O grupo de ransomware Agenda tem aumentado as infecções em todo o mundo, graças a uma variante nova e melhorada do seu ransomware focado em máquinas virtuais.
Agenda (também conhecido como Qilin e Water Galura) foi detectado pela primeira vez em 2022. Seu primeiro ransomware baseado em Golang foi usado contra uma gama indiscriminada de alvos: na saúde, na indústria e na educação, do Canadá à Colômbia e à Indonésia.
No final de 2022, os proprietários do Agenda reescreveram seu malware em Rust, uma linguagem útil para autores de malware que desejam espalhar seu trabalho entre sistemas operacionais. Com a variante Rust, a Agenda conseguiu comprometer organizações nas áreas de finanças, direito, construção e muito mais, predominantemente nos EUA, mas também na Argentina, Austrália, Tailândia e outros lugares.
Recentemente, a Trend Micro identificou uma nova variante do ransomware Agenda Na natureza. Esta versão mais recente baseada em Rust vem com uma variedade de novas funcionalidades e mecanismos furtivos, e está voltada diretamente para os servidores VMware vCenter e ESXi.
“Os ataques de ransomware contra servidores ESXi são uma tendência crescente”, observa Stephen Hilt, pesquisador sênior de ameaças da Trend Micro. “Eles são alvos atraentes para ataques de ransomware porque geralmente hospedam sistemas e aplicativos críticos, e o impacto de um ataque bem-sucedido pode ser significativo.”
O ransomware da Nova Agenda
As infecções por agenda começaram a aumentar em Dezembro, segundo a Trend Micro, talvez porque o grupo esteja mais activo agora, ou talvez porque seja mais eficaz.
As infecções começam quando o binário do ransomware é entregue por meio do Cobalt Strike ou de uma ferramenta de monitoramento e gerenciamento remoto (RMM). Um script PowerShell incorporado no binário permite que o ransomware se propague pelos servidores vCenter e ESXi.
Uma vez disseminado adequadamente, o malware altera a senha root em todos os hosts ESXi, bloqueando assim seus proprietários e, em seguida, usa o Secure Shell (SSH) para carregar a carga maliciosa.
Este novo e mais poderoso malware Agenda compartilha todas as mesmas funcionalidades de seu antecessor: verificação ou exclusão de determinados caminhos de arquivo, propagação para máquinas remotas via PsExec, tempo limite preciso quando a carga é executada e assim por diante. Mas também adiciona uma série de novos comandos para escalar privilégios, representar tokens, desabilitar clusters de máquinas virtuais e muito mais.
Um novo recurso frívolo, mas psicologicamente impactante, permite que os hackers imprimam sua nota de resgate, em vez de apenas apresentá-la em um monitor infectado.
Os invasores executam ativamente todos esses comandos por meio de um shell, permitindo-lhes realizar seus comportamentos maliciosos sem deixar nenhum arquivo como evidência.
Para aumentar ainda mais sua furtividade, o Agenda também se baseia em uma tendência recentemente popular entre os invasores de ransomware: traga seu próprio driver vulnerável (BYOVD) — usando drivers SYS vulneráveis para escapar de software de segurança.
Risco de ransomware
O ransomware, antes exclusivo do Windows, floresceu em Linux e VWware e até mesmo MacOS, graças à quantidade de informações confidenciais que as empresas mantêm nesses ambientes.
“As organizações armazenam uma variedade de dados em servidores ESXi, incluindo informações confidenciais, como dados de clientes, registros financeiros e propriedade intelectual. Eles também podem armazenar backups de sistemas e aplicativos críticos em servidores ESXi”, explica Hilt. Os invasores de ransomware se aproveitam desse tipo de informação confidencial, onde outros agentes de ameaças podem usar esses mesmos sistemas como plataforma de lançamento para novos ataques à rede.
Em seu relatório, a Trend Micro recomenda que as organizações em risco monitorem de perto os privilégios administrativos, atualizem regularmente os produtos de segurança, realizem varreduras e façam backup de dados, eduquem os funcionários sobre engenharia social e pratiquem higiene cibernética diligente.
“O impulso para a redução de custos e a permanência no local fará com que as organizações virtualizem e usem sistemas como o ESXi para virtualizar os sistemas”, acrescenta Hilt, portanto, o risco de ataques cibernéticos de virtualização provavelmente continuará a crescer.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
- :tem
- :é
- :onde
- $UP
- 2022
- 7
- a
- Capaz
- Sobre
- Segundo
- em
- ativo
- ativamente
- atores
- Adiciona
- administrativo
- contra
- agenda
- aka
- Todos os Produtos
- permite
- tb
- entre
- an
- e
- qualquer
- aplicações
- SOMOS
- Argentina
- AS
- At
- ataque
- Ataques
- atraente
- Australia
- autores
- backup
- backups
- BE
- Porque
- sido
- começou
- começar
- comportamentos
- atrás
- mas a
- CAN
- Localização: Canadá
- transportar
- Causar
- certo
- Alterações
- Fechar
- Cobalto
- Localização: Colômbia
- vem
- Empresas
- compromisso
- formação
- continuar
- Custo
- redução de custos
- crítico
- cliente
- dados do cliente
- cibernético
- ataques cibernéticos
- dados,
- Dezembro
- entregue
- motorista
- Drivers
- educar
- Educação
- Eficaz
- ou
- em outro lugar
- incorporado
- colaboradores
- permitindo
- final
- Engenharia
- aumentar
- ambientes
- ascendente
- escapar
- Mesmo
- evidência
- excluindo
- Exclusivo
- executar
- executado
- Explica
- Característica
- Envie o
- Arquivos
- financiar
- financeiro
- Primeiro nome
- Escolha
- da
- funcionalidades
- funcionalidade
- mais distante
- Grupo
- Cresça:
- Crescente
- hackers
- saúde
- hospedeiro
- anfitriões
- Como funciona o dobrador de carta de canal
- HTML
- HTTPS
- identificado
- Impacto
- impactante
- melhorado
- in
- Incluindo
- indiscriminado
- Indonésia
- infectado
- infecções
- INFORMAÇÕES
- em vez disso
- intelectual
- propriedade intelectual
- IT
- ESTÁ
- jpg
- apenas por
- Guarda
- Tipo
- mais recente
- Launchpad
- Escritórios de
- partida
- como
- Provável
- bloqueio
- procurando
- máquina
- máquinas
- malicioso
- malwares
- de grupos
- fabrica
- Posso..
- mecanismos
- microfone
- poder
- Monitore
- monitoração
- mais
- muito
- rede
- Novo
- nota
- Notas
- agora
- número
- of
- frequentemente
- on
- uma vez
- só
- operando
- sistemas operacionais
- or
- organizações
- Outros
- Fora
- Acima de
- próprio
- proprietários
- Senha
- caminhos
- Realizar
- possivelmente
- platão
- Inteligência de Dados Platão
- PlatãoData
- Popular
- poderoso
- PowerShell
- prática
- justamente
- antecessor
- predominantemente
- apresentando
- presa
- Impressão
- privilégios
- Produtos
- devidamente
- propriedade
- Empurrar
- rampa
- alcance
- Resgate
- ransomware
- Ataques de Ransomware
- RE
- recentemente
- recomenda
- registros
- redução
- regularmente
- remanescente
- remoto
- Denunciar
- investigador
- Risco
- raiz
- Ferrugem
- s
- mesmo
- exploração
- digitaliza
- escrita
- seguro
- segurança
- senior
- sensível
- Servidores
- Conjuntos
- ações
- concha
- Vistas
- periodo
- So
- Redes Sociais
- Engenharia social
- Software
- propagação
- ssh
- Stealth
- Stephen
- loja
- greve
- bem sucedido
- tal
- SYS
- sistemas
- tem como alvo
- ประเทศไทย
- obrigado
- que
- A
- deles
- Eles
- então
- assim
- Este
- deles
- isto
- ameaça
- atores de ameaças
- cronometragem
- para
- Tokens
- ferramenta
- Trend
- Atualizar
- sobre
- us
- usar
- usava
- útil
- usos
- utilização
- Variante
- variedade
- vário
- versão
- via
- Virtual
- máquina virtual
- vmware
- Vulnerável
- foi
- Assistir
- Água
- Onda
- quando
- Selvagem
- precisarão
- Windows
- de
- dentro
- sem
- Atividades:
- no mundo todo
- investimentos
- zefirnet
