Pourtant, une autre plate-forme logicielle d’entreprise légitime est exploitée par divers cybercriminels pour déployer des logiciels malveillants et des rançongiciels sur des victimes sans méfiance. Les chercheurs en cybersécurité du rapport DFIR ont observé plusieurs acteurs de la menace utilisant Action1 RMM, une solution de surveillance et de gestion de bureau à distance par ailleurs bénigne.
Comme tout autre outil de gestion à distance, Action1 est utilisé par les fournisseurs de services gérés (MSP) et d’autres équipes informatiques pour gérer les terminaux. (s’ouvre dans un nouvel onglet) dans un réseau à partir d’un emplacement distant. Ils peuvent l’utiliser pour gérer les correctifs logiciels, l’installation de logiciels, le dépannage, etc.
UN BipOrdinateur rapport laisse entendre que les criminels ciblent ce logiciel en particulier, en raison de l’abondance de fonctionnalités qu’il offre dans sa version gratuite. À savoir, jusqu’à 100 terminaux peuvent être desservis sur le plan gratuit – la seule restriction pour la version gratuite, ce qui pourrait en faire un outil intéressant pour les criminels.
Conti dresse sa vilaine tête
Plusieurs équipes non identifiées ont été repérées en utilisant Action1 dans leurs campagnes, mais une se démarque en particulier – Monti. Ce groupe a été repéré pour la première fois l’été dernier par des chercheurs en cybersécurité de l’équipe de réponse aux incidents BlackBerry, et il a été découvert plus tard que Monti partage de nombreux traits avec le tristement célèbre syndicat Conti.
Les attaques de Conti étaient généralement menées via AnyDesk, ou Atera, plutôt qu’Action1. Les attaquants ont également été observés en utilisant ManageEngine Desktop Central de Zoho.
Dans tous les scénarios, les attaquants utiliseraient des outils de surveillance et de gestion à distance pour installer toutes sortes de logiciels malveillants sur les terminaux des victimes et, dans certains cas, même des ransomwares.
Parfois, les attaquants envoyaient un e-mail, se faisant passer pour une grande marque, et exigeant que la victime entre en contact de toute urgence afin d’arrêter une transaction importante ou de recevoir un énorme remboursement. Après avoir pris contact avec la victime, celle-ci exigerait qu’elle installe le logiciel RMM, puis l’utilise pour compromettre les systèmes cibles.
L’entreprise est consciente que son logiciel est utilisé à des fins malveillantes et essaie d’aider, bien qu’elle ne puisse pas vraiment faire grand-chose : « L’année dernière, nous avons déployé un système de filtrage des acteurs malveillants qui analyse l’activité des utilisateurs à la recherche de comportements suspects, suspend automatiquement les comptes potentiellement malveillants et alerte l’équipe de sécurité dédiée d’Action1 pour enquêter sur le problème », a déclaré Mike Walters, vice-président de Vulnerability and Threat Research et co-fondateur d’Action1 Corporation. BipOrdinateur.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)