Ogólnoświatowa fala ransomware atakuje serwery VMware ESXi

Grupa ransomware Agenda zwiększa liczbę infekcji na całym świecie dzięki nowemu i ulepszonemu wariantowi oprogramowania ransomware skupiającego się na maszynach wirtualnych.

Agenda (znana również jako Qilin i Water Galura) została po raz pierwszy wykryta w 2022 r. Jego pierwsze oprogramowanie ransomware oparte na Golang zostało wykorzystane przeciwko nieograniczonemu zakresowi celów: w służbie zdrowia, produkcji i edukacji, od Kanady po Kolumbię i Indonezję.

Pod koniec 2022 roku właściciele Agendy przepisali swoje złośliwe oprogramowanie w Rust, przydatny język dla autorów złośliwego oprogramowania, którzy chcą rozpowszechnić swoją pracę w różnych systemach operacyjnych. Dzięki wariantowi Rust Agenda była w stanie skompromitować organizacje z branży finansów, prawa, budownictwa i nie tylko, głównie w USA, ale także w Argentynie, Australii, Tajlandii i innych krajach.

Niedawno firma Trend Micro zidentyfikowała nowy wariant ransomware Agenda w dziczy. Najnowsza wersja oparta na Rust zawiera wiele nowych funkcjonalności i mechanizmów ukrywania się i skupia się głównie na serwerach VMware vCenter i ESXi.

„Ataki ransomware na serwery ESXi to rosnący trend” – zauważa Stephen Hilt, starszy badacz zagrożeń w Trend Micro. „Są atrakcyjnym celem ataków oprogramowania ransomware, ponieważ często hostują krytyczne systemy i aplikacje, a wpływ udanego ataku może być znaczący”.

Oprogramowanie ransomware nowej agendy

Według Trend Micro liczba infekcji związanych z agendą zaczęła narastać w grudniu, być może dlatego, że grupa jest obecnie bardziej aktywna, a może dlatego, że jest bardziej skuteczna.

Infekcje rozpoczynają się w momencie dostarczenia pliku binarnego ransomware za pośrednictwem Cobalt Strike lub narzędzia do zdalnego monitorowania i zarządzania (RMM). Skrypt PowerShell osadzony w pliku binarnym umożliwia rozprzestrzenianie się oprogramowania ransomware na serwerach vCenter i ESXi.

Po prawidłowym rozpowszechnieniu złośliwe oprogramowanie zmienia hasło roota na wszystkich hostach ESXi, blokując w ten sposób ich właścicieli, a następnie wykorzystuje funkcję Secure Shell (SSH) do przesłania szkodliwego ładunku.

To nowe, potężniejsze szkodliwe oprogramowanie Agenda ma te same funkcje, co jego poprzednik: skanowanie lub wykluczanie niektórych ścieżek plików, rozprzestrzenianie się na zdalne maszyny za pośrednictwem PsExec, precyzyjne określanie limitu czasu wykonania ładunku i tak dalej. Dodaje jednak także szereg nowych poleceń umożliwiających eskalację uprawnień, podszywanie się pod tokeny, wyłączanie klastrów maszyn wirtualnych i nie tylko.

Jedna niepoważna, ale wywierająca psychologiczny wpływ nowa funkcja umożliwia hakerom wydrukowanie żądania okupu zamiast po prostu prezentowania go na zainfekowanym monitorze.

Osoby atakujące aktywnie wykonują wszystkie te różne polecenia za pośrednictwem powłoki, umożliwiając im wykonywanie złośliwych zachowań bez pozostawiania żadnych plików jako dowodu.

Aby jeszcze bardziej zwiększyć skuteczność ukrywania się, Agenda czerpie również z popularnego ostatnio trendu wśród atakujących oprogramowanie ransomware — przynieś swój własny wrażliwy sterownik (BYOVD) — używanie podatnych na ataki sterowników SYS w celu obejścia oprogramowania zabezpieczającego.

Ryzyko oprogramowania ransomware

Oprogramowanie ransomware, niegdyś dostępne wyłącznie dla systemu Windows, rozkwitło Linux i VWware i nawet macOS, ze względu na ilość wrażliwych informacji, jakie firmy przechowują w tych środowiskach.

„Organizacje przechowują różnorodne dane na serwerach ESXi, w tym informacje wrażliwe, takie jak dane klientów, dokumentacja finansowa i własność intelektualna. Mogą także przechowywać kopie zapasowe krytycznych systemów i aplikacji na serwerach ESXi” – wyjaśnia Hilt. Osoby atakujące ransomware żerują na tego rodzaju poufnych informacjach, podczas gdy inne podmioty zagrażające mogą wykorzystać te same systemy jako platformę startową do dalszych ataków sieciowych.

W swoim raporcie Trend Micro zaleca, aby zagrożone organizacje uważnie monitorowały uprawnienia administracyjne, regularnie aktualizowały produkty zabezpieczające, wykonywały skanowanie i tworzenie kopii zapasowych danych, edukowały pracowników w zakresie inżynierii społecznej i przestrzegały higieny cybernetycznej.

„Nacisk na redukcję kosztów i pozostawanie w środowisku lokalnym spowoduje, że organizacje będą wirtualizować i używać systemów takich jak ESXi do wirtualizacji systemów” – dodaje Hilt, więc ryzyko cyberataków wirtualizacyjnych prawdopodobnie będzie nadal rosło.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers