Agenda lunavara grupp on tänu oma virtuaalmasinale keskendunud lunavara uuele ja täiustatud variandile suurendanud nakkuste arvu kogu maailmas.
Agendat (teise nimega Qilin ja Water Galura) märgati esmakordselt 2022. aastal. Selle esimest Golangi-põhist lunavara kasutati valimatu hulga sihtmärkide vastu: tervishoius, tootmises ja hariduses Kanadast Colombia ja Indoneesiani.
2022. aasta lõpu poole kirjutasid Agenda omanikud selle pahavara ümber Rooste, kasulik keel pahavara autoritele, kes soovivad oma tööd operatsioonisüsteemides levitada. Rusti variandiga suutis Agenda kompromiteerida organisatsioone rahanduse, õiguse, ehituse ja muu vallas, peamiselt USA-s, aga ka Argentinas, Austraalias, Tais ja mujal.
Just hiljuti tuvastas Trend Micro uus Agenda lunavaravariant metsikus looduses. See uusim roostepõhine versioon on varustatud mitmete uute funktsioonide ja varjatud mehhanismidega ning on suunatud VMware vCenteri ja ESXi serveritele.
"ESXi serverite vastu suunatud lunavararünnakud on kasvav trend," märgib Trend Micro vanemohuteadur Stephen Hilt. "Nad on lunavararünnakute jaoks atraktiivsed sihtmärgid, kuna nad hostivad sageli kriitilisi süsteeme ja rakendusi ning eduka rünnaku mõju võib olla märkimisväärne."
New Agenda lunavara
Trend Micro andmetel hakkasid Agenda-nakkused suurenema detsembris, võib-olla seetõttu, et rühm on praegu aktiivsem või võib-olla seetõttu, et nad on tõhusamad.
Nakatumine algab siis, kui lunavara binaarfail tarnitakse Cobalt Strike'i või kaugseire ja -haldustööriista (RMM) kaudu. Kahefaili manustatud PowerShelli skript võimaldab lunavaral levida üle vCenteri ja ESXi serverite.
Kui pahavara on korralikult levitatud, muudab see kõigi ESXi hostide juurparooli, lukustades seeläbi nende omanikud, ja seejärel kasutab pahatahtliku kasuliku koormuse üleslaadimiseks Secure Shelli (SSH).
Sellel uuel võimsamal Agenda pahavaral on samad funktsioonid nagu tema eelkäijal: teatud failiteede skannimine või välistamine, PsExeci kaudu levitamine kaugmasinatesse, kasuliku koormuse täitmise täpne ajastus ja nii edasi. Kuid see lisab ka mitmeid uusi käske õiguste suurendamiseks, žetoonide kehastamiseks, virtuaalmasinate klastrite keelamiseks ja muuks.
Üks kergemeelne, kuid psühholoogiliselt mõjuv uus funktsioon võimaldab häkkeritel oma lunaraha välja printida, selle asemel et seda lihtsalt nakatunud monitoril esitada.
Ründajad täidavad kõiki neid erinevaid käske aktiivselt kesta kaudu, võimaldades neil sooritada oma pahatahtlikku käitumist, jätmata ühtegi faili tõendina maha.
Oma varguse suurendamiseks laenab Agenda ka hiljuti populaarset suundumust lunavararündajate seas – tooge oma haavatav draiver (BYOVD) — haavatavate SYS-draiverite kasutamine turvatarkvarast kõrvalehoidmiseks.
Lunavara risk
Lunavara, mis kunagi oli ainult Windowsi jaoks, on õitsele puhkenud Linux ja VWware ja isegi macOS, tänu sellele, kui palju tundlikku teavet ettevõtted nendes keskkondades hoiavad.
„Organisatsioonid salvestavad ESXi serveritesse mitmesuguseid andmeid, sealhulgas tundlikku teavet, nagu kliendiandmed, finantsdokumendid ja intellektuaalomand. Samuti võivad nad ESXi serverites salvestada kriitiliste süsteemide ja rakenduste varukoopiaid, ”selgitab Hilt. Lunavararündajad saagivad seda tüüpi tundlikku teavet, kus teised ohus osalejad võivad kasutada samu süsteeme edasiste võrgurünnakute käivitamiseks.
Trend Micro soovitab oma aruandes riskirühma kuuluvatel organisatsioonidel hoolikalt jälgida administraatoriõigusi, värskendada regulaarselt turbetooteid, teha skannimisi ja varundada andmeid, koolitada töötajaid sotsiaalse inseneride alal ning järgida hoolsat küberhügieeni.
"Kulude vähendamise ja eeldusel püsimise tõukejõud sunnib organisatsioone virtualiseerima ja kasutama süsteeme nagu ESXi süsteemide virtualiseerimiseks," lisab Hilt, nii et virtualiseerimise küberrünnakute oht tõenäoliselt ainult kasvab.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
