2022-08-29 16:14:35
Новый вымогатель атакует компании Африки и Азии.
Исследователи Trend Micro обнаружили новую программу-вымогатель Agenda. Ее использовали для атаки на одного из клиентов компании.
Согласно расследованию, злоумышленник использовал общедоступный сервер Citrix как точку входа. Вероятно, хакер использовал действующую учетную запись для доступа к этому серверу и выполнения бокового перемещения внутри сети жертвы.
Новое семейство программ-вымогателей написано на Golang и использовалось для атак на предприятия в Азии и Африке. Название Agenda происходит от сообщений в дарквебе пользователя по имени Qilin, который предположительно связан с распространителями вымогательского ПО.
Согласно отчету Trend Micro, каждый образец программы-вымогателя настроили для предполагаемой жертвы. Он содержит утечку учетных записей, паролей клиентов и уникальных идентификаторов компаний, которые использовались как расширения зашифрованных файлов. Кроме того, запрашиваемая сумма выкупа различается для каждой компании и варьируется от $50.000 до $800.000.
По словам экспертов, Agenda меняет пароль пользователя по умолчанию и позволяет автоматически входить в систему с новыми учетными данными, чтобы избежать обнаружения. Agenda перезагружает компьютер жертвы в безопасном режиме, а затем шифрует файлы при перезагрузке. По этому методу работает группировка REvil.
Злоумышленник получил доступ к Active Directory через RDP, используя утекшие учетные записи, а затем использовал инструменты Nmap и Nping для сканирования сети. Они отправили запланированную задачу на машину домена групповой политики.
Agenda использует «безопасный режим», чтобы незаметно продолжить процедуру шифрования. Программа-вымогатель также использует локальные учетные записи для входа в качестве поддельных пользователей и выполнения двоичного кода программы-вымогателя, дополнительно шифруя другие машины при входе в систему. Вредоносное ПО также завершает работу многочисленных процессов и служб и обеспечивает сохранение путем внедрения DLL в svchost.exe.
#Вымогатель #Африка #Азия
ITsec NEWS
596 views13:14