A Worldwide Agenda Ransomware Wave a VMware ESXi szervereket célozza meg

Az Agenda ransomware csoport világszerte felgyorsítja a fertőzések számát, köszönhetően a virtuális gépekre összpontosító zsarolóvírus új és továbbfejlesztett változatának.

Az Agendát (más néven Qilin és Water Galura) 2022-ben észlelték először. Az első, Golang-alapú ransomware-t egy sor célpont ellen használták fel: az egészségügyben, a gyártásban és az oktatásban Kanadától Kolumbiáig és Indonéziáig.

2022 vége felé az Agenda tulajdonosai újraírták a rosszindulatú programját Rozsda, hasznos nyelv rosszindulatú programok szerzői számára, akik munkájukat operációs rendszerek között szeretnék terjeszteni. A Rust változattal az Agenda képes volt kompromittálni a pénzügyi, jogi, építőipari és egyéb szervezeteket, elsősorban az Egyesült Államokban, de Argentínában, Ausztráliában, Thaiföldön és máshol is.

Nemrég azonosította a Trend Micro egy új Agenda ransomware változat a vadonban. Ez a legújabb Rust-alapú verzió számos új funkciót és lopakodó mechanizmust tartalmaz, és kifejezetten a VMware vCenter és ESXi szerverekre helyezi a hangsúlyt.

„Az ESXi szerverek elleni zsarolóvírus-támadások növekvő tendenciát mutatnak” – jegyzi meg Stephen Hilt, a Trend Micro vezető fenyegetéskutatója. "Vonzó célpontok a zsarolóvírus-támadások számára, mivel gyakran kritikus rendszereket és alkalmazásokat tartalmaznak, és a sikeres támadás hatása jelentős lehet."

A New Agenda Ransomware

A Trend Micro szerint a napirendi fertőzések decemberben kezdtek felgyorsulni, talán azért, mert a csoport most aktívabb, vagy talán azért, mert hatékonyabbak.

A fertőzések akkor kezdődnek, amikor a ransomware bináris fájlt a Cobalt Strike vagy egy távoli megfigyelési és felügyeleti (RMM) eszközzel továbbítják. A binárisba beágyazott PowerShell-szkript lehetővé teszi a zsarolóprogramok terjedését a vCenter és az ESXi szervereken.

A megfelelő terjesztést követően a rosszindulatú program megváltoztatja a root jelszavát az összes ESXi gazdagépen, ezzel kizárva a tulajdonosukat, majd a Secure Shell (SSH) segítségével tölti fel a rosszindulatú rakományt.

Ez az új, erősebb Agenda kártevő ugyanazokat a funkciókat használja, mint elődje: bizonyos fájl elérési utak vizsgálata vagy kizárása, távoli gépekre továbbadás a PsExec segítségével, pontos időzítés, amikor a rakomány végrehajtódik, és így tovább. De emellett számos új parancsot is hozzáad a jogosultságok kiterjesztéséhez, a jogkivonatok megszemélyesítéséhez, a virtuálisgép-fürtök letiltásához stb.

Egy komolytalan, de pszichológiailag hatásos új funkció lehetővé teszi a hackerek számára, hogy kinyomtassák váltságdíj-levelüket, ahelyett, hogy csak egy fertőzött monitoron mutatnák be.

A támadók aktívan végrehajtják ezeket a különféle parancsokat egy shell-en keresztül, lehetővé téve számukra, hogy rosszindulatú viselkedéseiket anélkül hajtsák végre, hogy bizonyítékként fájlokat hagynának hátra.

A lopakodás további fokozása érdekében az Agenda a ransomware támadók körében nemrégiben népszerű trendből is kölcsönöz – hozza a saját sebezhető illesztőprogramját (BYOVD) — sebezhető SYS-illesztőprogramok használata a biztonsági szoftverek elkerülésére.

Ransomware kockázat

A zsarolóprogramok, amelyek egykor kizárólag a Windows számára jelentek meg, felvirágoztak Linux és VWware és még MacOS, köszönhetően annak, hogy a vállalatok mennyi érzékeny információt tárolnak ezekben a környezetekben.

„A szervezetek sokféle adatot tárolnak az ESXi szerverein, beleértve az olyan érzékeny információkat, mint az ügyféladatok, a pénzügyi nyilvántartások és a szellemi tulajdon. A kritikus rendszerek és alkalmazások biztonsági másolatait is tárolhatják az ESXi szervereken” – magyarázza Hilt. A zsarolóvírus-támadók ilyen érzékeny információkra zsákmányolnak, ahol más fenyegetés szereplői ugyanezeket a rendszereket használhatják indítópultként további hálózati támadásokhoz.

Jelentésében a Trend Micro azt javasolja a veszélyeztetett szervezeteknek, hogy szorosan figyeljék az adminisztrátori jogosultságokat, rendszeresen frissítsék a biztonsági termékeket, végezzenek vizsgálatokat és biztonsági másolatokat készítsenek az adatokról, oktassák az alkalmazottakat a social engineeringre, és gyakorolják a szorgalmas kiberhigiéniát.

„A költségcsökkentés és a helyben maradás arra készteti a szervezeteket, hogy virtualizálják, és az ESXi-hez hasonló rendszereket használják a rendszerek virtualizálására” – teszi hozzá Hilt, így a virtualizációs kibertámadások kockázata valószínűleg tovább fog növekedni.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers