Worldwide Agenda Ransomware Wave Targets VMware ESXi Servers

Agenda ransomware -ryhmä on lisännyt tartuntoja maailmanlaajuisesti virtuaalikonekeskeisen kiristysohjelman uuden ja parannetun version ansiosta.

Agenda (alias Qilin ja Water Galura) havaittiin ensimmäisen kerran vuonna 2022. Sen ensimmäistä, Golang-pohjaista kiristysohjelmaa käytettiin umpimähkäisiä kohteita vastaan: terveydenhuollossa, valmistuksessa ja koulutuksessa Kanadasta Kolumbiaan ja Indonesiaan.

Vuoden 2022 lopulla Agendan omistajat kirjoittivat sen haittaohjelmat uudelleen Ruoste, hyödyllinen kieli haittaohjelmien tekijöille, jotka haluavat levittää työtään käyttöjärjestelmiin. Rust-version avulla Agenda pystyi tekemään kompromisseja rahoituksen, lakien, rakentamisen ja muiden alojen organisaatioissa pääasiassa Yhdysvalloissa, mutta myös Argentiinassa, Australiassa, Thaimaassa ja muualla.

Trend Micro tunnisti äskettäin uusi Agenda ransomware -versio luonnossa. Tämä uusin Rust-pohjainen versio sisältää useita uusia toimintoja ja salaperäisiä mekanismeja, ja se keskittyy suoraan VMware vCenter- ja ESXi-palvelimiin.

"ESXi-palvelimia vastaan kohdistuvat kiristysohjelmahyökkäykset ovat kasvava trendi", huomauttaa Stephen Hilt, vanhempi uhkatutkija Trend Microsta. "Ne ovat houkuttelevia kohteita kiristysohjelmahyökkäyksille, koska ne isännöivät usein tärkeitä järjestelmiä ja sovelluksia, ja onnistuneen hyökkäyksen vaikutus voi olla merkittävä."

New Agenda Ransomware

Agenda-infektiot alkoivat lisääntyä joulukuussa Trend Micron mukaan, ehkä siksi, että ryhmä on nyt aktiivisempi tai ehkä siksi, että ne ovat tehokkaampia.

Infektiot alkavat, kun ransomware-binaari toimitetaan joko Cobalt Striken tai etävalvonta- ja hallintatyökalun (RMM) kautta. Binaariin upotettu PowerShell-skripti mahdollistaa kiristysohjelman leviämisen vCenter- ja ESXi-palvelimien välillä.

Kun haittaohjelma on levitetty oikein, se muuttaa pääsalasanan kaikissa ESXi-isännissä ja sulkee siten niiden omistajat ja käyttää sitten SSH:ta (Secure Shell) haitallisen hyötykuorman lataamiseen.

Tämä uusi, tehokkaampi Agenda-haittaohjelma jakaa kaikki samat toiminnot kuin edeltäjänsä: tiettyjen tiedostopolkujen skannaus tai poissulkeminen, etäkoneille leviäminen PsExecin kautta, tarkka aikakatkaisu, kun hyötykuorma suoritetaan, ja niin edelleen. Mutta se lisää myös joukon uusia komentoja oikeuksien laajentamiseen, tokeneihin esiintymiseen, virtuaalikoneiden klustereiden poistamiseen käytöstä ja paljon muuta.

Yksi kevytmielinen, mutta psykologisesti vaikuttava uusi ominaisuus antaa hakkereille mahdollisuuden tulostaa lunnaita sen sijaan, että ne esittäisivät sen vain tartunnan saaneella näytöllä.

Hyökkääjät suorittavat aktiivisesti kaikkia näitä erilaisia komentoja kuoren kautta, jolloin he voivat suorittaa haitallisia toimiaan jättämättä tiedostoja todisteeksi.

Parantaakseen varkautta entisestään Agenda lainaa myös viime aikoina suosittua kiristysohjelmien hyökkääjien keskuudessa - tuo oma haavoittuva ohjain (BYOVD) — haavoittuvien SYS-ajureiden käyttäminen suojausohjelmistojen kiertämiseen.

Ransomware riski

Kiristysohjelmat, jotka kerran olivat yksinomaan Windowsissa, ovat kukoistaneet Linux ja VWware ja jopa macOS, kiitos siitä, kuinka paljon arkaluontoista tietoa yritykset säilyttävät näissä ympäristöissä.

"Organisaatiot tallentavat erilaisia tietoja ESXi-palvelimille, mukaan lukien arkaluontoiset tiedot, kuten asiakastiedot, taloustiedot ja immateriaalioikeudet. Ne voivat myös tallentaa kriittisten järjestelmien ja sovellusten varmuuskopioita ESXi-palvelimille”, Hilt selittää. Ransomware-hyökkääjät saalistavat tällaisia arkaluontoisia tietoja, joissa muut uhkatekijät voivat käyttää näitä samoja järjestelmiä uusien verkkohyökkäysten käynnistyslevynä.

Raportissaan Trend Micro suosittelee, että riskiorganisaatiot valvovat tarkasti järjestelmänvalvojan oikeuksia, päivittävät säännöllisesti tietoturvatuotteita, suorittavat skannauksia ja varmuuskopioivat tiedot, kouluttavat työntekijöitä sosiaalisesta suunnittelusta ja harjoittavat huolellista kyberhygieniaa.

"Kustannusten vähentäminen ja lähtökohtana pysyminen saavat organisaatiot virtualisoimaan ja käyttämään ESXin kaltaisia järjestelmiä järjestelmien virtualisointiin", Hilt lisää, joten virtualisoinnin kyberhyökkäysten riski todennäköisesti vain kasvaa.

SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
Lähde: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers

Generatiivinen tiedustelu

Maailmanlaajuinen Agenda Ransomware Wave kohdistuu VMware ESXi -palvelimiin

New Agenda Ransomware

Ransomware riski

Shiba Inu johtaa Robinhoodin kryptoesitystä

DOJ kiistää Roman Stormin luonnehdinnan tornado-käteisoperaatioista uudessa tiedostossa

Uusin älykkyys

5 parasta salauksen ennakkomyyntiä: BDAG johtaa 30,000 XNUMXx ROI-potentiaalia

Forbes paljastaa 20 kryptozombietta, julistaa Ripplen ja XRP:n epäkuolleiden joukossa

Consob, Italian vahtikoira, kieltää muut Forex- ja kryptovaluuttakaupan verkkosivustot – CryptoInfoNet

Fedin inflaatiomittari lämpenee, korko laskee odotustilassa Bitcoinin ja osakkeiden liukuessa

Tutustu vuoden 6 kuuteen parhaaseen kryptoon: BlockDAG-liidit, joilla on ennennäkemätön ROI-potentiaali

Franklin Templetonin Ethereum spot ETF listattu DTCC:ssä

Keskustele kanssamme