Группа вымогателей Agenda наращивает количество заражений по всему миру благодаря новому и улучшенному варианту своей программы-вымогателя, ориентированной на виртуальные машины.
Agenda (также известная как Qilin и Water Galura) была впервые обнаружена в 2022 году. Ее первая программа-вымогатель на базе Golang использовалась против широкого круга целей: в здравоохранении, производстве и образовании — от Канады до Колумбии и Индонезии.
К концу 2022 года владельцы Agenda переписали вредоносное ПО на Rust — полезный язык для авторов вредоносных программ, желающих распространить свою работу на другие операционные системы. С помощью варианта Rust Agenda смогла скомпрометировать организации в сфере финансов, права, строительства и т. д. преимущественно в США, но также в Аргентине, Австралии, Таиланде и других странах.
Совсем недавно Trend Micro выявила новый вариант программы-вымогателя Agenda в дикой природе. Эта последняя версия на основе Rust включает в себя множество новых функций и скрытых механизмов и ориентирована непосредственно на серверы VMware vCenter и ESXi.
«Атаки программ-вымогателей на серверы ESXi — это растущая тенденция», — отмечает Стивен Хилт, старший исследователь угроз в Trend Micro. «Они являются привлекательными целями для атак программ-вымогателей, поскольку на них часто размещаются критически важные системы и приложения, и влияние успешной атаки может быть значительным».
Новая повестка дня
По данным Trend Micro, число заражений Agenda начало расти в декабре, возможно, потому, что группа сейчас более активна, или, возможно, потому, что они более эффективны.
Заражение начинается, когда двоичный файл программы-вымогателя доставляется через Cobalt Strike или инструмент удаленного мониторинга и управления (RMM). Сценарий PowerShell, встроенный в двоичный файл, позволяет программе-вымогателю распространяться по серверам vCenter и ESXi.
После правильного распространения вредоносная программа меняет корневой пароль на всех хостах ESXi, тем самым блокируя их владельцев, а затем использует Secure Shell (SSH) для загрузки вредоносной полезной нагрузки.
Эта новая, более мощная вредоносная программа Agenda обладает всеми теми же функциями, что и ее предшественница: сканирование или исключение определенных путей к файлам, распространение на удаленные машины через PsExec, точное время ожидания при выполнении полезной нагрузки и так далее. Но он также добавляет ряд новых команд для повышения привилегий, олицетворения токенов, отключения кластеров виртуальных машин и многого другого.
Одна легкомысленная, но психологически эффективная новая функция позволяет хакерам распечатать записку о выкупе, а не просто показывать ее на зараженном мониторе.
Злоумышленники активно выполняют все эти различные команды через оболочку, что позволяет им осуществлять свои вредоносные действия, не оставляя никаких файлов в качестве улик.
Чтобы еще больше повысить свою скрытность, Agenda также заимствует недавно популярную тенденцию среди злоумышленников-вымогателей — принесите свой собственный уязвимый драйвер (BYOVD) — использование уязвимых драйверов SYS для обхода защитного программного обеспечения.
Риск программ-вымогателей
Программы-вымогатели, когда-то эксклюзивные для Windows, распространились по всему миру. Linux и VWware и даже MacOS, благодаря тому, сколько конфиденциальной информации компании хранят в этой среде.
«Организации хранят на серверах ESXi различные данные, включая конфиденциальную информацию, такую как данные клиентов, финансовые отчеты и интеллектуальную собственность. Они также могут хранить резервные копии критически важных систем и приложений на серверах ESXi», — объясняет Хилт. Злоумышленники, использующие программы-вымогатели, охотятся за такой конфиденциальной информацией, а другие злоумышленники могут использовать эти же системы в качестве стартовой площадки для дальнейших сетевых атак.
В своем отчете Trend Micro рекомендует организациям, подверженным риску, внимательно следить за административными привилегиями, регулярно обновлять продукты безопасности, выполнять сканирование и резервное копирование данных, обучать сотрудников социальной инженерии и тщательно соблюдать кибергигиену.
«Стремление к сокращению затрат и сохранению локальных систем заставит организации виртуализировать системы и использовать такие системы, как ESXi, для виртуализации систем», — добавляет Хилт, поэтому риск кибератак виртуализации, вероятно, будет только продолжать расти.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers