Agenda ransomware-gruppen har øget antallet af infektioner verden over takket være en ny og forbedret variant af deres virtuelle maskine-fokuserede ransomware.
Agenda (alias Qilin og Water Galura) blev først opdaget i 2022. Dets første, Golang-baserede ransomware blev brugt mod en række vilkårlige mål: i sundhedspleje, fremstilling og uddannelse, fra Canada til Colombia og Indonesien.
Mod slutningen af 2022 omskrev Agendas ejere sin malware ind Rust, et nyttigt sprog for malware-forfattere, der ønsker at sprede deres arbejde på tværs af operativsystemer. Med Rust-varianten var Agenda i stand til at kompromittere organisationer på tværs af finans, jura, byggeri og mere, overvejende i USA, men også i Argentina, Australien, Thailand og andre steder.
For nylig har Trend Micro identificeret en ny Agenda ransomware variant i det vilde. Denne seneste Rust-baserede version kommer med en række nye funktionaliteter og stealth-mekanismer, og sætter fokus på VMware vCenter- og ESXi-servere.
"Ransomware-angreb mod ESXi-servere er en voksende tendens," bemærker Stephen Hilt, senior trusselforsker hos Trend Micro. "De er attraktive mål for ransomware-angreb, fordi de ofte hoster kritiske systemer og applikationer, og virkningen af et vellykket angreb kan være betydelig."
The New Agenda Ransomware
Agenda-infektioner begyndte at stige i december, ifølge Trend Micro, måske fordi gruppen er mere aktiv nu, eller måske fordi de er mere effektive.
Infektioner begynder, når ransomware-binæren leveres via enten Cobalt Strike eller et fjernovervågnings- og styringsværktøj (RMM). Et PowerShell-script indlejret i binæren tillader ransomware at udbrede sig på tværs af vCenter- og ESXi-servere.
Når den først er korrekt spredt, ændrer malwaren root-adgangskoden på alle ESXi-værter, og låser derved deres ejere ude, og bruger derefter Secure Shell (SSH) til at uploade den ondsindede nyttelast.
Denne nye, mere kraftfulde Agenda-malware deler den samme funktionalitet som sin forgænger: scanning eller udelukkelse af bestemte filstier, udbredelse til fjernmaskiner via PsExec, præcis timeout, når nyttelasten udføres, og så videre. Men det tilføjer også en række nye kommandoer til at eskalere privilegier, efterligne tokens, deaktivere virtuelle maskine-klynger og mere.
En useriøs, men psykologisk virkningsfuld ny funktion giver hackerne mulighed for at udskrive deres løsesumseddel i stedet for blot at præsentere den på en inficeret skærm.
Angriberne udfører aktivt alle disse forskellige kommandoer via en shell, hvilket gør dem i stand til at udføre deres ondsindede adfærd uden at efterlade nogen filer som bevis.
For yderligere at forbedre sin stealth, låner Agenda også fra en nylig populær trend blandt ransomware-angribere - medbring din egen sårbare driver (BYOVD) — brug af sårbare SYS-drivere til at undgå sikkerhedssoftware.
Ransomware risiko
Ransomware, der engang var eksklusivt for Windows, er blomstret op Linux og VWware og endog MacOS, takket være hvor meget følsom information virksomheder opbevarer i disse miljøer.
"Organisationer gemmer en række data på ESXi-servere, herunder følsomme oplysninger såsom kundedata, økonomiske optegnelser og intellektuel ejendom. De kan også gemme sikkerhedskopier af kritiske systemer og applikationer på ESXi-servere,” forklarer Hilt. Ransomware-angribere forgriber sig på denne slags følsomme oplysninger, hvor andre trusselsaktører kan bruge de samme systemer som affyringsrampe til yderligere netværksangreb.
I sin rapport anbefaler Trend Micro, at udsatte organisationer holder nøje øje med administrative privilegier, regelmæssigt opdaterer sikkerhedsprodukter, udfører scanninger og sikkerhedskopierer data, uddanner medarbejdere om social engineering og praktiserer omhyggelig cyberhygiejne.
"Skub til omkostningsreduktion og forblive på stedet vil få organisationer til at virtualisere og bruge systemer som ESXi til at virtualisere systemerne," tilføjer Hilt, så risikoen for virtualiseringscyberangreb vil sandsynligvis kun fortsætte med at vokse.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
- :har
- :er
- :hvor
- $OP
- 2022
- 7
- a
- I stand
- Om
- Ifølge
- tværs
- aktiv
- aktivt
- aktører
- Tilføjer
- administrative
- mod
- dagsorden
- alias
- Alle
- tillader
- også
- blandt
- an
- ,
- enhver
- applikationer
- ER
- Argentina
- AS
- At
- angribe
- Angreb
- attraktivt
- Australien
- forfattere
- backup
- sikkerhedskopier
- BE
- fordi
- været
- begyndte
- begynde
- adfærd
- bag
- men
- CAN
- Canada
- bære
- Årsag
- vis
- Ændringer
- Luk
- Cobalt
- Colombia
- kommer
- Virksomheder
- kompromis
- opbygge
- fortsæt
- Koste
- omkostningsreduktion
- kritisk
- kunde
- kundedata
- Cyber
- cyberangreb
- data
- december
- leveret
- driver
- drivere
- uddanne
- Uddannelse
- Effektiv
- enten
- andetsteds
- indlejret
- medarbejdere
- muliggør
- ende
- Engineering
- forbedre
- miljøer
- eskalerende
- Unddrage
- Endog
- bevismateriale
- Eksklusive
- Eksklusiv
- udføre
- henrettet
- Forklarer
- Feature
- File (Felt)
- Filer
- finansiere
- finansielle
- Fornavn
- Til
- fra
- funktionaliteter
- funktionalitet
- yderligere
- gruppe
- Grow
- Dyrkning
- hackere
- sundhedspleje
- host
- værter
- Hvordan
- HTML
- HTTPS
- identificeret
- KIMOs Succeshistorier
- effektfuld
- forbedret
- in
- Herunder
- vilkårlige
- Indonesien
- inficeret
- infektioner
- oplysninger
- i stedet
- intellektuel
- intellektuel ejendomsret
- IT
- ITS
- jpg
- lige
- Holde
- Venlig
- seneste
- Launchpad
- Lov
- forlader
- ligesom
- Sandsynlig
- låsning
- leder
- maskine
- Maskiner
- ondsindet
- malware
- ledelse
- Produktion
- Kan..
- mekanismer
- mikro
- måske
- Overvåg
- overvågning
- mere
- meget
- netværk
- Ny
- Bemærk
- Noter
- nu
- nummer
- of
- tit
- on
- engang
- kun
- drift
- operativsystemer
- or
- organisationer
- Andet
- ud
- i løbet af
- egen
- ejere
- Adgangskode
- stier
- Udfør
- måske
- plato
- Platon Data Intelligence
- PlatoData
- Populær
- vigtigste
- PowerShell
- praksis
- præcist
- forgænger
- overvejende
- præsentere
- bytte
- privilegier
- Produkter
- korrekt
- ejendom
- Skub ud
- rampe
- rækkevidde
- Ransom
- ransomware
- Ransomware angreb
- RE
- for nylig
- anbefaler
- optegnelser
- reduktion
- regelmæssigt
- resterende
- fjern
- indberette
- forsker
- Risiko
- rod
- Rust
- s
- samme
- scanning
- scanninger
- script
- sikker
- sikkerhed
- senior
- følsom
- Servere
- sæt
- Aktier
- Shell
- Seværdigheder
- signifikant
- So
- Social
- Samfundsteknologi
- Software
- spredes
- ssh
- Stealth
- Stephen
- butik
- strejke
- vellykket
- sådan
- SYS
- Systemer
- mål
- Thailand
- Tak
- at
- deres
- Them
- derefter
- derved
- Disse
- de
- denne
- trussel
- trusselsaktører
- timing
- til
- Tokens
- værktøj
- Trend
- Opdatering
- på
- us
- brug
- anvendte
- nyttigt
- bruger
- ved brug af
- Variant
- række
- forskellige
- udgave
- via
- Virtual
- virtuel maskine
- vmware
- Sårbar
- var
- Ur
- Vand
- Wave
- hvornår
- Wild
- vilje
- vinduer
- med
- inden for
- uden
- Arbejde
- verdensplan
- Din
- zephyrnet
