Grupul de ransomware Agenda a intensificat infecțiile în întreaga lume, datorită unei variante noi și îmbunătățite a ransomware-ului său centrat pe mașina virtuală.
Agenda (alias Qilin și Water Galura) a fost observată pentru prima dată în 2022. Primul său ransomware, bazat pe Golang, a fost folosit împotriva unei game nediscriminatorii de ținte: în domeniul sănătății, producție și educație, din Canada până în Columbia și Indonezia.
Spre sfârșitul anului 2022, proprietarii Agenda și-au rescris malware-ul în Rust, un limbaj util pentru autorii de programe malware care doresc să-și răspândească munca pe sistemele de operare. Cu varianta Rust, Agenda a reușit să compromită organizațiile din finanțe, drept, construcții și multe altele, predominant în SUA, dar și în Argentina, Australia, Thailanda și în alte părți.
Recent, Trend Micro a identificat o nouă variantă de ransomware Agenda în sălbăticie. Această ultimă versiune bazată pe Rust vine cu o varietate de funcționalități noi și mecanisme ascunse și își fixează ochii pe serverele VMware vCenter și ESXi.
„Atacurile ransomware împotriva serverelor ESXi sunt o tendință în creștere”, notează Stephen Hilt, cercetător senior pentru amenințări la Trend Micro. „Sunt ținte atractive pentru atacurile ransomware, deoarece găzduiesc adesea sisteme și aplicații critice, iar impactul unui atac de succes poate fi semnificativ.”
Noua agendă ransomware
Potrivit Trend Micro, numărul de infecții din agendă a început să crească în decembrie, poate pentru că grupul este mai activ acum sau poate pentru că sunt mai eficiente.
Infecțiile încep atunci când binarul ransomware este livrat fie prin Cobalt Strike, fie printr-un instrument de monitorizare și management de la distanță (RMM). Un script PowerShell încorporat în binar permite ransomware-ului să se propage pe serverele vCenter și ESXi.
Odată diseminat corespunzător, malware-ul schimbă parola de rădăcină pe toate gazdele ESXi, blocând astfel proprietarii acestora, apoi utilizează Secure Shell (SSH) pentru a încărca încărcătura utilă rău intenționată.
Acest program malware nou și mai puternic Agenda împărtășește aceleași funcționalități ca și predecesorul său: scanarea sau excluderea anumitor căi de fișiere, propagarea către mașini la distanță prin PsExec, expirarea exactă a timpului când sarcina utilă este executată și așa mai departe. Dar adaugă și o serie de comenzi noi pentru escaladarea privilegiilor, uzurparea identității token-urilor, dezactivarea clusterelor de mașini virtuale și multe altele.
O nouă caracteristică frivolă, dar cu impact psihologic, permite hackerilor să-și imprime nota de răscumpărare, în loc să o prezinte doar pe un monitor infectat.
Atacatorii execută în mod activ toate aceste diverse comenzi printr-un shell, permițându-le să-și îndeplinească comportamentele rău intenționate fără a lăsa fișiere în urmă ca dovadă.
Pentru a-și spori și mai mult ascuns, Agenda împrumută și de la o tendință populară recent printre atacatorii de ransomware - aduceți-vă propriul șofer vulnerabil (BYOVD) — utilizarea driverelor SYS vulnerabile pentru a evita software-ul de securitate.
Risc ransomware
Ransomware-ul, cândva exclusiv pentru Windows, a înflorit Linux și VWware și chiar MACOS, datorită câte informații sensibile păstrează companiile în aceste medii.
„Organizațiile stochează o varietate de date pe serverele ESXi, inclusiv informații sensibile, cum ar fi datele clienților, înregistrările financiare și proprietatea intelectuală. De asemenea, pot stoca copii de siguranță ale sistemelor și aplicațiilor critice pe serverele ESXi”, explică Hilt. Atacatorii de ransomware profită de acest tip de informații sensibile, unde alți actori de amenințări ar putea folosi aceleași sisteme ca rampă de lansare pentru alte atacuri de rețea.
În raportul său, Trend Micro recomandă organizațiilor cu risc să supravegheze îndeaproape privilegiile administrative, să actualizeze în mod regulat produsele de securitate, să efectueze scanări și să facă backup la date, să educe angajații despre ingineria socială și să practice o igienă cibernetică diligentă.
„Impulsul pentru reducerea costurilor și menținerea la premisă va determina organizațiile să virtualizeze și să utilizeze sisteme precum ESXi pentru a virtualiza sistemele”, adaugă Hilt, astfel încât riscul atacurilor cibernetice de virtualizare va continua probabil să crească.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
