Nhóm ransomware Agenda đang gia tăng lây nhiễm trên toàn thế giới nhờ một biến thể mới và cải tiến của ransomware tập trung vào máy ảo.
Agenda (hay còn gọi là Qilin và Water Galura) được phát hiện lần đầu tiên vào năm 2022. Phần mềm ransomware đầu tiên dựa trên Golang được sử dụng để chống lại một loạt mục tiêu bừa bãi: trong lĩnh vực chăm sóc sức khỏe, sản xuất và giáo dục, từ Canada đến Colombia và Indonesia.
Đến cuối năm 2022, chủ sở hữu của Agenda đã viết lại phần mềm độc hại của nó trong Rust, một ngôn ngữ hữu ích dành cho các tác giả phần mềm độc hại đang tìm cách phổ biến tác phẩm của họ trên các hệ điều hành. Với biến thể Rust, Agenda có thể thỏa hiệp các tổ chức về tài chính, luật, xây dựng, v.v., chủ yếu ở Hoa Kỳ mà còn ở Argentina, Úc, Thái Lan và các nơi khác.
Mới đây, Trend Micro đã xác định một biến thể ransomware Agenda mới trong thế giới hoang dã. Phiên bản dựa trên Rust mới nhất này đi kèm với nhiều chức năng mới và cơ chế ẩn, đồng thời nhắm thẳng vào các máy chủ VMware vCenter và ESXi.
Stephen Hilt, nhà nghiên cứu mối đe dọa cấp cao tại Trend Micro, cho biết: “Các cuộc tấn công bằng ransomware nhằm vào máy chủ ESXi đang có xu hướng ngày càng tăng”. “Chúng là mục tiêu hấp dẫn cho các cuộc tấn công ransomware vì chúng thường lưu trữ các hệ thống và ứng dụng quan trọng và tác động của một cuộc tấn công thành công có thể rất đáng kể.”
Phần mềm tống tiền chương trình nghị sự mới
Theo Trend Micro, việc lây nhiễm chương trình nghị sự bắt đầu gia tăng vào tháng 12, có lẽ vì nhóm này hiện hoạt động tích cực hơn hoặc có lẽ vì chúng hoạt động hiệu quả hơn.
Quá trình lây nhiễm bắt đầu khi tệp nhị phân ransomware được phân phối thông qua Cobalt Strike hoặc công cụ quản lý và giám sát từ xa (RMM). Tập lệnh PowerShell được nhúng trong tệp nhị phân cho phép phần mềm tống tiền lây lan trên các máy chủ vCenter và ESXi.
Sau khi được phát tán đúng cách, phần mềm độc hại sẽ thay đổi mật khẩu gốc trên tất cả các máy chủ ESXi, từ đó khóa chủ sở hữu của chúng, sau đó sử dụng Secure Shell (SSH) để tải tải trọng độc hại lên.
Phần mềm độc hại Agenda mới, mạnh hơn này có chung tất cả chức năng như phần mềm tiền nhiệm: quét hoặc loại trừ một số đường dẫn tệp nhất định, lan truyền đến các máy từ xa thông qua PsExec, tính thời gian chính xác khi tải trọng được thực thi, v.v. Nhưng nó cũng bổ sung thêm một số lệnh mới để nâng cao đặc quyền, mạo danh mã thông báo, vô hiệu hóa cụm máy ảo, v.v.
Một tính năng mới tuy phù phiếm nhưng có tác động lớn về mặt tâm lý cho phép tin tặc in thông báo đòi tiền chuộc thay vì chỉ hiển thị nó trên màn hình bị nhiễm virus.
Những kẻ tấn công tích cực thực thi tất cả các lệnh khác nhau này thông qua một shell, cho phép chúng thực hiện các hành vi nguy hiểm mà không để lại bất kỳ tệp nào làm bằng chứng.
Để nâng cao hơn nữa khả năng tàng hình của mình, Agenda cũng vay mượn xu hướng phổ biến gần đây của những kẻ tấn công ransomware — mang theo trình điều khiển dễ bị tổn thương của riêng bạn (BYOVD) — sử dụng trình điều khiển SYS dễ bị tấn công để trốn tránh phần mềm bảo mật.
Nguy cơ ransomware
Ransomware, từng độc quyền cho Windows, đã nở rộ khắp nơi Linux và VWware và thậm chí cả macOS, nhờ lượng thông tin nhạy cảm mà các công ty lưu giữ trong những môi trường này.
“Các tổ chức lưu trữ nhiều loại dữ liệu trên máy chủ ESXi, bao gồm thông tin nhạy cảm như dữ liệu khách hàng, hồ sơ tài chính và sở hữu trí tuệ. Họ cũng có thể lưu trữ các bản sao lưu của các hệ thống và ứng dụng quan trọng trên máy chủ ESXi,” Hilt giải thích. Những kẻ tấn công ransomware nhắm vào loại thông tin nhạy cảm này, trong đó các tác nhân đe dọa khác có thể sử dụng chính những hệ thống này làm bệ phóng cho các cuộc tấn công mạng tiếp theo.
Trong báo cáo của mình, Trend Micro khuyến nghị các tổ chức gặp rủi ro nên theo dõi chặt chẽ các đặc quyền quản trị, thường xuyên cập nhật các sản phẩm bảo mật, thực hiện quét và sao lưu dữ liệu, đào tạo nhân viên về kỹ thuật xã hội và thực hành vệ sinh mạng một cách siêng năng.
Hilt cho biết thêm: “Việc thúc đẩy giảm chi phí và duy trì hoạt động tại cơ sở sẽ khiến các tổ chức ảo hóa và sử dụng các hệ thống như ESXi để ảo hóa hệ thống”. Vì vậy, nguy cơ các cuộc tấn công mạng ảo hóa có thể sẽ tiếp tục gia tăng.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
- : có
- :là
- :Ở đâu
- $ LÊN
- 2022
- 7
- a
- Có khả năng
- Giới thiệu
- Theo
- ngang qua
- hoạt động
- tích cực
- diễn viên
- Thêm
- hành chính
- chống lại
- chương trình nghị sự
- aka
- Tất cả
- cho phép
- Ngoài ra
- trong số
- an
- và
- bất kì
- các ứng dụng
- LÀ
- Argentina
- AS
- At
- tấn công
- Các cuộc tấn công
- hấp dẫn
- Châu Úc
- tác giả
- sao lưu
- sao lưu
- BE
- bởi vì
- được
- bắt đầu
- bắt đầu
- hành vi
- sau
- nhưng
- CAN
- Canada
- mang
- Nguyên nhân
- nhất định
- Những thay đổi
- Đóng
- Chất bạch kim
- Colombia
- đến
- Các công ty
- thỏa hiệp
- xây dựng
- tiếp tục
- Phí Tổn
- giảm chi phí
- quan trọng
- khách hàng
- dữ liệu khách hàng
- không gian mạng
- Tấn công mạng
- dữ liệu
- Tháng mười hai
- giao
- trình điều khiển
- trình điều khiển
- giáo dục
- Đào tạo
- Hiệu quả
- hay
- nơi khác
- nhúng
- nhân viên
- cho phép
- cuối
- Kỹ Sư
- nâng cao
- môi trường
- leo lên bằng thang
- trốn tránh
- Ngay cả
- bằng chứng
- loại trừ
- Dành riêng
- thi hành
- Thực thi
- Giải thích
- Đặc tính
- Tập tin
- Các tập tin
- tài chính
- tài chính
- Tên
- Trong
- từ
- chức năng
- chức năng
- xa hơn
- Nhóm
- Phát triển
- Phát triển
- tin tặc
- chăm sóc sức khỏe
- chủ nhà
- host
- Độ đáng tin của
- HTML
- HTTPS
- xác định
- Va chạm
- ảnh hưởng lớn
- cải thiện
- in
- Bao gồm
- bừa bãi
- Indonesia
- nhiễm
- nhiễm trùng
- thông tin
- thay vì
- trí tuệ
- sở hữu trí tuệ
- IT
- ITS
- jpg
- chỉ
- Giữ
- Loại
- mới nhất
- Launchpad
- Luật
- để lại
- Lượt thích
- Có khả năng
- khóa
- tìm kiếm
- máy
- Máy móc
- độc hại
- phần mềm độc hại
- quản lý
- sản xuất
- Có thể..
- cơ chế
- vi
- Might
- Màn Hình
- giám sát
- chi tiết
- nhiều
- mạng
- Mới
- ghi
- Chú ý
- tại
- con số
- of
- thường
- on
- hàng loạt
- có thể
- hoạt động
- các hệ điều hành
- or
- tổ chức
- Nền tảng khác
- ra
- kết thúc
- riêng
- chủ sở hữu
- Mật khẩu
- đường dẫn
- Thực hiện
- có lẽ
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Phổ biến
- mạnh mẽ
- PowerShell
- thực hành
- Chính xác
- người tiền nhiệm
- chủ yếu
- trình bày
- làm mồi
- In
- đặc quyền
- Sản phẩm
- đúng
- tài sản
- Đẩy
- dốc
- phạm vi
- Đòi tiền chuộc
- ransomware
- Tấn công Ransomware
- RE
- gần đây
- đề nghị
- hồ sơ
- giảm
- thường xuyên
- còn lại
- xa
- báo cáo
- nhà nghiên cứu
- Nguy cơ
- nguồn gốc
- Rust
- s
- tương tự
- quét
- quét
- kịch bản
- an toàn
- an ninh
- cao cấp
- nhạy cảm
- Các máy chủ
- bộ
- cổ phiếu
- Shell
- Điểm tham quan
- có ý nghĩa
- So
- Mạng xã hội
- Kỹ thuật xã hội
- Phần mềm
- lan tràn
- ssh
- Stealth
- Stephen
- hàng
- đình công
- thành công
- như vậy
- SYS
- hệ thống
- mục tiêu
- Thailand
- Cảm ơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- sau đó
- bằng cách ấy
- Kia là
- họ
- điều này
- mối đe dọa
- diễn viên đe dọa
- thời gian
- đến
- Tokens
- công cụ
- khuynh hướng
- Cập nhật
- trên
- us
- sử dụng
- đã sử dụng
- hữu ích
- sử dụng
- sử dụng
- biến thể
- nhiều
- khác nhau
- phiên bản
- thông qua
- ảo
- máy ảo
- vmware
- Dễ bị tổn thương
- là
- Đồng hồ đeo tay
- Nước
- Sóng
- khi nào
- Hoang dã
- sẽ
- cửa sổ
- với
- ở trong
- không có
- Công việc
- khắp thế giới
- trên màn hình
- zephyrnet