Wereldwijde agenda Ransomware-golfdoelen VMware ESXi-servers

De Agenda-ransomwaregroep heeft het aantal infecties wereldwijd opgevoerd, dankzij een nieuwe en verbeterde variant van zijn op virtuele machines gerichte ransomware.

Agenda (ook bekend als Qilin en Water Galura) werd voor het eerst opgemerkt in 2022. De eerste, op Golang gebaseerde ransomware werd gebruikt tegen een willekeurige reeks doelen: in de gezondheidszorg, de productie en het onderwijs, van Canada tot Colombia en Indonesië.

Tegen het einde van 2022 herschreven de eigenaren van Agenda de malware in Roest, een nuttige taal voor malware-auteurs die hun werk over besturingssystemen willen verspreiden. Met de Rust-variant was Agenda in staat organisaties op het gebied van financiën, recht, bouw en meer in gevaar te brengen, voornamelijk in de VS, maar ook in Argentinië, Australië, Thailand en elders.

Onlangs heeft Trend Micro dit ontdekt een nieuwe Agenda-ransomwarevariant in het wild. Deze nieuwste, op Rust gebaseerde versie wordt geleverd met een verscheidenheid aan nieuwe functionaliteiten en stealth-mechanismen, en richt zijn blik volledig op VMware vCenter- en ESXi-servers.

“Ransomware-aanvallen op ESXi-servers zijn een groeiende trend”, zegt Stephen Hilt, senior threat researcher bij Trend Micro. “Ze zijn aantrekkelijke doelwitten voor ransomware-aanvallen omdat ze vaak kritieke systemen en applicaties hosten, en de impact van een succesvolle aanval aanzienlijk kan zijn.”

De nieuwe agenda-ransomware

Volgens Trend Micro begonnen de Agenda-infecties in december toe te nemen, misschien omdat de groep nu actiever is, of misschien omdat ze effectiever zijn.

Infecties beginnen wanneer de binaire ransomware wordt afgeleverd via Cobalt Strike of een tool voor monitoring en beheer op afstand (RMM). Een PowerShell-script ingebed in het binaire bestand zorgt ervoor dat de ransomware zich kan verspreiden over vCenter- en ESXi-servers.

Eenmaal correct verspreid, verandert de malware het root-wachtwoord op alle ESXi-hosts, waardoor de eigenaren ervan worden uitgesloten, en gebruikt vervolgens Secure Shell (SSH) om de kwaadaardige lading te uploaden.

Deze nieuwe, krachtigere Agenda-malware deelt dezelfde functionaliteit als zijn voorganger: bepaalde bestandspaden scannen of uitsluiten, zich via PsExec naar externe machines verspreiden, een nauwkeurige time-out geven wanneer de payload wordt uitgevoerd, enzovoort. Maar het voegt ook een aantal nieuwe opdrachten toe voor het escaleren van bevoegdheden, het nabootsen van tokens, het uitschakelen van clusters van virtuele machines en meer.

Een frivole maar psychologisch impactvolle nieuwe functie stelt de hackers in staat hun losgeldbriefje af te drukken, in plaats van het alleen maar op een geïnfecteerde monitor te presenteren.

De aanvallers voeren al deze verschillende opdrachten actief uit via een shell, waardoor ze hun kwaadaardige gedrag kunnen uitvoeren zonder bestanden achter te laten als bewijsmateriaal.

Om zijn stealth nog verder te verbeteren, leent Agenda ook van een recentelijk populaire trend onder ransomware-aanvallers: neem je eigen kwetsbare chauffeur mee (BYOVD) — het gebruik van kwetsbare SYS-stuurprogramma's om beveiligingssoftware te omzeilen.

Ransomware-risico

Ransomware, ooit exclusief voor Windows, heeft een grote vlucht genomen Linux en VWware en zelfs macOS, dankzij de hoeveelheid gevoelige informatie die bedrijven binnen deze omgevingen bewaren.

“Organisaties slaan een verscheidenheid aan gegevens op op ESXi-servers, waaronder gevoelige informatie zoals klantgegevens, financiële gegevens en intellectueel eigendom. Ze kunnen ook back-ups van kritieke systemen en applicaties opslaan op ESXi-servers”, legt Hilt uit. Ransomware-aanvallers maken misbruik van dit soort gevoelige informatie, terwijl andere bedreigingsactoren dezelfde systemen kunnen gebruiken als lanceerplatform voor verdere netwerkaanvallen.

In het rapport beveelt Trend Micro aan dat risicoorganisaties nauwlettend toezicht houden op administratieve privileges, regelmatig beveiligingsproducten updaten, scans uitvoeren en back-ups maken van gegevens, werknemers voorlichten over social engineering en ijverige cyberhygiëne in praktijk brengen.

“De drang naar kostenreductie en het op locatie blijven zal ertoe leiden dat organisaties gaan virtualiseren en systemen als ESXi gebruiken om de systemen te virtualiseren”, voegt Hilt toe, waardoor het risico op virtualisatie-cyberaanvallen waarschijnlijk alleen maar zal blijven groeien.

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
Bron: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers

Generatieve data-intelligentie

Wereldwijde agenda Ransomware Wave richt zich op VMware ESXi-servers

De nieuwe agenda-ransomware

Ransomware-risico

Drake bedreigd met rechtszaak over Tupac AI-zang

Shiba Inu leidt in Robinhood's Crypto-prestaties

Laatste intelligentie

Beste Crypto-casino's van 2024: een uitgebreide gids

DOJ betwist de karakterisering van Tornado Cash-operaties door Roman Storm in een nieuwe indiening

Beste spelers beschikbaar voor dag 3 van de 2024 NFL Draft

Top 5 Crypto-voorverkoop: BDAG leidt het peloton met 30,000x ROI-potentieel

Forbes onthult 20 crypto-zombies, verklaart Ripple en XRP onder de ondoden

Consob, de Italiaanse waakhond, verbiedt extra forex- en cryptocurrency-handelswebsites – CryptoInfoNet

Chat met ons