De Agenda-ransomwaregroep heeft het aantal infecties wereldwijd opgevoerd, dankzij een nieuwe en verbeterde variant van zijn op virtuele machines gerichte ransomware.
Agenda (ook bekend als Qilin en Water Galura) werd voor het eerst opgemerkt in 2022. De eerste, op Golang gebaseerde ransomware werd gebruikt tegen een willekeurige reeks doelen: in de gezondheidszorg, de productie en het onderwijs, van Canada tot Colombia en Indonesiรซ.
Tegen het einde van 2022 herschreven de eigenaren van Agenda de malware in Roest, een nuttige taal voor malware-auteurs die hun werk over besturingssystemen willen verspreiden. Met de Rust-variant was Agenda in staat organisaties op het gebied van financiรซn, recht, bouw en meer in gevaar te brengen, voornamelijk in de VS, maar ook in Argentiniรซ, Australiรซ, Thailand en elders.
Onlangs heeft Trend Micro dit ontdekt een nieuwe Agenda-ransomwarevariant in het wild. Deze nieuwste, op Rust gebaseerde versie wordt geleverd met een verscheidenheid aan nieuwe functionaliteiten en stealth-mechanismen, en richt zijn blik volledig op VMware vCenter- en ESXi-servers.
โRansomware-aanvallen op ESXi-servers zijn een groeiende trendโ, zegt Stephen Hilt, senior threat researcher bij Trend Micro. โZe zijn aantrekkelijke doelwitten voor ransomware-aanvallen omdat ze vaak kritieke systemen en applicaties hosten, en de impact van een succesvolle aanval aanzienlijk kan zijn.โ
De nieuwe agenda-ransomware
Volgens Trend Micro begonnen de Agenda-infecties in december toe te nemen, misschien omdat de groep nu actiever is, of misschien omdat ze effectiever zijn.
Infecties beginnen wanneer de binaire ransomware wordt afgeleverd via Cobalt Strike of een tool voor monitoring en beheer op afstand (RMM). Een PowerShell-script ingebed in het binaire bestand zorgt ervoor dat de ransomware zich kan verspreiden over vCenter- en ESXi-servers.
Eenmaal correct verspreid, verandert de malware het root-wachtwoord op alle ESXi-hosts, waardoor de eigenaren ervan worden uitgesloten, en gebruikt vervolgens Secure Shell (SSH) om de kwaadaardige lading te uploaden.
Deze nieuwe, krachtigere Agenda-malware deelt dezelfde functionaliteit als zijn voorganger: bepaalde bestandspaden scannen of uitsluiten, zich via PsExec naar externe machines verspreiden, een nauwkeurige time-out geven wanneer de payload wordt uitgevoerd, enzovoort. Maar het voegt ook een aantal nieuwe opdrachten toe voor het escaleren van bevoegdheden, het nabootsen van tokens, het uitschakelen van clusters van virtuele machines en meer.
Een frivole maar psychologisch impactvolle nieuwe functie stelt de hackers in staat hun losgeldbriefje af te drukken, in plaats van het alleen maar op een geรฏnfecteerde monitor te presenteren.
De aanvallers voeren al deze verschillende opdrachten actief uit via een shell, waardoor ze hun kwaadaardige gedrag kunnen uitvoeren zonder bestanden achter te laten als bewijsmateriaal.
Om zijn stealth nog verder te verbeteren, leent Agenda ook van een recentelijk populaire trend onder ransomware-aanvallers: neem je eigen kwetsbare chauffeur mee (BYOVD) โ het gebruik van kwetsbare SYS-stuurprogramma's om beveiligingssoftware te omzeilen.
Ransomware-risico
Ransomware, ooit exclusief voor Windows, heeft een grote vlucht genomen Linux en VWware en zelfs macOS, dankzij de hoeveelheid gevoelige informatie die bedrijven binnen deze omgevingen bewaren.
โOrganisaties slaan een verscheidenheid aan gegevens op op ESXi-servers, waaronder gevoelige informatie zoals klantgegevens, financiรซle gegevens en intellectueel eigendom. Ze kunnen ook back-ups van kritieke systemen en applicaties opslaan op ESXi-serversโ, legt Hilt uit. Ransomware-aanvallers maken misbruik van dit soort gevoelige informatie, terwijl andere bedreigingsactoren dezelfde systemen kunnen gebruiken als lanceerplatform voor verdere netwerkaanvallen.
In het rapport beveelt Trend Micro aan dat risicoorganisaties nauwlettend toezicht houden op administratieve privileges, regelmatig beveiligingsproducten updaten, scans uitvoeren en back-ups maken van gegevens, werknemers voorlichten over social engineering en ijverige cyberhygiรซne in praktijk brengen.
โDe drang naar kostenreductie en het op locatie blijven zal ertoe leiden dat organisaties gaan virtualiseren en systemen als ESXi gebruiken om de systemen te virtualiserenโ, voegt Hilt toe, waardoor het risico op virtualisatie-cyberaanvallen waarschijnlijk alleen maar zal blijven groeien.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
- : heeft
- :is
- :waar
- $UP
- 2022
- 7
- a
- in staat
- Over
- Volgens
- over
- actieve
- actief
- actoren
- Voegt
- administratief
- tegen
- agenda
- aka
- Alles
- toestaat
- ook
- onder
- an
- en
- elke
- toepassingen
- ZIJN
- Argentiniรซ
- AS
- At
- aanvallen
- Aanvallen
- aantrekkelijk
- Australiรซ
- auteurs
- backup
- backups
- BE
- omdat
- geweest
- begon
- beginnen
- gedrag
- achter
- maar
- CAN
- Canada
- dragen
- Veroorzaken
- zeker
- Wijzigingen
- Sluiten
- Cobalt
- Colombia
- komt
- Bedrijven
- compromis
- bouw
- voortzetten
- Kosten
- kostenbesparing
- kritisch
- klant
- klantgegevens
- cyber
- cyberaanvallen
- gegevens
- December
- geleverd
- bestuurder
- chauffeurs
- opvoeden
- Onderwijs
- effectief
- beide
- elders
- ingebed
- medewerkers
- waardoor
- einde
- Engineering
- verhogen
- omgevingen
- escalerende
- ontwijken
- Zelfs
- bewijzen
- Exclusief
- Nieuwste vermeldingen
- uitvoeren
- uitgevoerd
- Verklaart
- Kenmerk
- Dien in
- Bestanden
- financiรซn
- financieel
- Voornaam*
- Voor
- oppompen van
- functionaliteiten
- functionaliteit
- verder
- Groep
- Groeien
- Groeiend
- Hackers
- gezondheidszorg
- gastheer
- hosts
- Hoe
- HTML
- HTTPS
- geรฏdentificeerd
- Impact
- impactvolle
- verbeterd
- in
- Inclusief
- onoordeelkundig
- Indonesiรซ
- besmet
- infecties
- informatie
- verkrijgen in plaats daarvan
- intellectueel
- intellectueel eigendom
- IT
- HAAR
- jpg
- voor slechts
- Houden
- Soort
- laatste
- Launchpad
- Wet
- verlaten
- als
- Waarschijnlijk
- vergrendeling
- op zoek
- machine
- Machines
- kwaadaardig
- malware
- management
- productie
- Mei..
- mechanismen
- micro-
- macht
- monitor
- Grensverkeer
- meer
- veel
- netwerk
- New
- nota
- Opmerkingen
- nu
- aantal
- of
- vaak
- on
- eens
- Slechts
- werkzaam
- besturingssystemen
- or
- organisaties
- Overige
- uit
- over
- het te bezitten.
- eigenaren
- Wachtwoord
- paden
- Uitvoeren
- misschien
- Plato
- Plato gegevensintelligentie
- PlatoData
- Populair
- krachtige
- PowerShell
- praktijk
- Precies
- voorganger
- hoofdzakelijk
- presenteren
- prooi
- voorrechten
- Producten
- naar behoren
- eigendom
- Duwen
- rampen
- reeks
- Losgeld
- ransomware
- Ransomware-aanvallen
- RE
- onlangs
- beveelt
- archief
- reductie
- regelmatig
- resterende
- vanop
- verslag
- onderzoeker
- Risico
- wortel
- Roest
- s
- dezelfde
- het scannen
- scant
- script
- beveiligen
- veiligheid
- senior
- gevoelig
- Servers
- Sets
- Aandelen
- Shell
- Bezienswaardigheden
- aanzienlijke
- So
- Social
- Social engineering
- Software
- verspreiden
- ssh
- Stealth
- Stephen
- shop
- slaan
- geslaagd
- dergelijk
- SYS
- Systems
- doelen
- Thailand
- Bedankt
- dat
- De
- hun
- Ze
- harte
- daarbij
- Deze
- ze
- dit
- bedreiging
- bedreigingsactoren
- timing
- naar
- tokens
- tools
- trend
- bijwerken
- op
- us
- .
- gebruikt
- nuttig
- toepassingen
- gebruik
- Variant
- variรซteit
- divers
- versie
- via
- Virtueel
- virtuele machine
- vmware
- Kwetsbaar
- was
- Bekijk de introductievideo
- Water
- Wave
- wanneer
- Wild
- wil
- ruiten
- Met
- binnen
- zonder
- Mijn werk
- wereldwijd
- Your
- zephyrnet