Worldwide Agenda Ransomware Wave riktar sig till VMware ESXi-servrar

Agenda ransomware-gruppen har ökat antalet infektioner över hela världen, tack vare en ny och förbättrad variant av dess virtuella maskinfokuserade ransomware.

Agenda (alias Qilin och Water Galura) upptäcktes för första gången 2022. Dess första, Golang-baserade ransomware användes mot en urskillningslös rad mål: inom hälsovård, tillverkning och utbildning, från Kanada till Colombia och Indonesien.

Mot slutet av 2022 skrev Agendas ägare om sin skadliga programvara Rust, ett användbart språk för författare av skadlig programvara som vill sprida sitt arbete över operativsystem. Med Rust-varianten kunde Agenda kompromissa med organisationer inom finans, juridik, konstruktion och mer, främst i USA men även i Argentina, Australien, Thailand och på andra håll.

Nyligen identifierade Trend Micro en ny variant av Agenda ransomware i det vilda. Den här senaste Rust-baserade versionen kommer med en mängd nya funktioner och smygmekanismer, och riktar siktet rakt mot VMware vCenter- och ESXi-servrar.

"Ransomware-attacker mot ESXi-servrar är en växande trend", konstaterar Stephen Hilt, senior hotforskare på Trend Micro. "De är attraktiva mål för ransomware-attacker eftersom de ofta är värd för kritiska system och applikationer, och effekten av en framgångsrik attack kan vara betydande."

The New Agenda Ransomware

Agendainfektioner började öka i december, enligt Trend Micro, kanske för att gruppen är mer aktiv nu, eller kanske för att de är mer effektiva.

Infektioner börjar när ransomware-binären levereras via antingen Cobalt Strike eller ett verktyg för fjärrövervakning och hantering (RMM). Ett PowerShell-skript inbäddat i binären tillåter ransomware att spridas över vCenter- och ESXi-servrar.

När den väl har spridits på rätt sätt ändrar den skadliga programvaran root-lösenordet på alla ESXi-värdar, och låser därigenom deras ägare, och använder sedan Secure Shell (SSH) för att ladda upp den skadliga nyttolasten.

Denna nya, mer kraftfulla Agenda skadlig kod delar samma funktionalitet som sin föregångare: genomsökning eller uteslutning av vissa filsökvägar, spridning till fjärrmaskiner via PsExec, exakt tidsgräns när nyttolasten exekveras, och så vidare. Men det lägger också till ett antal nya kommandon för att eskalera privilegier, imitera tokens, inaktivera virtuella maskinkluster och mer.

En lättsinnig men psykologiskt effektfull ny funktion gör det möjligt för hackarna att skriva ut sin löseseddel istället för att bara presentera den på en infekterad bildskärm.

Angriparna utför aktivt alla dessa olika kommandon via ett skal, vilket gör att de kan utföra sina skadliga beteenden utan att lämna några filer bakom sig som bevis.

För att ytterligare förbättra sin smygsamhet lånar Agenda också från en nyligen populär trend bland ransomware-angripare - ta med din egen sårbara förare (BYOVD) — använda sårbara SYS-drivrutiner för att undvika säkerhetsprogramvara.

Risk för ransomware

Ransomware, som en gång var exklusiv för Windows, har blomstrat över Linux och VWware och även MacOS, tack vare hur mycket känslig information företag behåller inom dessa miljöer.

"Organisationer lagrar en mängd olika data på ESXi-servrar, inklusive känslig information som kunddata, finansiella register och immateriella rättigheter. De kan också lagra säkerhetskopior av kritiska system och applikationer på ESXi-servrar”, förklarar Hilt. Ransomware-angripare förgriper sig på den här typen av känslig information, där andra hotaktörer kan använda samma system som en startplatta för ytterligare nätverksattacker.

I sin rapport rekommenderar Trend Micro att riskorganisationer håller noga koll på administrativa privilegier, regelbundet uppdaterar säkerhetsprodukter, utför skanningar och säkerhetskopierar data, utbildar anställda om social ingenjörskonst och utövar noggrann cyberhygien.

"Pruff för kostnadsreduktion och att förbli på plats kommer att få organisationer att virtualisera och använda system som ESXi för att virtualisera systemen," tillägger Hilt, så risken för virtualiseringscyberattacker kommer sannolikt bara att fortsätta att växa.

SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
Källa: https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers

Generativ dataintelligens

Worldwide Agenda Ransomware Wave riktar sig till VMware ESXi-servrar

The New Agenda Ransomware

Risk för ransomware

DOJ bestrider Roman Storms karaktärisering av Tornado Cash-verksamheten i ny arkivering

Topp 5 kryptoförsäljningar: BDAG leder gruppen med 30,000 XNUMXx ROI-potential

Senaste intelligens

Forbes avslöjar 20 Crypto 'Zombies', förklarar Ripple och XRP bland de odöda

Consob, Italiens vakthund, förbjuder ytterligare webbplatser för handel med valuta och kryptovaluta – CryptoInfoNet

Feds inflationsmätare värms upp, räntesänkningar väntar när bitcoin och aktier sjunker

Utforska topp 6 kryptos för 2024: BlockDAG-leads med oöverträffad ROI-potential

Franklin Templetons Ethereum spot ETF noterad på DTCC

Bitcoin Bloodbath: Kryptoanalytiker ser "Death Cross" efter 8% prisfall

Chatta med oss