Les pirates du groupes MONTI louchent sur les environnements Action1 RMM

Les pirates du groupe MONTI s’intéressent de près à l’outil de surveillance et de gestion à distance (RMM) basé sur le cloud Action1 RMM, dans le but de prendre en otage les hébergeurs et les clients.

Action1 RMM est une solution largement utilisée par les fournisseurs de services informatiques gérés (MSP) et les entreprises pour gérer et surveiller à distance les points de terminaison sur un réseau. Les administrateurs peuvent effectuer diverses tâches, telles que les mises à jour de logiciels, le déploiement d’applications, la surveillance des actifs et l’assistance aux utilisateurs.

Cependant, Action1 RMM est devenue une cible d’attaques de cybercriminels, notamment de pirates informatiques du groupe MONTI qui ont utilisé l’outil pour distribuer des rançongiciels.

Les pirates accèdent au panneau de contrôle d’Action1 RMM via des informations d’identification volées ou par force brute pour exécuter des commandes malveillantes sur des ordinateurs infectés. D’autres produits RMM, tels que Kaseya VSA et ConnectWise Automate, ont également été signalés comme étant des cibles d’attaques similaires.

Monti Python !

Ces attaques représentent une menace sérieuse pour les MSP et leurs clients, car elles peuvent affecter des milliers d’ordinateurs en même temps et entraîner une perte massive de données et d’argent. Pour prévenir ces attaques, les utilisateurs doivent suivre les meilleures pratiques de sécurité, telles que l’activation de l’authentification à deux facteurs, la restriction de l’accès au panneau de contrôle par adresse IP, la modification régulière des mots de passe et la surveillance des activités suspectes.

Les chercheurs en sécurité ont également noté que les outils tels qu’Action1 RMM sont très utiles pour les acteurs de la menace qui peuvent les utiliser pour déployer des logiciels malveillants ou obtenir une présence persistante sur les réseaux. Ils ont remarqué que les cybercriminels utilisent de plus en plus le logiciel d’accès à distance Action1 pour assurer leur présence sur des réseaux compromis et exécuter des commandes, des scripts et des binaires.

Les pirates créent une politique pour automatiser l’exécution de binaires tels que Process Monitor, PowerShell, Invite de commandes, etc. pour effectuer des activités de reconnaissance et exécuter du code avec des privilèges système sur les hôtes du réseau.

Depuis quelques semaines, plusieurs groupes exploitent des 0DAY afin de prendre en otage des entreprises, comme ce fût le cas, en février avec les pirates du groupe Cl0p.