Группа вымогателей Agenda наращивает количество заражений по всему миру благодаря новому и улучшенному варианту своей программы-вымогателя, ориентированной на виртуальные машины.
Agenda (также известная как Qilin и Water Galura) была впервые обнаружена в 2022 году. Ее первая программа-вымогатель на базе Golang использовалась против широкого круга целей: в здравоохранении, производстве и образовании — от Канады до Колумбии и Индонезии.
К концу 2022 года владельцы Agenda переписали вредоносное ПО на Rust — полезный язык для авторов вредоносных программ, желающих распространить свою работу на другие операционные системы. С помощью варианта Rust Agenda смогла скомпрометировать организации в сфере финансов, права, строительства и т. д. преимущественно в США, но также в Аргентине, Австралии, Таиланде и других странах.
Совсем недавно Trend Micro выявила новый вариант программы-вымогателя Agenda в дикой природе. Эта последняя версия на основе Rust включает в себя множество новых функций и скрытых механизмов и ориентирована непосредственно на серверы VMware vCenter и ESXi.
«Атаки программ-вымогателей на серверы ESXi — это растущая тенденция», — отмечает Стивен Хилт, старший исследователь угроз в Trend Micro. «Они являются привлекательными целями для атак программ-вымогателей, поскольку на них часто размещаются критически важные системы и приложения, и влияние успешной атаки может быть значительным».
Новая повестка дня
По данным Trend Micro, число заражений Agenda начало расти в декабре, возможно, потому, что группа сейчас более активна, или, возможно, потому, что они более эффективны.
Заражение начинается, когда двоичный файл программы-вымогателя доставляется через Cobalt Strike или инструмент удаленного мониторинга и управления (RMM). Сценарий PowerShell, встроенный в двоичный файл, позволяет программе-вымогателю распространяться по серверам vCenter и ESXi.
После правильного распространения вредоносная программа меняет корневой пароль на всех хостах ESXi, тем самым блокируя их владельцев, а затем использует Secure Shell (SSH) для загрузки вредоносной полезной нагрузки.
Эта новая, более мощная вредоносная программа Agenda обладает всеми теми же функциями, что и ее предшественница: сканирование или исключение определенных путей к файлам, распространение на удаленные машины через PsExec, точное время ожидания при выполнении полезной нагрузки и так далее. Но он также добавляет ряд новых команд для повышения привилегий, олицетворения токенов, отключения кластеров виртуальных машин и многого другого.
Одна легкомысленная, но психологически эффективная новая функция позволяет хакерам распечатать записку о выкупе, а не просто показывать ее на зараженном мониторе.
Злоумышленники активно выполняют все эти различные команды через оболочку, что позволяет им осуществлять свои вредоносные действия, не оставляя никаких файлов в качестве улик.
Чтобы еще больше повысить свою скрытность, Agenda также заимствует недавно популярную тенденцию среди злоумышленников-вымогателей — принесите свой собственный уязвимый драйвер (BYOVD) — использование уязвимых драйверов SYS для обхода защитного программного обеспечения.
Риск программ-вымогателей
Программы-вымогатели, когда-то эксклюзивные для Windows, распространились по всему миру. Linux и VWware и даже MacOS, благодаря тому, сколько конфиденциальной информации компании хранят в этой среде.
«Организации хранят на серверах ESXi различные данные, включая конфиденциальную информацию, такую как данные клиентов, финансовые отчеты и интеллектуальную собственность. Они также могут хранить резервные копии критически важных систем и приложений на серверах ESXi», — объясняет Хилт. Злоумышленники, использующие программы-вымогатели, охотятся за такой конфиденциальной информацией, а другие злоумышленники могут использовать эти же системы в качестве стартовой площадки для дальнейших сетевых атак.
В своем отчете Trend Micro рекомендует организациям, подверженным риску, внимательно следить за административными привилегиями, регулярно обновлять продукты безопасности, выполнять сканирование и резервное копирование данных, обучать сотрудников социальной инженерии и тщательно соблюдать кибергигиену.
«Стремление к сокращению затрат и сохранению локальных систем заставит организации виртуализировать системы и использовать такие системы, как ESXi, для виртуализации систем», — добавляет Хилт, поэтому риск кибератак виртуализации, вероятно, будет только продолжать расти.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
- :имеет
- :является
- :куда
- $UP
- 2022
- 7
- a
- в состоянии
- О нас
- По
- через
- активный
- активно
- актеры
- Добавляет
- административный
- против
- повестка дня
- ака
- Все
- позволяет
- причислены
- среди
- an
- и
- любой
- Приложения
- МЫ
- Аргентина
- AS
- At
- атаковать
- нападки
- привлекательный
- Австралия
- Авторы
- Восстановление
- Операции резервного копирования
- BE
- , так как:
- было
- начал
- начинать
- поведения
- за
- но
- CAN
- Канада
- нести
- Вызывать
- определенный
- изменения
- Закрыть
- Кобальт
- Колумбия
- выходит
- Компании
- скомпрометированы
- строительство
- продолжать
- Цена
- снижение расходов
- критической
- клиент
- данные клиентов
- кибер-
- кибератаки
- данным
- Декабрь
- поставляется
- водитель
- драйверы
- воспитывать
- Обучение
- Эффективный
- или
- в другом месте
- встроенный
- сотрудников
- позволяет
- конец
- Проект и
- повышать
- средах
- наращивание
- Evade
- Даже
- , поскольку большинство сенаторов
- без учета
- Эксклюзивные
- выполнять
- выполненный
- Объясняет
- Особенность
- Файл
- Файлы
- финансы
- финансовый
- First
- Что касается
- от
- функциональные возможности
- функциональность
- далее
- группы
- Расти
- Рост
- Хакеры
- здравоохранение
- кашель
- хостов
- Как
- HTML
- HTTPS
- идентифицированный
- Влияние
- эффектных
- улучшенный
- in
- В том числе
- неразборчивый
- Индонезия
- инфицированный
- инфекции
- информация
- вместо
- интеллектуальный
- интеллектуальная собственность
- IT
- ЕГО
- JPG
- всего
- Сохранить
- Вид
- последний
- Launchpad
- закон
- уход
- такое как
- Вероятно
- блокировка
- искать
- машина
- Продукция
- злонамеренный
- вредоносных программ
- управление
- производство
- Май..
- механизмы
- Майк
- может быть
- монитор
- Мониторинг
- БОЛЕЕ
- много
- сеть
- Новые
- в своих размышлениях
- Заметки
- сейчас
- номер
- of
- .
- on
- консолидировать
- только
- операционный
- операционные системы
- or
- организации
- Другое
- внешний
- за
- собственный
- Владельцы
- Пароль
- пути
- Выполнять
- возможно
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Популярное
- мощный
- PowerShell
- практика
- Точно
- предшественник
- преимущественно
- представляя
- добыча
- Печать / PDF
- привилегии
- Продукция
- должным образом
- собственность
- Push
- уклон
- ассортимент
- Выкуп
- вымогателей
- Атаки вымогателей
- RE
- недавно
- рекомендует
- учет
- снижение
- регулярно
- осталось
- удаленные
- отчету
- исследователь
- Снижение
- корень
- Ржавчина
- s
- то же
- сканирование
- сканирует
- скрипт
- безопасный
- безопасность
- старший
- чувствительный
- Серверы
- Наборы
- Акции
- Оболочка
- Достопримечательности
- значительный
- So
- Соцсети
- Социальная инженерия
- Software
- распространение
- SSH
- Stealth
- Стивен
- магазин
- удар
- успешный
- такие
- SYS
- системы
- направлена против
- Таиланд
- Спасибо
- который
- Ассоциация
- их
- Их
- тогда
- тем самым
- Эти
- они
- этой
- угроза
- актеры угрозы
- синхронизация
- в
- Лексемы
- инструментом
- тенденция
- Обновление ПО
- на
- us
- использование
- используемый
- полезный
- использования
- через
- Вариант
- разнообразие
- различный
- версия
- с помощью
- Виртуальный
- виртуальная машина
- VMware
- Уязвимый
- законопроект
- Смотреть
- Вода
- Wave
- когда
- Дикий
- будете
- окна
- в
- без
- Работа
- по всему миру
- ВАШЕ
- зефирнет