Skupina izsiljevalske programske opreme Agenda povečuje število okužb po vsem svetu, zahvaljujoč novi in izboljšani različici svoje izsiljevalske programske opreme, osredotočene na virtualne stroje.
Agenda (aka Qilin in Water Galura) je bila prvič opažena leta 2022. Njena prva izsiljevalska programska oprema, ki temelji na Golangu, je bila uporabljena proti nediskriminatornemu nizu tarč: v zdravstvu, proizvodnji in izobraževanju, od Kanade do Kolumbije in Indonezije.
Proti koncu leta 2022 so lastniki programa Agenda znova napisali zlonamerno programsko opremo v Rust, uporaben jezik za avtorje zlonamerne programske opreme, ki želijo razširiti svoje delo med operacijskimi sistemi. Z različico Rust je Agenda lahko ogrozila organizacije na področju financ, prava, gradbeništva in več, predvsem v ZDA, pa tudi v Argentini, Avstraliji, na Tajskem in drugod.
Pred kratkim je Trend Micro ugotovil nova različica izsiljevalske programske opreme Agenda v divjini. Ta najnovejša različica, ki temelji na Rust-u, je opremljena z različnimi novimi funkcionalnostmi in prikritimi mehanizmi ter je usmerjena naravnost v strežnike VMware vCenter in ESXi.
»Napadi izsiljevalske programske opreme na strežnike ESXi so naraščajoči trend,« ugotavlja Stephen Hilt, višji raziskovalec groženj pri Trend Micro. "So privlačne tarče za napade z izsiljevalsko programsko opremo, ker pogosto gostijo kritične sisteme in aplikacije, učinek uspešnega napada pa je lahko pomemben."
New Agenda Ransomware
Glede na Trend Micro so se okužbe Agenda začele povečevati decembra, morda zato, ker je skupina zdaj bolj aktivna ali morda zato, ker so bolj učinkoviti.
Okužbe se začnejo, ko je dvojiška izsiljevalska programska oprema dostavljena prek Cobalt Strike ali orodja za oddaljeno spremljanje in upravljanje (RMM). Skript PowerShell, vdelan v binarno datoteko, omogoča širjenje izsiljevalske programske opreme po strežnikih vCenter in ESXi.
Ko se zlonamerna programska oprema pravilno razširi, spremeni korensko geslo na vseh gostiteljih ESXi in s tem zaklene njihove lastnike, nato pa uporabi varno lupino (SSH) za nalaganje zlonamernega tovora.
Ta nova, zmogljivejša zlonamerna programska oprema Agenda ima vse enake funkcije kot njena predhodnica: skeniranje ali izključevanje določenih poti datotek, širjenje na oddaljene stroje prek PsExec, natančno določanje časovne omejitve, ko se koristni tovor izvede, in tako naprej. Doda pa tudi številne nove ukaze za stopnjevanje privilegijev, poosebljanje žetonov, onemogočanje gruč virtualnih strojev in več.
Ena lahkomiselna, a psihološko vplivna nova funkcija omogoča hekerjem, da natisnejo svoje obvestilo o odkupnini, namesto da ga samo predstavijo na okuženem monitorju.
Napadalci aktivno izvajajo vse te različne ukaze prek lupine, kar jim omogoča izvajanje zlonamernega vedenja, ne da bi za seboj pustili kakršne koli datoteke kot dokaz.
Za dodatno izboljšanje svoje prikritosti si Agenda izposoja tudi nedavno priljubljen trend med napadalci izsiljevalske programske opreme – pripeljite svojega ranljivega voznika (BYOVD) — uporaba ranljivih gonilnikov SYS za izogibanje varnostni programski opremi.
Tveganje izsiljevalske programske opreme
Izsiljevalska programska oprema, ki je bila nekoč ekskluzivna za Windows, je zacvetela Linux in VWware in celo macOS, zahvaljujoč temu, koliko občutljivih informacij hranijo podjetja v teh okoljih.
»Organizacije hranijo različne podatke na strežnikih ESXi, vključno z občutljivimi informacijami, kot so podatki o strankah, finančni zapisi in intelektualna lastnina. Prav tako lahko shranijo varnostne kopije kritičnih sistemov in aplikacij na strežnikih ESXi,« pojasnjuje Hilt. Napadalci izsiljevalske programske opreme plenijo tovrstne občutljive informacije, kjer lahko drugi akterji groženj te iste sisteme uporabijo kot lansirno ploščo za nadaljnje omrežne napade.
Trend Micro v svojem poročilu priporoča, da ogrožene organizacije pozorno spremljajo skrbniške privilegije, redno posodabljajo varnostne izdelke, izvajajo skeniranje in varnostno kopiranje podatkov, izobražujejo zaposlene o socialnem inženiringu in izvajajo skrbno kibernetsko higieno.
»Prizadevanje za znižanje stroškov in ostajanje na mestu bo povzročilo, da bodo organizacije virtualizirale in uporabljale sisteme, kot je ESXi, za virtualizacijo sistemov,« dodaja Hilt, zato bo tveganje virtualizacijskih kibernetskih napadov verjetno samo še naraščalo.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
