Otra plataforma de software empresarial legítima está siendo abusada por varios ciberdelincuentes para implementar malware y ransomware en víctimas desprevenidas. Los investigadores de seguridad cibernética de The DFIR Report han observado múltiples actores de amenazas que usan Action1 RMM, una solución de administración y monitoreo de escritorio remoto que de otro modo sería benigna.
Al igual que cualquier otra herramienta de administración remota, los proveedores de servicios administrados (MSP) y otros equipos de TI utilizan Action1 para administrar puntos finales. (se abre en una pestaña nueva) en una red desde una ubicación remota. Pueden usarlo para manejar parches de software, instalación de software, solución de problemas y similares.
A BleepingEquipo El informe insinúa que los delincuentes tienen como objetivo este software en particular, debido a la abundancia de funciones que ofrece en su versión gratuita. Es decir, se pueden atender hasta 100 puntos finales en el plan gratuito, la única restricción para la versión gratuita, lo que podría convertirla en una herramienta interesante para los delincuentes.
Conti asoma su fea cabeza
Varios equipos no identificados fueron vistos usando Action1 en sus campañas, pero uno se destaca en particular: Monti. Este grupo fue descubierto por primera vez el verano pasado por investigadores de seguridad cibernética del Equipo de Respuesta a Incidentes de BlackBerry, y luego se descubrió que Monti comparte muchos rasgos con el infame sindicato Conti.
Los ataques de Conti generalmente se llevaban a cabo a través de AnyDesk o Atera, en lugar de Action1. También se observó a los atacantes usando ManageEngine Desktop Central de Zoho.
En cualquier escenario, los atacantes usarían herramientas de administración y monitoreo remoto para instalar todo tipo de malware en los terminales de las víctimas y, en algunos casos, incluso ransomware.
A veces, los atacantes enviaban un correo electrónico haciéndose pasar por una marca importante y exigían que la víctima se pusiera en contacto con urgencia para detener una transacción grande o recibir un reembolso enorme. Después de ponerse en contacto con la víctima, le exigirían que instalara el software RMM y luego lo usaría para comprometer los sistemas de destino.
La empresa es consciente de que se está abusando de su software con fines nefastos y está tratando de ayudar, aunque en realidad no hay mucho que pueda hacer: “El año pasado implementamos un sistema de filtrado de actores de amenazas que escanea la actividad del usuario en busca de patrones de comportamiento sospechosos. suspende automáticamente las cuentas potencialmente maliciosas y alerta al equipo de seguridad dedicado de Action1 para que investigue el problema”, dijo Mike Walters, vicepresidente de Vulnerability and Threat Research y cofundador de Action1 Corporation. BleepingEquipo.
Vía: BleepingComputer (se abre en una pestaña nueva)