Worldwide Agenda Ransomware Wave målretter seg mot VMware ESXi-servere

Agenda ransomware-gruppen har økt infeksjoner over hele verden, takket være en ny og forbedret variant av deres virtuelle maskinfokuserte løsepengevare.

Agenda (aka Qilin og Water Galura) ble først oppdaget i 2022. Dens første, Golang-baserte løsepengevare ble brukt mot en vilkårlig rekke mål: innen helsevesen, produksjon og utdanning, fra Canada til Colombia og Indonesia.

Mot slutten av 2022 omskrev Agendas innehavere skadelig programvare inn Rust, et nyttig språk for skadevareforfattere som ønsker å spre arbeidet sitt på tvers av operativsystemer. Med Rust-varianten var Agenda i stand til å kompromittere organisasjoner på tvers av finans, juss, konstruksjon og mer, hovedsakelig i USA, men også i Argentina, Australia, Thailand og andre steder.

Bare nylig identifiserte Trend Micro en ny Agenda løsepengevarevariant i villmarken. Denne siste Rust-baserte versjonen kommer med en rekke nye funksjoner og stealth-mekanismer, og retter blikket mot VMware vCenter- og ESXi-servere.

"Ransomware-angrep mot ESXi-servere er en økende trend," bemerker Stephen Hilt, senior trusselforsker ved Trend Micro. "De er attraktive mål for ransomware-angrep fordi de ofte er vert for kritiske systemer og applikasjoner, og virkningen av et vellykket angrep kan være betydelig."

The New Agenda Ransomware

Agenda-infeksjoner begynte å øke i desember, ifølge Trend Micro, kanskje fordi gruppen er mer aktiv nå, eller kanskje fordi de er mer effektive.

Infeksjoner begynner når løsepengevare-binæren leveres via enten Cobalt Strike eller et fjernovervåkings- og administrasjonsverktøy (RMM). Et PowerShell-skript innebygd i binærprogrammet lar løsepengevaren spre seg på tvers av vCenter- og ESXi-servere.

Når den er riktig spredt, endrer skadevaren root-passordet på alle ESXi-verter, og låser dermed eierne ute, og bruker deretter Secure Shell (SSH) til å laste opp den skadelige nyttelasten.

Denne nye, kraftigere Agenda-malwaren deler all den samme funksjonaliteten som forgjengeren: skanning eller ekskludering av visse filbaner, forplantning til eksterne maskiner via PsExec, nøyaktig tidsavbrudd når nyttelasten kjøres, og så videre. Men den legger også til en rekke nye kommandoer for å eskalere privilegier, etterligne tokens, deaktivere virtuelle maskinklynger og mer.

En useriøs, men psykologisk virkningsfull ny funksjon lar hackerne skrive ut løsepengene sine, i stedet for bare å presentere den på en infisert skjerm.

Angriperne utfører aktivt alle disse forskjellige kommandoene via et skall, noe som gjør dem i stand til å utføre sin ondsinnede oppførsel uten å etterlate noen filer som bevis.

For ytterligere å forbedre sin stealth, låner Agenda også fra en nylig populær trend blant løsepenge-angripere - ta med din egen sårbare sjåfør (BYOVD) — bruke sårbare SYS-drivere for å unngå sikkerhetsprogramvare.

Ransomware-risiko

Ransomware, en gang eksklusiv for Windows, har blomstret opp Linux og VWware Til og med macOS, takket være hvor mye sensitiv informasjon selskaper beholder innenfor disse miljøene.

"Organisasjoner lagrer en rekke data på ESXi-servere, inkludert sensitiv informasjon som kundedata, økonomiske poster og åndsverk. De kan også lagre sikkerhetskopier av kritiske systemer og applikasjoner på ESXi-servere, forklarer Hilt. Ransomware-angripere jakter på denne typen sensitiv informasjon, der andre trusselaktører kan bruke de samme systemene som en startrampe for ytterligere nettverksangrep.

I sin rapport anbefaler Trend Micro at organisasjoner som er i faresonen holder nøye øye med administrative privilegier, regelmessig oppdaterer sikkerhetsprodukter, utfører skanninger og sikkerhetskopierer data, utdanner ansatte om sosial ingeniørkunst og praktiserer grundig cyberhygiene.

"Pushet for kostnadsreduksjon og forbli på premiss vil føre til at organisasjoner virtualiserer og bruker systemer som ESXi for å virtualisere systemene," legger Hilt til, så risikoen for virtualiseringscyberangrep vil sannsynligvis bare fortsette å øke.

SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
kilde: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers

Generativ dataintelligens

Verdensomspennende Agenda Ransomware Wave retter seg mot VMware ESXi-servere

The New Agenda Ransomware

Ransomware-risiko

Shiba Inu leder i Robinhoods kryptoytelse

DOJ bestrider Roman Storms karakterisering av Tornado Cash-operasjoner i ny arkivering

Siste etterretning

Topp 5 krypto-forhåndssalg: BDAG leder flokken med 30,000 XNUMXx ROI-potensiale

Forbes avduker 20 Crypto 'Zombies', erklærer Ripple og XRP blant de vandøde

Consob, Italias vakthund, forbyr flere nettsteder for handel med valuta og kryptovaluta – CryptoInfoNet

Feds inflasjonsmåler varmes opp, rentekutt på vent mens Bitcoin og aksjer sklir

Utforsk de 6 beste kryptoene for 2024: BlockDAG Leads med enestående ROI-potensiale

Franklin Templetons Ethereum spot ETF notert på DTCC

Chat med oss