Le groupe de ransomwares Agenda a intensifié les infections dans le monde entier, grâce à une nouvelle variante améliorée de son ransomware axé sur les machines virtuelles.

Agenda (alias Qilin et Water Galura) a été repéré pour la première fois en 2022. Son premier ransomware basé sur Golang a été utilisé contre un éventail aveugle de cibles : dans les domaines de la santé, de l'industrie manufacturière et de l'éducation, du Canada à la Colombie et à l'Indonésie.

Vers la fin de 2022, les propriétaires d'Agenda ont réécrit son malware en Rust, un langage utile pour les auteurs de logiciels malveillants qui cherchent à diffuser leur travail sur plusieurs systèmes d'exploitation. Avec la variante Rust, Agenda a pu compromettre des organisations dans les domaines de la finance, du droit, de la construction et bien plus encore, principalement aux États-Unis, mais aussi en Argentine, en Australie, en Thaïlande et ailleurs.

Tout récemment, Trend Micro a identifié une nouvelle variante du ransomware Agenda dans la nature. Cette dernière version basée sur Rust est dotée d'une variété de nouvelles fonctionnalités et de mécanismes furtifs, et vise directement les serveurs VMware vCenter et ESXi.

« Les attaques de ransomware contre les serveurs ESXi sont une tendance croissante », note Stephen Hilt, chercheur principal en menaces chez Trend Micro. « Ils constituent des cibles attractives pour les attaques de ransomwares, car ils hébergent souvent des systèmes et des applications critiques, et l'impact d'une attaque réussie peut être important. »

Le nouveau ransomware à l’ordre du jour

Les infections programmées ont commencé à augmenter en décembre, selon Trend Micro, peut-être parce que le groupe est plus actif désormais, ou peut-être parce qu'il est plus efficace.

Les infections commencent lorsque le binaire du ransomware est livré via Cobalt Strike ou un outil de surveillance et de gestion à distance (RMM). Un script PowerShell intégré au binaire permet au ransomware de se propager sur les serveurs vCenter et ESXi.

Une fois correctement diffusé, le malware modifie le mot de passe root sur tous les hôtes ESXi, verrouillant ainsi leurs propriétaires, puis utilise Secure Shell (SSH) pour télécharger la charge utile malveillante.

Ce nouveau malware Agenda, plus puissant, partage les mêmes fonctionnalités que son prédécesseur : analyser ou exclure certains chemins de fichiers, se propager aux machines distantes via PsExec, chronométrer précisément l'exécution de la charge utile, etc. Mais il ajoute également un certain nombre de nouvelles commandes permettant d'augmenter les privilèges, d'usurper l'identité des jetons, de désactiver les clusters de machines virtuelles, etc.

Une nouvelle fonctionnalité frivole mais ayant un impact psychologique permet aux pirates d'imprimer leur demande de rançon, au lieu de simplement la présenter sur un écran infecté.

Les attaquants exécutent activement toutes ces différentes commandes via un shell, leur permettant de mettre en œuvre leurs comportements malveillants sans laisser de fichiers comme preuve.

Pour améliorer encore sa furtivité, Agenda s'inspire également d'une tendance récemment populaire parmi les attaquants de ransomwares : apportez votre propre conducteur vulnérable (BYOVD) - en utilisant des pilotes SYS vulnérables pour échapper aux logiciels de sécurité.

Risque de rançongiciel

Les ransomwares, autrefois exclusifs à Windows, se sont multipliés partout Linux et VWware et même macOS, grâce à la quantité d'informations sensibles que les entreprises conservent dans ces environnements.

« Les organisations stockent diverses données sur les serveurs ESXi, y compris des informations sensibles telles que les données clients, les dossiers financiers et la propriété intellectuelle. Ils peuvent également stocker des sauvegardes de systèmes et d'applications critiques sur des serveurs ESXi », explique Hilt. Les attaquants de ransomware s’attaquent à ce type d’informations sensibles, alors que d’autres acteurs malveillants pourraient utiliser ces mêmes systèmes comme rampe de lancement pour d’autres attaques réseau.

Dans son rapport, Trend Micro recommande aux organisations à risque de surveiller de près les privilèges administratifs, de mettre régulièrement à jour les produits de sécurité, d'effectuer des analyses et de sauvegarder les données, de former les employés à l'ingénierie sociale et de pratiquer une cyber-hygiène diligente.

"La volonté de réduire les coûts et de rester sur site amènera les organisations à virtualiser et à utiliser des systèmes comme ESXi pour virtualiser les systèmes", ajoute Hilt, de sorte que le risque de cyberattaques de virtualisation ne fera probablement que croître.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers