קבוצת תוכנות הכופר Agenda מגבירה את הזיהומים ברחבי העולם, הודות לגרסה חדשה ומשופרת של תוכנת הכופר שלה ממוקדת מכונה וירטואלית.
אג'נדה (המכונה Qilin ו-Water Galura) זוהתה לראשונה בשנת 2022. תוכנת הכופר הראשונה שלה, מבוססת גולאנג, שימשה נגד מגוון חסר הבחנה של יעדים: בתחום הבריאות, הייצור והחינוך, מקנדה ועד קולומביה ואינדונזיה.
לקראת סוף 2022, הבעלים של Agenda כתבו מחדש את התוכנה הזדונית שלה חלודה, שפה שימושית עבור מחברי תוכנות זדוניות המעוניינים להפיץ את עבודתם על פני מערכות הפעלה. עם גרסת Rust, Agenda הצליחה להתפשר על ארגונים בתחום הפיננסים, המשפטים, הבנייה ועוד, בעיקר בארה"ב אך גם בארגנטינה, אוסטרליה, תאילנד ובמקומות אחרים.
רק לאחרונה, טרנד מיקרו זיהתה גרסה חדשה של תוכנת כופר של Agenda בטבע. הגרסה העדכנית ביותר מבוססת Rust מגיעה עם מגוון פונקציות חדשות ומנגנוני התגנבות, והיא שמה את הכוונת שלה ישירות על שרתי VMware vCenter ו-ESXi.
"התקפות כופר נגד שרתי ESXi הן מגמה הולכת וגוברת", מציין סטיבן הילט, חוקר איומים בכיר ב- Trend Micro. "הם מטרות אטרקטיביות למתקפות כופר מכיוון שלעתים קרובות הם מארחים מערכות ויישומים קריטיים, וההשפעה של מתקפה מוצלחת יכולה להיות משמעותית."
תוכנת הכופר של האג'נדה החדשה
הזיהומים בסדר היום החלו להתגבר בדצמבר, לפי Trend Micro, אולי בגלל שהקבוצה פעילה יותר עכשיו, או אולי בגלל שהם יעילים יותר.
זיהומים מתחילים כאשר תוכנת הכופר הבינארי מועברת באמצעות Cobalt Strike, או באמצעות כלי ניטור וניהול מרחוק (RMM). סקריפט PowerShell המוטמע בבינארי מאפשר לתוכנת הכופר להתפשט על פני שרתי vCenter ו-ESXi.
לאחר הפצה נכונה, התוכנה הזדונית משנה את סיסמת השורש בכל המארחים של ESXi, ובכך נועלת את בעליהם, ולאחר מכן משתמשת ב-Secure Shell (SSH) כדי להעלות את המטען הזדוני.
תוכנה זדונית חדשה וחזקה יותר של Agenda חולקת את אותה פונקציונליות כמו קודמתה: סריקה או אי הכללה של נתיבי קבצים מסוימים, התפשטות למכונות מרוחקות באמצעות PsExec, קצוב זמן מדויק של ביצוע המטען וכן הלאה. אבל זה גם מוסיף מספר פקודות חדשות להסלמה של הרשאות, התחזות לאסימונים, השבתת אשכולות מכונות וירטואליות ועוד.
תכונה חדשה אחת קלת דעת אך בעלת השפעה פסיכולוגית מאפשרת להאקרים להדפיס את שטר הכופר שלהם, במקום להציג אותו רק על צג נגוע.
התוקפים מבצעים באופן פעיל את כל הפקודות השונות הללו באמצעות מעטפת, מה שמאפשר להם לבצע את התנהגויותיהם הזדוניות מבלי להשאיר קבצים מאחור כראיה.
כדי לשפר עוד יותר את החמקנות שלה, אג'נדה שואלת גם ממגמה פופולרית לאחרונה בקרב תוקפי תוכנות כופר - הביאו נהג פגיע משלכם (BYOVD) - שימוש בדרייברים פגיעים של SYS כדי להתחמק מתוכנת אבטחה.
סיכון תוכנת כופר
תוכנת כופר, פעם בלעדית ל-Windows, פרחה לינוקס ו-VWware וגם MacOS, הודות לכמות המידע הרגיש שחברות שומרות בסביבות אלו.
"ארגונים מאחסנים מגוון נתונים בשרתי ESXi, כולל מידע רגיש כמו נתוני לקוחות, רשומות פיננסיות וקניין רוחני. הם עשויים גם לאחסן גיבויים של מערכות ויישומים קריטיים בשרתי ESXi", מסביר הילט. תוקפי תוכנות כופר טורפים מידע רגיש מסוג זה, כאשר גורמי איומים אחרים עשויים להשתמש באותן מערכות כמו משטח שיגור להתקפות רשת נוספות.
בדוח שלה, Trend Micro ממליצה לארגונים בסיכון לשמור מקרוב על הרשאות ניהול, לעדכן באופן קבוע מוצרי אבטחה, לבצע סריקות ונתוני גיבוי, ללמד עובדים על הנדסה חברתית ולתרגל היגיינת סייבר קפדנית.
"הדחיפה להפחתת עלויות ולהישאר ב-premise תגרום לארגונים לווירטואליזציה ולהשתמש במערכות כמו ESXi כדי לווירטואליזציה של המערכות", מוסיף Hilt, כך שהסיכון למתקפות סייבר של וירטואליזציה רק ימשיך לגדול.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
