Agenda Trend Micro вымогательское ПО
Новое вредоносное ПО обладает богатым функционалом и подстраивается под каждую жертву.
Исследователи Trend Micro обнаружили новую программу-вымогатель Agenda, которая использовалась для атаки на одного из клиентов компании.
Согласно
расследованию , злоумышленник использовал общедоступный сервер Citrix в качестве точки входа. Вероятно, хакер использовал действующую учетную запись для доступа к этому серверу и выполнения бокового перемещения внутри сети жертвы.
Новое семейство программ-вымогателей написано на Golang и использовалось для атак на предприятия в Азии и Африке. Название Agenda происходит от сообщений в дарквебе пользователя по имени Qilin, который предположительно, связан с распространителями вымогательского ПО.
.png)
Сообщения оператора Agenda в дарквебе
Программа-вымогатель Agenda выполняет следующие действия:
перезагружает систему в безопасном режиме;
останавливает многие серверные процессы и службы;
работает в нескольких режимах;
обладает функцией автозапуска.
Собранные образцы представляли собой 64-разрядные файлы Windows PE (Portable Executable) и использовались для атак на организации здравоохранения и образования в Индонезии, Саудовской Аравии, Южной Африке и Таиланде.
Согласно
отчету Trend Micro , каждый образец программы-вымогателя был настроен для предполагаемой жертвы. Образцы содержали утечку учетных записей, паролей клиентов и уникальных идентификаторов компаний, которые использовались в качестве расширений зашифрованных файлов. Кроме того, запрашиваемая сумма выкупа различается для каждой компании и варьируется от $50 000 до $800 000.
.png)
Цепочка заражения Agenda
По словам экспертов, Agenda меняет пароль пользователя по умолчанию и позволяет автоматически входить в систему с новыми учетными данными, чтобы избежать обнаружения. Agenda перезагружает компьютер жертвы в безопасном режиме, а затем шифрует файлы при перезагрузке. Стоит отметить, что по этому методу работает
группировка REvil .
Злоумышленник получил доступ к Active Directory через RDP, используя утекшие учетные записи, а затем использовал инструменты Nmap и Nping для сканирования сети. Они отправили запланированную задачу на машину домена групповой политики.
Agenda использует «безопасный режим», чтобы незаметно продолжить процедуру шифрования. Программа-вымогатель также использует локальные учетные записи для входа в качестве поддельных пользователей и выполнения двоичного кода программы-вымогателя, дополнительно шифруя другие машины при входе в систему. Вредоносное ПО также завершает работу многочисленных процессов и служб и обеспечивает сохранение путем внедрения DLL в svchost.exe.