Конец виртуальной инфраструктуры: Agenda наносит мощный удар по организациям

Конец виртуальной инфраструктуры: Agenda наносит мощный удар по организациям

Печать требований выкупа на подключенных принтерах стала одним из маркеров последних атак группировки.

image

Группировка Agenda, также известная как Qilin или Water Galura, увеличивает количество заражений по всему миру благодаря новому и улучшенному варианту своей программы-вымогателя, ориентированной на виртуальные машины. Её первая программа-вымогатель на базе Golang была обнаружена в 2022 году и использовалась против широкого круга целей в здравоохранении, производстве и образовании, от Канады до Индонезии.

Согласно недавнему отчёту компании Trend Micro, в последнее время группа продолжает заражать своим вредоносом жертв по всему миру, причём США, Аргентина, Австралия и Таиланд входят в число основных целей злоумышленников на данный момент. Финансовая сфера, IT-компании и юридические фирмы сейчас являются самыми желаемыми секторами группы для атак.

С декабря 2023 года наблюдается значительный рост числа обнаружений Agenda по сравнению с ноябрём того же года. Это может свидетельствовать как об активизации операторов, так и о расширении числа атакуемых целей.

В последних версиях Agenda присутствуют обновления для варианта на языке Rust. Согласно наблюдениям, группировка использует инструменты удалённого мониторинга и управления (RMM), а также Cobalt Strike для развёртывания вредоносного исполняемого файла. Сам исполняемый файл Agenda способен распространяться через PsExec и SecureShell, а также применять различные уязвимые SYS-драйверы для обхода защитных механизмов.

Среди новых функций Agenda — возможность печатать требование о выкупе на подключенных принтерах. Вредонос копирует текст в «%User Temp%\{Generated file name}» и выполняет команды для вывода содержимого файла на указанный принтер.

Для обхода средств защиты Agenda прибегает к технике Bring Your Own Vulnerable Driver (BYOVD), используя различные уязвимые драйверы для отключения разных систем безопасности в каждой цепочке заражения. Также экспертами наблюдалось применение публичных утилит, таких как YDark и Spyboy’s Terminator.

Ещё одно обновление — возможность распространяться на VMware vCenter и серверы ESXi через специальный PowerShell-скрипт, встроенный в бинарный файл. Это позволяет атаковать виртуальные машины и всю виртуальную инфраструктуру, приводя к потере данных, финансовым убыткам и сбоям в работе сервисов.

Способность Agenda распространяться на виртуальные среды показывает, что операторы расширяют круг потенциальных целей и систем для своих атак.

Для защиты организациям рекомендуется ограничивать административные права, регулярно обновлять защитные решения, создавать резервные копии данных, проводить обучение пользователей правилам кибербезопасности и использовать многоуровневый подход для комплексной защиты.

Наш канал горячее, чем поверхность Солнца!

5778 К? Пф! У нас градус знаний зашкаливает!

Подпишитесь и воспламените свой разум