Il gruppo ransomware Agenda ha intensificato le infezioni in tutto il mondo, grazie a una variante nuova e migliorata del suo ransomware incentrato sulle macchine virtuali.
Agenda (noto anche come Qilin e Water Galura) è stato individuato per la prima volta nel 2022. Il suo primo ransomware, basato su Golang, è stato utilizzato contro una gamma indiscriminata di obiettivi: nel settore sanitario, manifatturiero e dell'istruzione, dal Canada alla Colombia e all'Indonesia.
Verso la fine del 2022, i proprietari di Agenda hanno riscritto il suo malware Ruggine, una lingua utile per gli autori di malware che desiderano diffondere il proprio lavoro su più sistemi operativi. Con la variante Rust, Agenda è stata in grado di compromettere organizzazioni nei settori finanziario, legale, edile e altro ancora, prevalentemente negli Stati Uniti ma anche in Argentina, Australia, Tailandia e altrove.
Proprio di recente, Trend Micro ha identificato una nuova variante del ransomware Agenda nella natura selvaggia. Quest'ultima versione basata su Rust è dotata di una varietà di nuove funzionalità e meccanismi stealth e punta direttamente sui server VMware vCenter ed ESXi.
"Gli attacchi ransomware contro i server ESXi sono una tendenza in crescita", osserva Stephen Hilt, ricercatore senior sulle minacce presso Trend Micro. "Sono obiettivi interessanti per gli attacchi ransomware perché spesso ospitano sistemi e applicazioni critici e l'impatto di un attacco riuscito può essere significativo."
Il ransomware della nuova agenda
Secondo Trend Micro, le infezioni di tipo Agenda hanno iniziato ad aumentare a dicembre, forse perché ora il gruppo è più attivo o forse perché sono più efficaci.
Le infezioni iniziano quando il file binario del ransomware viene distribuito tramite Cobalt Strike o uno strumento di monitoraggio e gestione remota (RMM). Uno script PowerShell incorporato nel file binario consente al ransomware di propagarsi sui server vCenter ed ESXi.
Una volta correttamente diffuso, il malware modifica la password di root su tutti gli host ESXi, bloccandone così i proprietari, quindi utilizza Secure Shell (SSH) per caricare il payload dannoso.
Questo nuovo e più potente malware Agenda condivide tutte le stesse funzionalità del suo predecessore: scansione o esclusione di determinati percorsi di file, propagazione su macchine remote tramite PsExec, timeout preciso quando viene eseguito il payload e così via. Ma aggiunge anche una serie di nuovi comandi per aumentare i privilegi, impersonare token, disabilitare cluster di macchine virtuali e altro ancora.
Una nuova funzionalità frivola ma di impatto psicologico consente agli hacker di stampare la richiesta di riscatto, invece di presentarla semplicemente su un monitor infetto.
Gli aggressori eseguono attivamente tutti questi diversi comandi tramite una shell, consentendo loro di mettere in atto i loro comportamenti dannosi senza lasciare alcun file come prova.
Per migliorare ulteriormente la sua azione furtiva, Agenda prende a prestito anche una tendenza recentemente popolare tra gli aggressori di ransomware: porta il tuo autista vulnerabile (BYOVD) — utilizzo di driver SYS vulnerabili per eludere il software di sicurezza.
Rischio ransomware
Il ransomware, un tempo esclusivo di Windows, è diventato sempre più diffuso Linux e VWWare e persino macOS, grazie alla quantità di informazioni sensibili che le aziende conservano in questi ambienti.
“Le organizzazioni archiviano una varietà di dati sui server ESXi, comprese informazioni sensibili come dati dei clienti, registri finanziari e proprietà intellettuale. Possono anche archiviare backup di sistemi e applicazioni critici sui server ESXi", spiega Hilt. Gli aggressori di ransomware sfruttano questo tipo di informazioni sensibili, laddove altri autori di minacce potrebbero utilizzare questi stessi sistemi come trampolino di lancio per ulteriori attacchi di rete.
Nel suo rapporto, Trend Micro raccomanda alle organizzazioni a rischio di vigilare attentamente sui privilegi amministrativi, aggiornare regolarmente i prodotti di sicurezza, eseguire scansioni e eseguire il backup dei dati, istruire i dipendenti sull’ingegneria sociale e praticare una diligente igiene informatica.
"La spinta verso la riduzione dei costi e la permanenza in sede porterà le organizzazioni a virtualizzare e a utilizzare sistemi come ESXi per virtualizzare i sistemi", aggiunge Hilt, quindi il rischio di attacchi informatici alla virtualizzazione probabilmente continuerà a crescere.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
