Die Agenda-Ransomware-Gruppe hat dank einer neuen und verbesserten Variante ihrer auf virtuelle Maschinen fokussierten Ransomware weltweit für einen Anstieg der Infektionen gesorgt.

Agenda (auch bekannt als Qilin und Water Galura) wurde erstmals im Jahr 2022 entdeckt. Seine erste, Golang-basierte Ransomware wurde gegen eine wahllose Reihe von Zielen eingesetzt: im Gesundheitswesen, in der Fertigung und im Bildungswesen, von Kanada bis Kolumbien und Indonesien.

Gegen Ende des Jahres 2022 haben die Eigentümer von Agenda ihre Malware umgeschrieben Rust, eine nützliche Sprache für Malware-Autoren, die ihre Arbeit auf verschiedene Betriebssysteme verteilen möchten. Mit der Rust-Variante konnte Agenda Organisationen in den Bereichen Finanzen, Recht, Bauwesen und mehr kompromittieren, vor allem in den USA, aber auch in Argentinien, Australien, Thailand und anderswo.

Erst kürzlich hat Trend Micro festgestellt eine neue Agenda-Ransomware-Variante in der Wildnis. Diese neueste Rust-basierte Version verfügt über eine Vielzahl neuer Funktionalitäten und Stealth-Mechanismen und hat es direkt auf VMware vCenter- und ESXi-Server abgesehen.

„Ransomware-Angriffe auf ESXi-Server sind ein wachsender Trend“, bemerkt Stephen Hilt, leitender Bedrohungsforscher bei Trend Micro. „Sie sind attraktive Ziele für Ransomware-Angriffe, da sie häufig kritische Systeme und Anwendungen hosten und die Auswirkungen eines erfolgreichen Angriffs erheblich sein können.“

Die neue Agenda-Ransomware

Laut Trend Micro kam es im Dezember zu einem Anstieg der Agenda-Infektionen, vielleicht weil die Gruppe jetzt aktiver ist oder weil sie effektiver sind.

Infektionen beginnen, wenn die Ransomware-Binärdatei entweder über Cobalt Strike oder ein RMM-Tool (Remote Monitoring and Management) übermittelt wird. Ein in die Binärdatei eingebettetes PowerShell-Skript ermöglicht die Ausbreitung der Ransomware über vCenter- und ESXi-Server.

Nach der ordnungsgemäßen Verbreitung ändert die Malware das Root-Passwort auf allen ESXi-Hosts, sperrt dadurch deren Besitzer aus und lädt dann mithilfe von Secure Shell (SSH) die bösartige Nutzlast hoch.

Diese neue, leistungsstärkere Agenda-Malware verfügt über dieselben Funktionen wie ihr Vorgänger: Scannen oder Ausschließen bestimmter Dateipfade, Ausbreitung auf Remote-Rechnern über PsExec, genaue Zeitüberschreitung bei der Ausführung der Nutzlast und so weiter. Es werden aber auch eine Reihe neuer Befehle zum Erweitern von Berechtigungen, zum Identitätswechsel von Token, zum Deaktivieren von Clustern virtueller Maschinen und mehr hinzugefügt.

Eine leichtfertige, aber psychologisch wirkungsvolle neue Funktion ermöglicht es den Hackern, ihre Lösegeldforderung auszudrucken, anstatt sie nur auf einem infizierten Monitor anzuzeigen.

Die Angreifer führen all diese verschiedenen Befehle aktiv über eine Shell aus und können so ihr bösartiges Verhalten ausführen, ohne Dateien als Beweismittel zu hinterlassen.

Um seine Tarnung weiter zu verbessern, orientiert sich Agenda auch an einem kürzlich unter Ransomware-Angreifern beliebten Trend: Bringen Sie Ihren eigenen gefährdeten Fahrer mit (BYOVD) – Verwendung anfälliger SYS-Treiber, um Sicherheitssoftware zu umgehen.

Ransomware-Risiko

Ransomware, einst exklusiv für Windows, hat sich mittlerweile zu einem wahren Phänomen entwickelt Linux und VWware und sogar macOS, dank der Menge sensibler Informationen, die Unternehmen in diesen Umgebungen speichern.

„Organisationen speichern eine Vielzahl von Daten auf ESXi-Servern, darunter sensible Informationen wie Kundendaten, Finanzunterlagen und geistiges Eigentum. Sie können auch Backups kritischer Systeme und Anwendungen auf ESXi-Servern speichern“, erklärt Hilt. Ransomware-Angreifer machen sich diese Art sensibler Informationen zunutze, während andere Bedrohungsakteure dieselben Systeme möglicherweise als Ausgangspunkt für weitere Netzwerkangriffe nutzen.

In seinem Bericht empfiehlt Trend Micro gefährdeten Organisationen, die Administratorrechte genau zu überwachen, Sicherheitsprodukte regelmäßig zu aktualisieren, Scans durchzuführen und Daten zu sichern, Mitarbeiter über Social Engineering aufzuklären und sorgfältige Cyber-Hygiene zu praktizieren.

„Der Drang nach Kostensenkung und dem Verbleib vor Ort wird Unternehmen dazu veranlassen, Systeme wie ESXi zu virtualisieren und zur Virtualisierung der Systeme zu verwenden“, fügt Hilt hinzu, sodass das Risiko von Cyberangriffen auf die Virtualisierung wahrscheinlich weiter zunehmen wird.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers