Η ομάδα ransomware Agenda έχει αυξήσει τις μολύνσεις παγκοσμίως, χάρη σε μια νέα και βελτιωμένη παραλλαγή του ransomware που εστιάζεται σε εικονικές μηχανές.

Το Agenda (γνωστό και ως Qilin και Water Galura) εντοπίστηκε για πρώτη φορά το 2022. Το πρώτο του ransomware με βάση το Golang χρησιμοποιήθηκε ενάντια σε μια αδιάκριτη σειρά στόχων: στην υγειονομική περίθαλψη, την κατασκευή και την εκπαίδευση, από τον Καναδά μέχρι την Κολομβία και την Ινδονησία.

Προς τα τέλη του 2022, οι ιδιοκτήτες του Agenda επανέγραψαν το κακόβουλο λογισμικό του Rust, μια χρήσιμη γλώσσα για δημιουργούς κακόβουλου λογισμικού που θέλουν να διαδώσουν την εργασία τους σε λειτουργικά συστήματα. Με την παραλλαγή Rust, η Agenda μπόρεσε να θέσει σε κίνδυνο οργανισμούς σε χρηματοοικονομικά, νομικά, κατασκευαστικά και πολλά άλλα, κυρίως στις ΗΠΑ αλλά και στην Αργεντινή, την Αυστραλία, την Ταϊλάνδη και αλλού.

Μόλις πρόσφατα, η Trend Micro εντόπισε μια νέα παραλλαγή ransomware Agenda στην άγρια ​​φύση. Αυτή η πιο πρόσφατη έκδοση που βασίζεται στο Rust συνοδεύεται από μια ποικιλία νέων λειτουργιών και μηχανισμών μυστικότητας και στοχεύει ακριβώς στους διακομιστές VMware vCenter και ESXi.

«Οι επιθέσεις ransomware εναντίον διακομιστών ESXi είναι μια αυξανόμενη τάση», σημειώνει ο Stephen Hilt, ανώτερος ερευνητής απειλών στην Trend Micro. «Είναι ελκυστικοί στόχοι για επιθέσεις ransomware επειδή συχνά φιλοξενούν κρίσιμα συστήματα και εφαρμογές και ο αντίκτυπος μιας επιτυχημένης επίθεσης μπορεί να είναι σημαντικός».

The New Agenda Ransomware

Οι μολύνσεις της ατζέντας άρχισαν να αυξάνονται τον Δεκέμβριο, σύμφωνα με την Trend Micro, ίσως επειδή η ομάδα είναι πιο ενεργή τώρα ή ίσως επειδή είναι πιο αποτελεσματικές.

Οι μολύνσεις ξεκινούν όταν το δυαδικό αρχείο ransomware παραδίδεται είτε μέσω του Cobalt Strike είτε μέσω ενός εργαλείου απομακρυσμένης παρακολούθησης και διαχείρισης (RMM). Ένα σενάριο PowerShell που είναι ενσωματωμένο στο δυαδικό σύστημα επιτρέπει στο ransomware να διαδίδεται στους διακομιστές vCenter και ESXi.

Μόλις διαδοθεί σωστά, το κακόβουλο λογισμικό αλλάζει τον κωδικό πρόσβασης root σε όλους τους κεντρικούς υπολογιστές ESXi, κλειδώνοντας έτσι τους κατόχους τους και στη συνέχεια χρησιμοποιεί το Secure Shell (SSH) για να ανεβάσει το κακόβουλο ωφέλιμο φορτίο.

Αυτό το νέο, πιο ισχυρό κακόβουλο λογισμικό Agenda μοιράζεται όλες τις ίδιες λειτουργίες με τον προκάτοχό του: σάρωση ή εξαίρεση ορισμένων διαδρομών αρχείων, μετάδοση σε απομακρυσμένα μηχανήματα μέσω PsExec, ακριβές χρονικό όριο κατά την εκτέλεση του ωφέλιμου φορτίου κ.λπ. Αλλά προσθέτει επίσης μια σειρά από νέες εντολές για την κλιμάκωση των προνομίων, την πλαστοπροσωπία των διακριτικών, την απενεργοποίηση συμπλεγμάτων εικονικών μηχανών και πολλά άλλα.

Ένα επιπόλαιο αλλά ψυχολογικά επηρεασμένο νέο χαρακτηριστικό επιτρέπει στους χάκερ να εκτυπώσουν το σημείωμά τους για τα λύτρα, αντί να το παρουσιάζουν απλώς σε μια μολυσμένη οθόνη.

Οι εισβολείς εκτελούν ενεργά όλες αυτές τις διάφορες εντολές μέσω ενός κελύφους, επιτρέποντάς τους να πραγματοποιούν τις κακόβουλες συμπεριφορές τους χωρίς να αφήνουν κανένα αρχείο πίσω τους ως αποδεικτικό στοιχείο.

Για να ενισχύσει περαιτέρω το stealth της, η Agenda δανείζεται επίσης από μια πρόσφατα δημοφιλή τάση μεταξύ των επιτιθέμενων ransomware — φέρτε τον δικό σας ευάλωτο οδηγό (BYOVD) — χρήση ευάλωτων προγραμμάτων οδήγησης SYS για αποφυγή λογισμικού ασφαλείας.

Κίνδυνος Ransomware

Το Ransomware, κάποτε αποκλειστικό για τα Windows, έχει ανθίσει σε όλο τον κόσμο Linux και VWware και ακόμη macOS, χάρη στο πόσες ευαίσθητες πληροφορίες διατηρούν οι εταιρείες σε αυτά τα περιβάλλοντα.

«Οι οργανισμοί αποθηκεύουν μια ποικιλία δεδομένων σε διακομιστές ESXi, συμπεριλαμβανομένων ευαίσθητων πληροφοριών όπως δεδομένα πελατών, οικονομικά αρχεία και πνευματική ιδιοκτησία. Μπορούν επίσης να αποθηκεύουν αντίγραφα ασφαλείας κρίσιμων συστημάτων και εφαρμογών σε διακομιστές ESXi», εξηγεί η Hilt. Οι εισβολείς ransomware υφίστανται αυτού του είδους τις ευαίσθητες πληροφορίες, όπου άλλοι παράγοντες απειλών ενδέχεται να χρησιμοποιήσουν αυτά τα ίδια συστήματα ως σημείο εκκίνησης για περαιτέρω επιθέσεις δικτύου.

Στην έκθεσή της, η Trend Micro συνιστά στους οργανισμούς που διατρέχουν κίνδυνο να παρακολουθούν στενά τα προνόμια διαχείρισης, να ενημερώνουν τακτικά προϊόντα ασφαλείας, να εκτελούν σαρώσεις και να δημιουργούν αντίγραφα ασφαλείας δεδομένων, να εκπαιδεύουν τους υπαλλήλους σχετικά με την κοινωνική μηχανική και να εφαρμόζουν επιμελή υγιεινή στον κυβερνοχώρο.

«Η ώθηση για μείωση του κόστους και παραμονή στην αρχή θα αναγκάσει τους οργανισμούς να εικονικοποιήσουν και να χρησιμοποιήσουν συστήματα όπως το ESXi για να εικονικοποιήσουν τα συστήματα», προσθέτει η Hilt, επομένως ο κίνδυνος κυβερνοεπιθέσεων εικονικοποίησης πιθανότατα θα συνεχίσει να αυξάνεται.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers