Grup ransomware Agenda telah meningkatkan infeksi di seluruh dunia, berkat varian baru dan lebih baik dari ransomware yang berfokus pada mesin virtual.

Agenda (alias Qilin dan Water Galura) pertama kali terlihat pada tahun 2022. Ransomware pertama berbasis Golang digunakan untuk menargetkan berbagai target: di bidang perawatan kesehatan, manufaktur, dan pendidikan, dari Kanada hingga Kolombia dan Indonesia.

Menjelang akhir tahun 2022, pemilik Agenda menulis ulang malware-nya Karat, bahasa yang berguna untuk pembuat malware yang ingin menyebarkan karyanya ke seluruh sistem operasi. Dengan varian Rust, Agenda mampu mengkompromikan organisasi di bidang keuangan, hukum, konstruksi, dan banyak lagi, terutama di AS tetapi juga di Argentina, Australia, Thailand, dan negara lain.

Baru-baru ini, Trend Micro mengidentifikasi varian ransomware Agenda baru di alam liar. Versi terbaru berbasis Rust ini hadir dengan beragam fungsi baru dan mekanisme siluman, dan mengarahkan perhatiannya tepat pada server VMware vCenter dan ESXi.

“Serangan Ransomware terhadap server ESXi sedang menjadi tren,” kata Stephen Hilt, peneliti ancaman senior di Trend Micro. “Mereka adalah target yang menarik untuk serangan ransomware karena mereka sering menjadi host bagi sistem dan aplikasi penting, dan dampak dari keberhasilan serangan bisa sangat signifikan.”

Ransomware Agenda Baru

Agenda infeksi mulai meningkat pada bulan Desember, menurut Trend Micro, mungkin karena kelompok tersebut sekarang lebih aktif, atau mungkin karena mereka lebih efektif.

Infeksi dimulai ketika biner ransomware dikirimkan melalui Cobalt Strike, atau alat pemantauan dan manajemen jarak jauh (RMM). Skrip PowerShell yang tertanam dalam biner memungkinkan ransomware menyebar ke seluruh server vCenter dan ESXi.

Setelah disebarluaskan dengan benar, malware tersebut mengubah kata sandi root pada semua host ESXi, sehingga mengunci pemiliknya, kemudian menggunakan Secure Shell (SSH) untuk mengunggah muatan berbahaya tersebut.

Malware Agenda baru yang lebih kuat ini memiliki semua fungsi yang sama seperti pendahulunya: memindai atau mengecualikan jalur file tertentu, menyebar ke mesin jarak jauh melalui PsExec, mengatur waktu secara tepat kapan payload dieksekusi, dan seterusnya. Namun itu juga menambahkan sejumlah perintah baru untuk meningkatkan hak istimewa, meniru token, menonaktifkan cluster mesin virtual, dan banyak lagi.

Salah satu fitur baru yang sembrono namun berdampak secara psikologis memungkinkan para peretas mencetak catatan tebusan mereka, alih-alih hanya menampilkannya di monitor yang terinfeksi.

Penyerang secara aktif menjalankan berbagai perintah ini melalui shell, memungkinkan mereka melakukan perilaku jahat tanpa meninggalkan file apa pun sebagai bukti.

Untuk lebih meningkatkan kemampuan silumannya, Agenda juga mengadopsi tren yang baru-baru ini populer di kalangan penyerang ransomware — bawa driver Anda sendiri yang rentan (BYOVD) — menggunakan driver SYS yang rentan untuk menghindari perangkat lunak keamanan.

Risiko Ransomware

Ransomware, yang awalnya hanya tersedia di Windows, kini telah berkembang pesat Linux dan VWware dan bahkan MacOS, berkat banyaknya informasi sensitif yang disimpan perusahaan dalam lingkungan ini.

“Organisasi menyimpan berbagai data di server ESXi, termasuk informasi sensitif seperti data pelanggan, catatan keuangan, dan kekayaan intelektual. Mereka juga dapat menyimpan cadangan sistem dan aplikasi penting di server ESXi,” jelas Hilt. Penyerang Ransomware memangsa informasi sensitif semacam ini, dan pelaku ancaman lain mungkin menggunakan sistem yang sama sebagai landasan untuk serangan jaringan lebih lanjut.

Dalam laporannya, Trend Micro merekomendasikan agar organisasi-organisasi yang berisiko terus mengawasi hak administratif, memperbarui produk keamanan secara rutin, melakukan pemindaian, dan mencadangkan data, mengedukasi karyawan tentang rekayasa sosial, dan mempraktikkan kebersihan dunia maya dengan rajin.

“Dorongan untuk mengurangi biaya dan tetap berada di lokasi akan menyebabkan organisasi melakukan virtualisasi dan menggunakan sistem seperti ESXi untuk memvirtualisasikan sistemnya,” tambah Hilt, sehingga risiko serangan siber virtualisasi kemungkinan akan terus meningkat.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers