×

На повестке дня: новый вымогатель атакует компании Африки и Азии

На повестке дня: новый вымогатель атакует компании Африки и Азии

Новое вредоносное ПО обладает богатым функционалом и подстраивается под каждую жертву.

Исследователи Trend Micro обнаружили новую программу-вымогатель Agenda, которая использовалась для атаки на одного из клиентов компании.

Согласно расследованию , злоумышленник использовал общедоступный сервер Citrix в качестве точки входа. Вероятно, хакер использовал действующую учетную запись для доступа к этому серверу и выполнения бокового перемещения внутри сети жертвы.

Новое семейство программ-вымогателей написано на Golang и использовалось для атак на предприятия в Азии и Африке. Название Agenda происходит от сообщений в дарквебе пользователя по имени Qilin, который предположительно, связан с распространителями вымогательского ПО.


Сообщения оператора Agenda в дарквебе

Программа-вымогатель Agenda выполняет следующие действия:

  • перезагружает систему в безопасном режиме;
  • останавливает многие серверные процессы и службы;
  • работает в нескольких режимах;
  • обладает функцией автозапуска.

Собранные образцы представляли собой 64-разрядные файлы Windows PE (Portable Executable) и использовались для атак на организации здравоохранения и образования в Индонезии, Саудовской Аравии, Южной Африке и Таиланде.

Согласно отчету Trend Micro , каждый образец программы-вымогателя был настроен для предполагаемой жертвы. Образцы содержали утечку учетных записей, паролей клиентов и уникальных идентификаторов компаний, которые использовались в качестве расширений зашифрованных файлов. Кроме того, запрашиваемая сумма выкупа различается для каждой компании и варьируется от $50 000 до $800 000.


Цепочка заражения Agenda

По словам экспертов, Agenda меняет пароль пользователя по умолчанию и позволяет автоматически входить в систему с новыми учетными данными, чтобы избежать обнаружения. Agenda перезагружает компьютер жертвы в безопасном режиме, а затем шифрует файлы при перезагрузке. Стоит отметить, что по этому методу работает группировка REvil .

Злоумышленник получил доступ к

Active Directory (AD) - служба каталогов, разработанная компанией Microsoft для доменных сетей Windows. Она включена в большинство операционных систем Windows Server в виде набора процессов и служб.

" data-html="true" data-original-title="Active Directory">Active Directory через Remote Desktop Protocol (протокол удалённого рабочего стола) предоставляет возможности удаленного отображения и ввода через сетевые подключения для приложений, работающих на сервере. Протокол RDP предназначен для поддержки различных типов сетевых топологий и нескольких протоколов локальной сети.
" data-html="true" data-original-title="RDP">RDP, используя утекшие учетные записи, а затем использовал инструменты Nmap или Network Mapper — это инструмент с открытым исходным кодом для аудита безопасности и сетевого сканирования, разработанный Гордоном Лайоном.
" data-html="true" data-original-title="Nmap">Nmap и Nping - утилита, которая поставляется вместе с Nmap. Она позволяет генерировать пакеты различных сетевых протоколов.

Nping можно использовать как для пинга или трассировки маршрутов, так и для проведения ARP-spoofing атак, DoS-атак, и стресс-тестов сети.
" data-html="true" data-original-title="Nping">Nping для сканирования сети. Они отправили запланированную задачу на машину домена групповой политики.

Agenda использует «безопасный режим», чтобы незаметно продолжить процедуру шифрования. Программа-вымогатель также использует локальные учетные записи для входа в качестве поддельных пользователей и выполнения двоичного кода программы-вымогателя, дополнительно шифруя другие машины при входе в систему. Вредоносное ПО также завершает работу многочисленных процессов и служб и обеспечивает сохранение путем внедрения DLL - (с англ. Dynamic Link Library, динамически подключаемая библиотека) это библиотека, содержащая код и данные, которые могут использоваться несколькими программами одновременно.

" data-html="true" data-original-title="DLL">DLL в svchost.exe.

Sysdig: каждый заработанный криптомайнерами доллар обходится жертве в 53 доллара

Эксперты рассчитали ущерб, проанализировав изучив крупную майнинговую кампанию Chimaera.

Исследователи Zscaler обнаружили в даркнете свежий билдер вредоносного ПО под названием Quantum

Инструмент может быть тесно связан с APT-группировкой Lazarus.