Az Agenda ransomware csoport világszerte felgyorsítja a fertőzések számát, köszönhetően a virtuális gépekre összpontosító zsarolóvírus új és továbbfejlesztett változatának.
Az Agendát (más néven Qilin és Water Galura) 2022-ben észlelték először. Az első, Golang-alapú ransomware-t egy sor célpont ellen használták fel: az egészségügyben, a gyártásban és az oktatásban Kanadától Kolumbiáig és Indonéziáig.
2022 vége felé az Agenda tulajdonosai újraírták a rosszindulatú programját Rozsda, hasznos nyelv rosszindulatú programok szerzői számára, akik munkájukat operációs rendszerek között szeretnék terjeszteni. A Rust változattal az Agenda képes volt kompromittálni a pénzügyi, jogi, építőipari és egyéb szervezeteket, elsősorban az Egyesült Államokban, de Argentínában, Ausztráliában, Thaiföldön és máshol is.
Nemrég azonosította a Trend Micro egy új Agenda ransomware változat a vadonban. Ez a legújabb Rust-alapú verzió számos új funkciót és lopakodó mechanizmust tartalmaz, és kifejezetten a VMware vCenter és ESXi szerverekre helyezi a hangsúlyt.
„Az ESXi szerverek elleni zsarolóvírus-támadások növekvő tendenciát mutatnak” – jegyzi meg Stephen Hilt, a Trend Micro vezető fenyegetéskutatója. "Vonzó célpontok a zsarolóvírus-támadások számára, mivel gyakran kritikus rendszereket és alkalmazásokat tartalmaznak, és a sikeres támadás hatása jelentős lehet."
A New Agenda Ransomware
A Trend Micro szerint a napirendi fertőzések decemberben kezdtek felgyorsulni, talán azért, mert a csoport most aktívabb, vagy talán azért, mert hatékonyabbak.
A fertőzések akkor kezdődnek, amikor a ransomware bináris fájlt a Cobalt Strike vagy egy távoli megfigyelési és felügyeleti (RMM) eszközzel továbbítják. A binárisba beágyazott PowerShell-szkript lehetővé teszi a zsarolóprogramok terjedését a vCenter és az ESXi szervereken.
A megfelelő terjesztést követően a rosszindulatú program megváltoztatja a root jelszavát az összes ESXi gazdagépen, ezzel kizárva a tulajdonosukat, majd a Secure Shell (SSH) segítségével tölti fel a rosszindulatú rakományt.
Ez az új, erősebb Agenda kártevő ugyanazokat a funkciókat használja, mint elődje: bizonyos fájl elérési utak vizsgálata vagy kizárása, távoli gépekre továbbadás a PsExec segítségével, pontos időzítés, amikor a rakomány végrehajtódik, és így tovább. De emellett számos új parancsot is hozzáad a jogosultságok kiterjesztéséhez, a jogkivonatok megszemélyesítéséhez, a virtuálisgép-fürtök letiltásához stb.
Egy komolytalan, de pszichológiailag hatásos új funkció lehetővé teszi a hackerek számára, hogy kinyomtassák váltságdíj-levelüket, ahelyett, hogy csak egy fertőzött monitoron mutatnák be.
A támadók aktívan végrehajtják ezeket a különféle parancsokat egy shell-en keresztül, lehetővé téve számukra, hogy rosszindulatú viselkedéseiket anélkül hajtsák végre, hogy bizonyítékként fájlokat hagynának hátra.
A lopakodás további fokozása érdekében az Agenda a ransomware támadók körében nemrégiben népszerű trendből is kölcsönöz – hozza a saját sebezhető illesztőprogramját (BYOVD) — sebezhető SYS-illesztőprogramok használata a biztonsági szoftverek elkerülésére.
Ransomware kockázat
A zsarolóprogramok, amelyek egykor kizárólag a Windows számára jelentek meg, felvirágoztak Linux és VWware és még MacOS, köszönhetően annak, hogy a vállalatok mennyi érzékeny információt tárolnak ezekben a környezetekben.
„A szervezetek sokféle adatot tárolnak az ESXi szerverein, beleértve az olyan érzékeny információkat, mint az ügyféladatok, a pénzügyi nyilvántartások és a szellemi tulajdon. A kritikus rendszerek és alkalmazások biztonsági másolatait is tárolhatják az ESXi szervereken” – magyarázza Hilt. A zsarolóvírus-támadók ilyen érzékeny információkra zsákmányolnak, ahol más fenyegetés szereplői ugyanezeket a rendszereket használhatják indítópultként további hálózati támadásokhoz.
Jelentésében a Trend Micro azt javasolja a veszélyeztetett szervezeteknek, hogy szorosan figyeljék az adminisztrátori jogosultságokat, rendszeresen frissítsék a biztonsági termékeket, végezzenek vizsgálatokat és biztonsági másolatokat készítsenek az adatokról, oktassák az alkalmazottakat a social engineeringre, és gyakorolják a szorgalmas kiberhigiéniát.
„A költségcsökkentés és a helyben maradás arra készteti a szervezeteket, hogy virtualizálják, és az ESXi-hez hasonló rendszereket használják a rendszerek virtualizálására” – teszi hozzá Hilt, így a virtualizációs kibertámadások kockázata valószínűleg tovább fog növekedni.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
- :van
- :is
- :ahol
- $ UP
- 2022
- 7
- a
- Képes
- Rólunk
- Szerint
- át
- aktív
- aktívan
- szereplők
- Hozzáteszi
- adminisztratív
- ellen
- napirend
- aka
- Minden termék
- lehetővé teszi, hogy
- Is
- között
- an
- és a
- bármilyen
- alkalmazások
- VANNAK
- Argentína
- AS
- At
- támadás
- Támadások
- vonzó
- Ausztrália
- szerzők
- mentés
- mentések
- BE
- mert
- óta
- kezdődött
- kezdődik
- viselkedés
- mögött
- de
- TUD
- Kanada
- visz
- Okoz
- bizonyos
- Változások
- közel
- Kobalt
- Colombia
- jön
- Companies
- kompromisszum
- építés
- folytatódik
- Költség
- költségcsökkentés
- kritikai
- vevő
- ügyféladatok
- cyber
- cyberattacks
- dátum
- december
- szállított
- gépkocsivezető
- illesztőprogramok
- oktat
- Oktatás
- Hatékony
- bármelyik
- máshol
- beágyazott
- alkalmazottak
- lehetővé téve
- végén
- Mérnöki
- növelése
- környezetek
- fokozódó
- kikerülni
- Még
- bizonyíték
- kizárás
- Kizárólagos
- kivégez
- végrehajtott
- Elmagyarázza
- Funkció
- filé
- Fájlok
- finanszíroz
- pénzügyi
- vezetéknév
- A
- ból ből
- funkciós
- funkcionalitás
- további
- Csoport
- Nő
- Növekvő
- hackerek
- egészségügyi
- vendéglátó
- hosts
- Hogyan
- HTML
- HTTPS
- azonosított
- Hatás
- hatásos
- javított
- in
- Beleértve
- válogatás nélküli
- Indonézia
- fertőzött
- fertőzések
- információ
- helyette
- szellemi
- szellemi tulajdon
- IT
- ITS
- jpg
- éppen
- Tart
- Kedves
- legutolsó
- Launchpad
- Törvény
- kilépő
- mint
- Valószínű
- zárás
- keres
- gép
- gép
- rosszindulatú
- malware
- vezetés
- gyártási
- Lehet..
- mechanizmusok
- mikro
- esetleg
- monitor
- ellenőrzés
- több
- sok
- hálózat
- Új
- megjegyezni
- Megjegyzések
- Most
- szám
- of
- gyakran
- on
- egyszer
- csak
- üzemeltetési
- operációs rendszer
- or
- szervezetek
- Más
- ki
- felett
- saját
- tulajdonosok
- Jelszó
- utak
- Teljesít
- talán
- Plató
- Platón adatintelligencia
- PlatoData
- Népszerű
- erős
- PowerShell
- gyakorlat
- pontosan
- előző
- Főleg
- bemutató
- zsákmány
- kiváltságok
- Termékek
- megfelelően
- ingatlan
- Nyomja
- rámpa
- hatótávolság
- Váltságdíj
- ransomware
- Ransomware támadások
- RE
- nemrég
- ajánlja
- nyilvántartások
- csökkentés
- rendszeresen
- megmaradó
- távoli
- jelentést
- kutató
- Kockázat
- gyökér
- Rozsda
- s
- azonos
- letapogatás
- vizsgál
- forgatókönyv
- biztonság
- biztonság
- idősebb
- érzékeny
- Szerverek
- Szettek
- Megoszt
- Héj
- Látnivalók
- jelentős
- So
- Közösség
- Szociális tervezés
- szoftver
- terjedése
- ssh
- Lopakodás
- István
- tárolni
- sztrájk
- sikeres
- ilyen
- SYS
- Systems
- célok
- Thaiföld
- Kösz
- hogy
- A
- azok
- Őket
- akkor
- ezáltal
- Ezek
- ők
- ezt
- fenyegetés
- fenyegetés szereplői
- időzítés
- nak nek
- tokenek
- szerszám
- tendencia
- Frissítések
- upon
- us
- használ
- használt
- hasznos
- használ
- segítségével
- Változat
- fajta
- különféle
- változat
- keresztül
- Tényleges
- virtuális gép
- vmware
- Sebezhető
- volt
- Nézz
- Víz
- hullám
- amikor
- Vadon
- lesz
- ablakok
- val vel
- belül
- nélkül
- Munka
- világszerte
- A te
- zephyrnet