El grupo de ransomware Agenda ha estado aumentando las infecciones en todo el mundo, gracias a una variante nueva y mejorada de su ransomware centrado en máquinas virtuales.
Agenda (también conocido como Qilin y Water Galura) se detectó por primera vez en 2022. Su primer ransomware basado en Golang se utilizó contra una variedad indiscriminada de objetivos: en atención médica, manufactura y educación, desde Canadá hasta Colombia e Indonesia.
Hacia finales de 2022, los propietarios de Agenda reescribieron su malware en Rust, un lenguaje útil para autores de malware que buscan difundir su trabajo entre sistemas operativos. Con la variante Rust, Agenda pudo comprometer a organizaciones de finanzas, derecho, construcción y más, predominantemente en los EE. UU., pero también en Argentina, Australia, Tailandia y otros lugares.
Recientemente, Trend Micro identificó una nueva variante del ransomware Agenda En la naturaleza. Esta última versión basada en Rust viene con una variedad de nuevas funcionalidades y mecanismos ocultos, y apunta directamente a los servidores VMware vCenter y ESXi.
"Los ataques de ransomware contra servidores ESXi son una tendencia creciente", señala Stephen Hilt, investigador senior de amenazas de Trend Micro. "Son objetivos atractivos para los ataques de ransomware porque a menudo albergan sistemas y aplicaciones críticos, y el impacto de un ataque exitoso puede ser significativo".
El ransomware de la nueva agenda
Las infecciones por agenda comenzaron a aumentar en diciembre, según Trend Micro, tal vez porque el grupo es más activo ahora, o tal vez porque son más efectivos.
Las infecciones comienzan cuando el binario de ransomware se entrega a través de Cobalt Strike o una herramienta de administración y monitoreo remoto (RMM). Un script de PowerShell integrado en el binario permite que el ransomware se propague a través de servidores vCenter y ESXi.
Una vez difundido adecuadamente, el malware cambia la contraseña raíz en todos los hosts ESXi, bloqueando así a sus propietarios, y luego utiliza Secure Shell (SSH) para cargar la carga útil maliciosa.
Este nuevo malware Agenda, más potente, comparte la misma funcionalidad que su predecesor: escanear o excluir ciertas rutas de archivos, propagarse a máquinas remotas a través de PsExec, cronometrar con precisión el momento en que se ejecuta la carga útil, etc. Pero también agrega una serie de comandos nuevos para escalar privilegios, hacerse pasar por tokens, deshabilitar clústeres de máquinas virtuales y más.
Una nueva característica frívola pero psicológicamente impactante permite a los piratas informáticos imprimir su nota de rescate, en lugar de simplemente presentarla en un monitor infectado.
Los atacantes ejecutan activamente todos estos comandos a través de un shell, lo que les permite llevar a cabo sus comportamientos maliciosos sin dejar ningún archivo como evidencia.
Para mejorar aún más su sigilo, Agenda también toma prestado una tendencia recientemente popular entre los atacantes de ransomware: traiga su propio conductor vulnerable (BYOVD) – usar controladores SYS vulnerables para evadir el software de seguridad.
Riesgo de ransomware
El ransomware, que alguna vez fue exclusivo de Windows, ha florecido en Linux y VWware e incluso macOS, gracias a la cantidad de información confidencial que las empresas guardan en estos entornos.
“Las organizaciones almacenan una variedad de datos en servidores ESXi, incluida información confidencial como datos de clientes, registros financieros y propiedad intelectual. También pueden almacenar copias de seguridad de sistemas y aplicaciones críticos en servidores ESXi”, explica Hilt. Los atacantes de ransomware se aprovechan de este tipo de información confidencial, mientras que otros actores de amenazas podrían utilizar estos mismos sistemas como plataforma de lanzamiento para futuros ataques a la red.
En su informe, Trend Micro recomienda que las organizaciones en riesgo vigilen de cerca los privilegios administrativos, actualicen periódicamente los productos de seguridad, realicen análisis y realicen copias de seguridad de los datos, eduquen a los empleados sobre la ingeniería social y practiquen una ciberhigiene diligente.
"El impulso para reducir costos y permanecer en las instalaciones hará que las organizaciones virtualicen y utilicen sistemas como ESXi para virtualizar los sistemas", agrega Hilt, por lo que el riesgo de ciberataques de virtualización probablemente seguirá creciendo.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
