Η ομάδα ransomware Agenda έχει αυξήσει τις μολύνσεις παγκοσμίως, χάρη σε μια νέα και βελτιωμένη παραλλαγή του ransomware που εστιάζεται σε εικονικές μηχανές.
Το Agenda (γνωστό και ως Qilin και Water Galura) εντοπίστηκε για πρώτη φορά το 2022. Το πρώτο του ransomware με βάση το Golang χρησιμοποιήθηκε ενάντια σε μια αδιάκριτη σειρά στόχων: στην υγειονομική περίθαλψη, την κατασκευή και την εκπαίδευση, από τον Καναδά μέχρι την Κολομβία και την Ινδονησία.
Προς τα τέλη του 2022, οι ιδιοκτήτες του Agenda επανέγραψαν το κακόβουλο λογισμικό του Rust, μια χρήσιμη γλώσσα για δημιουργούς κακόβουλου λογισμικού που θέλουν να διαδώσουν την εργασία τους σε λειτουργικά συστήματα. Με την παραλλαγή Rust, η Agenda μπόρεσε να θέσει σε κίνδυνο οργανισμούς σε χρηματοοικονομικά, νομικά, κατασκευαστικά και πολλά άλλα, κυρίως στις ΗΠΑ αλλά και στην Αργεντινή, την Αυστραλία, την Ταϊλάνδη και αλλού.
Μόλις πρόσφατα, η Trend Micro εντόπισε μια νέα παραλλαγή ransomware Agenda στην άγρια φύση. Αυτή η πιο πρόσφατη έκδοση που βασίζεται στο Rust συνοδεύεται από μια ποικιλία νέων λειτουργιών και μηχανισμών μυστικότητας και στοχεύει ακριβώς στους διακομιστές VMware vCenter και ESXi.
«Οι επιθέσεις ransomware εναντίον διακομιστών ESXi είναι μια αυξανόμενη τάση», σημειώνει ο Stephen Hilt, ανώτερος ερευνητής απειλών στην Trend Micro. «Είναι ελκυστικοί στόχοι για επιθέσεις ransomware επειδή συχνά φιλοξενούν κρίσιμα συστήματα και εφαρμογές και ο αντίκτυπος μιας επιτυχημένης επίθεσης μπορεί να είναι σημαντικός».
The New Agenda Ransomware
Οι μολύνσεις της ατζέντας άρχισαν να αυξάνονται τον Δεκέμβριο, σύμφωνα με την Trend Micro, ίσως επειδή η ομάδα είναι πιο ενεργή τώρα ή ίσως επειδή είναι πιο αποτελεσματικές.
Οι μολύνσεις ξεκινούν όταν το δυαδικό αρχείο ransomware παραδίδεται είτε μέσω του Cobalt Strike είτε μέσω ενός εργαλείου απομακρυσμένης παρακολούθησης και διαχείρισης (RMM). Ένα σενάριο PowerShell που είναι ενσωματωμένο στο δυαδικό σύστημα επιτρέπει στο ransomware να διαδίδεται στους διακομιστές vCenter και ESXi.
Μόλις διαδοθεί σωστά, το κακόβουλο λογισμικό αλλάζει τον κωδικό πρόσβασης root σε όλους τους κεντρικούς υπολογιστές ESXi, κλειδώνοντας έτσι τους κατόχους τους και στη συνέχεια χρησιμοποιεί το Secure Shell (SSH) για να ανεβάσει το κακόβουλο ωφέλιμο φορτίο.
Αυτό το νέο, πιο ισχυρό κακόβουλο λογισμικό Agenda μοιράζεται όλες τις ίδιες λειτουργίες με τον προκάτοχό του: σάρωση ή εξαίρεση ορισμένων διαδρομών αρχείων, μετάδοση σε απομακρυσμένα μηχανήματα μέσω PsExec, ακριβές χρονικό όριο κατά την εκτέλεση του ωφέλιμου φορτίου κ.λπ. Αλλά προσθέτει επίσης μια σειρά από νέες εντολές για την κλιμάκωση των προνομίων, την πλαστοπροσωπία των διακριτικών, την απενεργοποίηση συμπλεγμάτων εικονικών μηχανών και πολλά άλλα.
Ένα επιπόλαιο αλλά ψυχολογικά επηρεασμένο νέο χαρακτηριστικό επιτρέπει στους χάκερ να εκτυπώσουν το σημείωμά τους για τα λύτρα, αντί να το παρουσιάζουν απλώς σε μια μολυσμένη οθόνη.
Οι εισβολείς εκτελούν ενεργά όλες αυτές τις διάφορες εντολές μέσω ενός κελύφους, επιτρέποντάς τους να πραγματοποιούν τις κακόβουλες συμπεριφορές τους χωρίς να αφήνουν κανένα αρχείο πίσω τους ως αποδεικτικό στοιχείο.
Για να ενισχύσει περαιτέρω το stealth της, η Agenda δανείζεται επίσης από μια πρόσφατα δημοφιλή τάση μεταξύ των επιτιθέμενων ransomware — φέρτε τον δικό σας ευάλωτο οδηγό (BYOVD) — χρήση ευάλωτων προγραμμάτων οδήγησης SYS για αποφυγή λογισμικού ασφαλείας.
Κίνδυνος Ransomware
Το Ransomware, κάποτε αποκλειστικό για τα Windows, έχει ανθίσει σε όλο τον κόσμο Linux και VWware και ακόμη macOS, χάρη στο πόσες ευαίσθητες πληροφορίες διατηρούν οι εταιρείες σε αυτά τα περιβάλλοντα.
«Οι οργανισμοί αποθηκεύουν μια ποικιλία δεδομένων σε διακομιστές ESXi, συμπεριλαμβανομένων ευαίσθητων πληροφοριών όπως δεδομένα πελατών, οικονομικά αρχεία και πνευματική ιδιοκτησία. Μπορούν επίσης να αποθηκεύουν αντίγραφα ασφαλείας κρίσιμων συστημάτων και εφαρμογών σε διακομιστές ESXi», εξηγεί η Hilt. Οι εισβολείς ransomware υφίστανται αυτού του είδους τις ευαίσθητες πληροφορίες, όπου άλλοι παράγοντες απειλών ενδέχεται να χρησιμοποιήσουν αυτά τα ίδια συστήματα ως σημείο εκκίνησης για περαιτέρω επιθέσεις δικτύου.
Στην έκθεσή της, η Trend Micro συνιστά στους οργανισμούς που διατρέχουν κίνδυνο να παρακολουθούν στενά τα προνόμια διαχείρισης, να ενημερώνουν τακτικά προϊόντα ασφαλείας, να εκτελούν σαρώσεις και να δημιουργούν αντίγραφα ασφαλείας δεδομένων, να εκπαιδεύουν τους υπαλλήλους σχετικά με την κοινωνική μηχανική και να εφαρμόζουν επιμελή υγιεινή στον κυβερνοχώρο.
«Η ώθηση για μείωση του κόστους και παραμονή στην αρχή θα αναγκάσει τους οργανισμούς να εικονικοποιήσουν και να χρησιμοποιήσουν συστήματα όπως το ESXi για να εικονικοποιήσουν τα συστήματα», προσθέτει η Hilt, επομένως ο κίνδυνος κυβερνοεπιθέσεων εικονικοποίησης πιθανότατα θα συνεχίσει να αυξάνεται.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
- :έχει
- :είναι
- :που
- $UP
- 2022
- 7
- a
- Ικανός
- Σχετικα
- Σύμφωνα με
- απέναντι
- ενεργός
- δραστήρια
- φορείς
- Προσθέτει
- διοικητικός
- κατά
- ημερήσια διάταξη
- aka
- Όλα
- επιτρέπει
- Επίσης
- μεταξύ των
- an
- και
- κάθε
- εφαρμογές
- ΕΙΝΑΙ
- Αργεντίνη
- AS
- At
- επίθεση
- Επιθέσεις
- ελκυστικός
- Australia
- συγγραφείς
- εφεδρικός
- αντιγράφων ασφαλείας
- BE
- επειδή
- ήταν
- ξεκίνησε
- αρχίζουν
- συμπεριφορές
- πίσω
- αλλά
- CAN
- Canada
- κουβαλάω
- Αιτία
- ορισμένες
- Αλλαγές
- Κλεισιμο
- Κοβάλτιο
- Κολομβία
- έρχεται
- Εταιρείες
- συμβιβασμός
- δόμηση
- ΣΥΝΕΧΕΙΑ
- Κόστος
- μείωση κόστους
- κρίσιμης
- πελάτης
- στοιχεία πελάτη
- στον κυβερνοχώρο
- cyberattacks
- ημερομηνία
- Δεκέμβριος
- παραδίδεται
- οδηγός
- οδηγοί
- εκπαιδεύσει
- Εκπαίδευση
- Αποτελεσματικός
- είτε
- αλλού
- ενσωματωμένο
- υπαλλήλους
- ενεργοποίηση
- τέλος
- Μηχανική
- ενίσχυση
- περιβάλλοντα
- κλιμακώνοντας
- διαφυγής
- Even
- απόδειξη
- Με εξαίρεση
- Αποκλειστικό
- εκτελέσει
- εκτελέστηκε
- Εξηγεί
- Χαρακτηριστικό
- Αρχεία
- Αρχεία
- χρηματοδότηση
- οικονομικός
- Όνομα
- Για
- από
- λειτουργίες
- λειτουργικότητα
- περαιτέρω
- Group
- Grow
- Μεγαλώνοντας
- χάκερ
- υγειονομική περίθαλψη
- οικοδεσπότης
- οικοδεσπότες
- Πως
- HTML
- HTTPS
- προσδιορίζονται
- Επίπτωση
- επιπτώσεις
- βελτιωθεί
- in
- Συμπεριλαμβανομένου
- άνευ διακρίσεως
- Indonesia
- μολυνθεί
- λοιμώξεις
- πληροφορίες
- αντί
- διανοούμενος
- πνευματικής ιδιοκτησίας
- IT
- ΤΟΥ
- jpg
- μόλις
- Διατήρηση
- Είδος
- αργότερο
- Launchpad
- Νόμος
- αφήνοντας
- Μου αρέσει
- Πιθανός
- ασφάλισης
- κοιτάζοντας
- μηχανή
- μηχανήματα
- κακόβουλο
- malware
- διαχείριση
- κατασκευής
- Ενδέχεται..
- μηχανισμούς
- μικρο
- ενδέχεται να
- Παρακολούθηση
- παρακολούθηση
- περισσότερο
- πολύ
- δίκτυο
- Νέα
- σημείωση
- Notes
- τώρα
- αριθμός
- of
- συχνά
- on
- μια φορά
- αποκλειστικά
- λειτουργίας
- λειτουργικά συστήματα
- or
- οργανώσεις
- ΑΛΛΑ
- έξω
- επί
- δική
- ιδιοκτήτες
- Κωδικός Πρόσβασης
- μονοπάτια
- Εκτελέστε
- ίσως
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δημοφιλής
- ισχυρός
- PowerShell
- πρακτική
- ακριβώς
- προκάτοχος
- κυρίως
- παρουσιάζοντας
- λεία
- προνόμια
- Προϊόντα
- δεόντως
- περιουσία
- Σπρώξτε
- ράμπες
- σειρά
- Λύτρα
- ransomware
- Επιθέσεις Ransomware
- RE
- πρόσφατα
- συνιστά
- αρχεία
- μείωση
- τακτικά
- υπόλοιπα
- μακρινός
- αναφέρουν
- ερευνητής
- Κίνδυνος
- ρίζα
- Σκωρία
- s
- ίδιο
- σάρωσης
- σαρώσεις
- γραφή
- προστατευμένο περιβάλλον
- ασφάλεια
- αρχαιότερος
- ευαίσθητος
- Διακομιστές
- Σέτς
- Μερίδια
- κέλυφος
- Αξιοθέατα
- σημαντικός
- So
- Μ.Κ.Δ
- Κοινωνική μηχανική
- λογισμικό
- διάδοση
- ssh
- Stealth
- Στέφανος
- κατάστημα
- απεργία
- επιτυχής
- τέτοιος
- SYS
- συστήματα
- στόχους
- Thailand
- Ευχαριστώ
- ότι
- Η
- τους
- Τους
- τότε
- εκ τούτου
- Αυτοί
- αυτοί
- αυτό
- απειλή
- απειλή
- συγχρονισμός
- προς την
- κουπόνια
- εργαλείο
- τάση
- Ενημέρωση
- επάνω σε
- us
- χρήση
- μεταχειρισμένος
- χρήσιμος
- χρησιμοποιεί
- χρησιμοποιώντας
- Παραλλαγή
- ποικιλία
- διάφορα
- εκδοχή
- μέσω
- Πραγματικός
- εικονική μηχανή
- vmware
- Ευάλωτες
- ήταν
- Δες
- Νερό
- WAVE
- πότε
- Άγριος
- θα
- παράθυρα
- με
- εντός
- χωρίς
- Εργασία
- παγκόσμιος
- Σας
- zephyrnet