Kostas, a tweeté sur les opérateurs de ransomwares abusant de la plate-forme Action1 RMM, soulignant le risque potentiel d'attaques accrues utilisant ce système. Pour valider ces affirmations, des preuves supplémentaires sont nécessaires pour fournir une compréhension plus claire de la situation.
TTP ressemblant à l'enquête de l'équipe de réponse aux incidents BlackBerry
D'autres preuves à l'appui du tweet de Kostas proviennent de l'enquête de l'équipe BlackBerry Incident Response sur une affaire impliquant le rançongiciel Monti. Dans ce cas, les pirates ont exploité la vulnérabilité Log4Shell pour s'introduire dans le système de virtualisation VMware Horizon d'un client. Les attaquants ont chiffré les ordinateurs de bureau et les serveurs des utilisateurs, et notamment, ils ont également téléchargé et installé deux agents de surveillance et de maintenance à distance (RMM), dont Action1.
Les chercheurs pensent que le logiciel RMM a été utilisé par les attaquants pour établir la persistance au sein du réseau et faciliter un accès à distance supplémentaire, ce qui en fait le premier incident connu à tirer parti d'Action1 de cette manière. Cette tactique, précédemment employée par les opérateurs Conti , montre l'évolution et l'adaptation des cybercriminels exploitant la polyvalence de logiciels RMM légitimes comme Action1 pour mener à bien leurs activités malveillantes.
Action1 Lutte contre les utilisations malveillantes
Action1 s'attaque activement au problème de l'abus de son produit de surveillance et de gestion à distance (RMM) par les opérateurs de ransomware. La société a mis en place diverses mises à niveau de sécurité pour lutter contre l'utilisation malveillante de sa plate-forme tout en fournissant des solutions de gestion à distance efficaces à sa base d'utilisateurs.
Utilisation des mises à niveau de sécurité, filtrage de l'IA
L'une des mesures de sécurité mises en œuvre par Action1 est l'utilisation du filtrage de l'IA. Cette technologie analyse l'activité des utilisateurs à la recherche de comportements suspects et détecte efficacement les comptes potentiellement malveillants. En tirant parti des capacités de l'IA, Action1 vise à atténuer le risque que leur plate-forme soit exploitée par des acteurs malveillants pour des attaques de ransomwares.
La souche Monti Ransomware
Monti est une souche de ransomware relativement nouvelle qui est considérée par les experts comme une nouvelle variante de la famille Conti . Cette souche a été observée en utilisant des tactiques qui ont fait de son prédécesseur, Conti, une menace importante dans le cyberespace.
Nouvelle variante de la famille Conti
Monti a hérité de nombreuses tactiques qui ont fait de Conti une menace sérieuse , y compris l'abus de logiciels de gestion à distance pour lancer des attaques de ransomwares. Les opérateurs de rançongiciels Monti se sont avérés adaptables en adoptant des approches réussies employées par la famille Conti.
Abus du logiciel de gestion à distance
Conti était connu pour exploiter des logiciels de gestion à distance légitimes, tels que AnyDesk, pour obtenir un accès non autorisé aux réseaux et faciliter leurs attaques. Monti a suivi une approche similaire, avec des incidents récents impliquant l'abus d'Action1 RMM, qui est utilisé par les fournisseurs de services gérés pour la gestion à distance des terminaux sur les réseaux des clients.
Lien possible entre les gangs Conti et Monti
Le lien exact entre les opérateurs de rançongiciels Conti et Monti reste flou. Cependant, les similitudes dans leurs tactiques, techniques et procédures suggèrent que les criminels derrière Monti peuvent avoir été influencés ou être directement liés au gang Conti. Indépendamment de la connexion, la combinaison par Monti d'une souche de ransomware avec des tactiques éprouvées constitue une menace importante pour les entreprises et leurs systèmes.