Agenda ランサムウェア グループは、仮想マシンに焦点を当てたランサムウェアの新しく改良された亜種のおかげで、世界中で感染を拡大しています。
Agenda (別名 Qilin および Water Galura) は、2022 年に初めて発見されました。最初の Golang ベースのランサムウェアは、カナダからコロンビア、インドネシアに至るまで、医療、製造、教育などの無差別な範囲の標的に対して使用されました。
2022 年末に向けて、Agenda の所有者はマルウェアを書き換えました。 Rust、便利な言語 オペレーティング システム全体に作品を分散させようとしているマルウェア作成者向け。 Rust の亜種を使用すると、Agenda は、主に米国だけでなく、アルゼンチン、オーストラリア、タイなどの金融、法律、建設などの組織を侵害することができました。
つい最近、トレンドマイクロが特定した 新しいAgendaランサムウェア亜種 野生で。この最新の Rust ベースのバージョンには、さまざまな新機能とステルス メカニズムが搭載されており、VMware vCenter および ESXi サーバーに直接照準を合わせています。
「ESXi サーバーに対するランサムウェア攻撃は増加傾向にあります」と、トレンドマイクロの上級脅威研究者である Stephen Hilt 氏は述べています。 「これらは重要なシステムやアプリケーションをホストしていることが多く、攻撃が成功すると大きな影響を与える可能性があるため、ランサムウェア攻撃の魅力的な標的となります。」
新しいアジェンダ ランサムウェア
トレンドマイクロによると、アジェンダの感染が12月から急増し始めたのは、おそらくこのグループの活動が活発になったためか、効果が高まったためだろう。
感染は、Cobalt Strike またはリモート監視および管理 (RMM) ツールを介してランサムウェア バイナリが配信されると始まります。バイナリに埋め込まれた PowerShell スクリプトにより、ランサムウェアが vCenter サーバーと ESXi サーバー間で伝播することが可能になります。
このマルウェアは適切に拡散すると、すべての ESXi ホストの root パスワードを変更して所有者をロックアウトし、セキュア シェル (SSH) を使用して悪意のあるペイロードをアップロードします。
この新しく強力な Agenda マルウェアは、特定のファイル パスのスキャンまたは除外、PsExec 経由のリモート マシンへの伝播、ペイロードの実行時の正確なタイムアウトなど、以前のマルウェアと同じ機能をすべて共有しています。ただし、権限の昇格、トークンの偽装、仮想マシン クラスターの無効化などを行うための新しいコマンドも多数追加されています。
軽薄だが心理的に影響を与える新機能の 1 つにより、ハッカーは感染したモニターに身代金メモを表示するだけでなく、印刷することができます。
攻撃者はシェルを介してこれらのさまざまなコマンドをすべて積極的に実行するため、証拠としてファイルを残さずに悪意のある動作を実行できます。
ステルス性をさらに強化するために、Agenda はランサムウェア攻撃者の間で最近流行している傾向も取り入れています。 脆弱なドライバーを独自に持ち込む (BYOVD) — 脆弱な SYS ドライバーを使用してセキュリティ ソフトウェアを回避します。
ランサムウェアのリスク
かつては Windows 専用だったランサムウェアが全世界で開花しました Linux と VWware そして、さえ macOS企業がこれらの環境内にどれだけ多くの機密情報を保管しているかに感謝します。
「組織は、顧客データ、財務記録、知的財産などの機密情報を含むさまざまなデータを ESXi サーバーに保存しています。また、重要なシステムやアプリケーションのバックアップを ESXi サーバーに保存することもあります」とヒルト氏は説明します。ランサムウェア攻撃者はこの種の機密情報を食い物にし、他の攻撃者がこれらの同じシステムをさらなるネットワーク攻撃の発射台として使用する可能性があります。
トレンドマイクロはレポートの中で、リスクにさらされている組織に対し、管理者権限を注意深く監視し、セキュリティ製品を定期的に更新し、スキャンを実行し、データをバックアップし、ソーシャルエンジニアリングについて従業員を教育し、サイバー衛生を徹底することを推奨している。
「コスト削減とオンプレミス維持の推進により、組織はシステムを仮想化し、ESXi などのシステムを仮想化に使用するようになるでしょう」と Hilt 氏は付け加えます。そのため、仮想化サイバー攻撃のリスクは今後も増大する一方でしょう。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
- :持っている
- :は
- :どこ
- $UP
- 2022
- 7
- a
- できる
- 私たちについて
- 従った
- 越えて
- アクティブ
- 積極的に
- 俳優
- 追加
- 行政の
- に対して
- 議題
- 別名
- すべて
- ことができます
- また
- 間で
- an
- および
- どれか
- です
- アルゼンチン
- AS
- At
- 攻撃
- 攻撃
- 魅力的
- オーストラリア
- 著者
- バックアップ
- バックアップ
- BE
- なぜなら
- き
- 始まった
- 始まる
- 行動
- 背後に
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- 缶
- カナダ
- キャリー
- 原因となる
- 一定
- 変更
- 閉じる
- コバルト
- コロンビア
- comes
- 企業
- 妥協
- 建設
- 続ける
- 費用
- コスト削減
- 重大な
- 顧客
- 顧客データ
- サイバー
- サイバー攻撃
- データ
- 12月
- 配信
- ドライバー
- ドライバー
- 教育します
- 教育
- 効果的な
- どちら
- 他の場所で
- 埋め込まれた
- 社員
- 有効にする
- end
- エンジニアリング
- 高めます
- 環境
- 高まる
- 逃げる
- さらに
- 証拠
- 除外
- 特別
- 実行します
- 実行された
- 説明
- 特徴
- File
- ファイナンス
- ファイナンシャル
- 名
- から
- 機能性
- 機能性
- さらに
- グループ
- 成長する
- 成長
- ハッカー
- ヘルスケア
- host
- ホスト
- 認定条件
- HTML
- HTTPS
- 特定され
- 影響
- 衝撃的
- 改善されました
- in
- 含めて
- 無差別
- インドネシア
- 感染します
- 感染症
- 情報
- を取得する必要がある者
- 知的
- 知的財産
- IT
- ITS
- JPG
- ただ
- キープ
- 種類
- 最新の
- ランチパッド
- 法律
- 残す
- ような
- 可能性が高い
- ロッキング
- 探して
- 機械
- マシン
- 悪意のある
- マルウェア
- 管理
- 製造業
- 五月..
- メカニズム
- マイクロ
- かもしれない
- モニター
- モニタリング
- 他には?
- ずっと
- ネットワーク
- 新作
- 注意
- ノート
- 今
- 数
- of
- 頻繁に
- on
- かつて
- の
- オペレーティング
- OS
- or
- 組織
- その他
- でる
- が
- 自分の
- 所有者
- パスワード
- パス
- 実行する
- おそらく
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 人気
- 強力な
- PowerShellの
- 練習
- 正確に
- 前任者
- 主に
- 提示
- 餌食
- 印刷物
- 特権
- 製品
- 正しく
- 財産
- プッシュ
- ランピング
- 範囲
- 身代金
- ランサムウェア
- ランサムウェア攻撃
- RE
- 最近
- お勧めする
- 記録
- 削減
- 定期的に
- 残り
- リモート
- レポート
- 研究者
- リスク
- ルート
- さび
- s
- 同じ
- スキャニング
- スキャン
- スクリプト
- 安全に
- セキュリティ
- シニア
- 敏感な
- サーバー
- セット
- 株式
- シェル(Shell)
- 観光スポット
- 重要
- So
- 社会
- ソーシャルエンジニアリング
- ソフトウェア
- 広がる
- ssh
- Stealth
- Stephen Longfield
- 店舗
- ストライキ
- 成功した
- そのような
- SYS
- システム
- ターゲット
- タイ
- 感謝
- それ
- アプリ環境に合わせて
- それら
- その後
- それによって
- ボーマン
- 彼ら
- この
- 脅威
- 脅威アクター
- タイミング
- 〜へ
- トークン
- ツール
- トレンド
- アップデイト
- に
- us
- つかいます
- 中古
- 便利
- 使用されます
- バリアント
- 多様
- さまざまな
- バージョン
- 、
- バーチャル
- バーチャルマシン
- ヴイエムウェア
- 脆弱な
- ました
- よく見る
- 水
- ウェーブ
- いつ
- ワイルド
- 意志
- ウィンドウズ
- 以内
- 無し
- 仕事
- あなたの
- ゼファーネット