Agenda ランサムウェア グループは、仮想マシンに焦点を当てたランサムウェアの新しく改良された亜種のおかげで、世界中で感染を拡大しています。
Agenda (別名 Qilin および Water Galura) は、2022 年に初めて発見されました。最初の Golang ベースのランサムウェアは、カナダからコロンビア、インドネシアに至るまで、医療、製造、教育などの無差別な範囲の標的に対して使用されました。
2022 年末に向けて、Agenda の所有者はマルウェアを書き換えました。 Rust、便利な言語 オペレーティング システム全体に作品を分散させようとしているマルウェア作成者向け。 Rust の亜種を使用すると、Agenda は、主に米国だけでなく、アルゼンチン、オーストラリア、タイなどの金融、法律、建設などの組織を侵害することができました。
つい最近、トレンドマイクロが特定した 新しいAgendaランサムウェア亜種 野生で。この最新の Rust ベースのバージョンには、さまざまな新機能とステルス メカニズムが搭載されており、VMware vCenter および ESXi サーバーに直接照準を合わせています。
「ESXi サーバーに対するランサムウェア攻撃は増加傾向にあります」と、トレンドマイクロの上級脅威研究者である Stephen Hilt 氏は述べています。 「これらは重要なシステムやアプリケーションをホストしていることが多く、攻撃が成功すると大きな影響を与える可能性があるため、ランサムウェア攻撃の魅力的な標的となります。」
新しいアジェンダ ランサムウェア
トレンドマイクロによると、アジェンダの感染が12月から急増し始めたのは、おそらくこのグループの活動が活発になったためか、効果が高まったためだろう。
感染は、Cobalt Strike またはリモート監視および管理 (RMM) ツールを介してランサムウェア バイナリが配信されると始まります。バイナリに埋め込まれた PowerShell スクリプトにより、ランサムウェアが vCenter サーバーと ESXi サーバー間で伝播することが可能になります。
このマルウェアは適切に拡散すると、すべての ESXi ホストの root パスワードを変更して所有者をロックアウトし、セキュア シェル (SSH) を使用して悪意のあるペイロードをアップロードします。
この新しく強力な Agenda マルウェアは、特定のファイル パスのスキャンまたは除外、PsExec 経由のリモート マシンへの伝播、ペイロードの実行時の正確なタイムアウトなど、以前のマルウェアと同じ機能をすべて共有しています。ただし、権限の昇格、トークンの偽装、仮想マシン クラスターの無効化などを行うための新しいコマンドも多数追加されています。
軽薄だが心理的に影響を与える新機能の 1 つにより、ハッカーは感染したモニターに身代金メモを表示するだけでなく、印刷することができます。
攻撃者はシェルを介してこれらのさまざまなコマンドをすべて積極的に実行するため、証拠としてファイルを残さずに悪意のある動作を実行できます。
ステルス性をさらに強化するために、Agenda はランサムウェア攻撃者の間で最近流行している傾向も取り入れています。 脆弱なドライバーを独自に持ち込む (BYOVD) — 脆弱な SYS ドライバーを使用してセキュリティ ソフトウェアを回避します。
ランサムウェアのリスク
かつては Windows 専用だったランサムウェアが全世界で開花しました Linux と VWware そして、さえ macOS企業がこれらの環境内にどれだけ多くの機密情報を保管しているかに感謝します。
「組織は、顧客データ、財務記録、知的財産などの機密情報を含むさまざまなデータを ESXi サーバーに保存しています。また、重要なシステムやアプリケーションのバックアップを ESXi サーバーに保存することもあります」とヒルト氏は説明します。ランサムウェア攻撃者はこの種の機密情報を食い物にし、他の攻撃者がこれらの同じシステムをさらなるネットワーク攻撃の発射台として使用する可能性があります。
トレンドマイクロはレポートの中で、リスクにさらされている組織に対し、管理者権限を注意深く監視し、セキュリティ製品を定期的に更新し、スキャンを実行し、データをバックアップし、ソーシャルエンジニアリングについて従業員を教育し、サイバー衛生を徹底することを推奨している。
「コスト削減とオンプレミス維持の推進により、組織はシステムを仮想化し、ESXi などのシステムを仮想化に使用するようになるでしょう」と Hilt 氏は付け加えます。そのため、仮想化サイバー攻撃のリスクは今後も増大する一方でしょう。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
