Operadores de ransomware que abusan de Action1 RMM
Las herramientas de administración y monitoreo remoto (RMM) como Action1 RMM se han convertido cada vez más en una opción atractiva para los proveedores de servicios administrados (MSP) y su base de clientes, ya que permiten la administración remota de puntos finales en las redes de los clientes, incluida la administración de parches, instalación de software de seguridad y solución de problemas. Desafortunadamente, las capacidades de estas herramientas también han llamado la atención de los actores de amenazas, quienes ahora abusan de ellas para comprometer las redes corporativas y mantener la persistencia.
Tabla de contenido
Actores de amenazas que comprometen las redes corporativas
Informes recientes de empresas de seguridad y tuits de investigadores han arrojado luz sobre el abuso de Action1 RMM en ataques de ransomware . Con Action1, los actores de amenazas pueden ejecutar comandos, scripts y archivos binarios para colocar cepas de malware en máquinas comprometidas. Estas acciones requieren la creación de una "política" o una "aplicación" dentro de la plataforma, que brinde una indicación de uso indebido cuando se detecte en la línea de comando durante la ejecución.
En respuesta al problema, Action1 ha implementado actualizaciones de seguridad como el filtrado de IA para escanear la actividad de los usuarios en busca de patrones de comportamiento sospechosos, detectar cuentas potencialmente maliciosas y alertar a su equipo de seguridad dedicado para una mayor investigación.
Evidencia que respalda el tuit de Kostas
Un miembro del grupo de analistas voluntarios The DFIR Report, Kostas, tuiteó sobre los operadores de ransomware que abusan de la plataforma Action1 RMM, destacando el riesgo potencial de un aumento de los ataques con este sistema. Para validar estas afirmaciones, se necesita evidencia adicional para proporcionar una comprensión más clara de la situación.
TTP que se asemejan a la investigación del equipo de respuesta a incidentes de BlackBerry
Más evidencia que respalda el tweet de Kostas proviene de la investigación del equipo de Respuesta a Incidentes de BlackBerry de un caso relacionado con el ransomware Monti. En este caso, los actores de la amenaza explotaron la vulnerabilidad de Log4Shell para entrometerse en el sistema de virtualización VMware Horizon de un cliente. Los atacantes cifraron los escritorios y servidores de los usuarios y, en particular, también descargaron e instalaron dos agentes de supervisión y mantenimiento remotos (RMM), incluido Action1.
Los investigadores creen que los atacantes utilizaron el software RMM para establecer la persistencia dentro de la red y facilitar el acceso remoto adicional, lo que lo convierte en el primer incidente conocido que aprovecha Action1 de esta manera. Esta táctica, empleada anteriormente por los operadores de Conti , muestra la evolución y adaptación de los ciberdelincuentes que explotan la versatilidad del software RMM legítimo como Action1 para llevar a cabo sus actividades maliciosas.
Acción1 Combatir el uso malicioso
Action1 está abordando activamente el problema del abuso de su producto de administración y monitoreo remoto (RMM) por parte de los operadores de ransomware. La empresa ha implementado varias actualizaciones de seguridad para combatir el uso malicioso de su plataforma y, al mismo tiempo, brindar soluciones de administración remota eficientes a su base de usuarios.
Empleo de actualizaciones de seguridad, filtrado de IA
Una de las medidas de seguridad implementadas por Action1 es el uso de filtrado de IA. Esta tecnología analiza la actividad de los usuarios en busca de patrones de comportamiento sospechosos y detecta de forma eficaz las cuentas potencialmente maliciosas. Al aprovechar las capacidades de IA, Action1 tiene como objetivo mitigar el riesgo de que su plataforma sea explotada por actores de amenazas para ataques de ransomware.
La variedad de ransomware Monti
Monti es una cepa de ransomware relativamente nueva que los expertos consideran una variante más nueva de la familia Conti . Se ha observado que esta cepa utiliza tácticas que convirtieron a su predecesor, Conti, en una amenaza importante en el ciberespacio.
Nueva variante de la familia Conti
Monti ha heredado muchas de las tácticas que convirtieron a Conti en una amenaza grave , incluido el abuso del software de administración remota para iniciar ataques de ransomware. Los operadores del ransomware Monti han demostrado ser adaptables al adoptar enfoques exitosos empleados por la familia Conti.
Abuso del software de gestión remota
Conti era conocido por explotar software legítimo de administración remota, como AnyDesk, para obtener acceso no autorizado a las redes y facilitar sus ataques. Monti ha seguido un enfoque similar, con incidentes recientes relacionados con el abuso de Action1 RMM, que utilizan los proveedores de servicios gestionados para la gestión remota de puntos finales en las redes de los clientes.
Posible vínculo entre las pandillas Conti y Monti
El vínculo exacto entre los operadores de ransomware Conti y Monti sigue sin estar claro. Sin embargo, las similitudes en sus tácticas, técnicas y procedimientos sugieren que los criminales detrás de Monti pueden haber sido influenciados por la pandilla Conti o estar directamente relacionados con ella. Independientemente de la conexión, la combinación de Monti de una cepa de ransomware con tácticas comprobadas representa una amenaza significativa para las empresas y sus sistemas.