Група програм-вимагачів Agenda нарощує кількість заражень у всьому світі завдяки новому вдосконаленому варіанту програм-вимагачів, орієнтованих на віртуальні машини.
Agenda (він же Qilin і Water Galura) вперше була помічена в 2022 році. Його перше програмне забезпечення-вимагач на основі Golang було використано проти цілого ряду невибіркових цілей: у сфері охорони здоров’я, виробництва та освіти, від Канади до Колумбії та Індонезії.
Наприкінці 2022 року власники Agenda переписали зловмисне програмне забезпечення в Rust, корисна мова для авторів зловмисного програмного забезпечення, які бажають поширити свою роботу між операційними системами. Завдяки варіанту Rust Agenda змогла скомпрометувати фінансові, юридичні, будівельні організації тощо, переважно в США, а також в Аргентині, Австралії, Таїланді та інших країнах.
Нещодавно компанія Trend Micro визначила новий варіант програми-вимагача Agenda в дикій природі. Ця остання версія на базі Rust має низку нових функціональних можливостей і механізмів скритності та орієнтується прямо на сервери VMware vCenter і ESXi.
«Атаки програм-вимагачів проти серверів ESXi є зростаючою тенденцією, — зазначає Стівен Гілт, старший дослідник загроз у Trend Micro. «Вони є привабливими цілями для атак програм-вимагачів, оскільки вони часто містять критично важливі системи та програми, і вплив успішної атаки може бути значним».
Програма-вимагач New Agenda
Згідно з даними Trend Micro, кількість заражень Agenda почала зростати в грудні, можливо, через те, що група зараз більш активна, або, можливо, тому, що вони більш ефективні.
Зараження починається, коли двійковий файл програми-вимагача доставляється через Cobalt Strike або інструмент віддаленого моніторингу та керування (RMM). Сценарій PowerShell, вбудований у двійковий файл, дозволяє програмі-вимагачу поширюватися на серверах vCenter і ESXi.
Після належного розповсюдження зловмисне програмне забезпечення змінює пароль root на всіх хостах ESXi, таким чином блокуючи їхніх власників, а потім використовує Secure Shell (SSH) для завантаження зловмисного корисного навантаження.
Це нове, більш потужне зловмисне програмне забезпечення Agenda має ті ж функції, що й його попередник: сканування або виключення певних шляхів до файлів, розповсюдження на віддалені машини через PsExec, точне визначення часу очікування під час виконання корисного навантаження тощо. Але він також додає низку нових команд для підвищення привілеїв, уособлення токенів, відключення кластерів віртуальних машин тощо.
Одна несерйозна, але психологічно вражаюча нова функція дозволяє хакерам друкувати свою записку про викуп, а не просто показувати її на зараженому моніторі.
Зловмисники активно виконують усі ці різноманітні команди через оболонку, що дозволяє їм виконувати свою зловмисну поведінку, не залишаючи жодних файлів як доказів.
Щоб ще більше підвищити свою скритність, Agenda також запозичує нещодавно популярну тенденцію серед зловмисників програм-вимагачів — візьміть із собою власного вразливого водія (BYOVD) — використання вразливих драйверів SYS для ухилення від програм безпеки.
Ризик програм-вимагачів
Програми-вимагачі, колись ексклюзивні для Windows, розквітли Linux і VWware і навіть MacOS, завдяки тому, скільки конфіденційної інформації компанії зберігають у цих середовищах.
«Організації зберігають різноманітні дані на серверах ESXi, включаючи конфіденційну інформацію, таку як дані клієнтів, фінансові записи та інтелектуальну власність. Вони також можуть зберігати резервні копії критично важливих систем і програм на серверах ESXi», — пояснює Хілт. Зловмисники-вимагачі полюють на таку конфіденційну інформацію, де інші суб’єкти загрози можуть використовувати ці ж системи як стартовий майданчик для подальших мережевих атак.
У своєму звіті Trend Micro рекомендує організаціям, які знаходяться в зоні ризику, уважно стежити за адміністративними привілеями, регулярно оновлювати продукти безпеки, виконувати сканування та резервне копіювання даних, навчати співробітників соціальної інженерії та ретельно дотримуватися кібергігієни.
«Прагнення скоротити витрати та залишатися на місці змусить організації віртуалізувати та використовувати такі системи, як ESXi, для віртуалізації систем», — додає Хілт, тому ризик віртуалізаційних кібератак, швидше за все, лише зростатиме.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
