Исследователи Trend Micro обнаружили новую программу-вымогатель Agenda, которая использовалась для атаки на одного из клиентов компании.
Согласно расследованию , злоумышленник использовал общедоступный сервер Citrix в качестве точки входа. Вероятно, хакер использовал действующую учетную запись для доступа к этому серверу и выполнения бокового перемещения внутри сети жертвы.
Новое семейство программ-вымогателей написано на Golang и использовалось для атак на предприятия в Азии и Африке. Название Agenda происходит от сообщений в дарквебе пользователя по имени Qilin, который предположительно, связан с распространителями вымогательского ПО.
Сообщения оператора Agenda в дарквебе
Программа-вымогатель Agenda выполняет следующие действия:
перезагружает систему в безопасном режиме;
останавливает многие серверные процессы и службы;
работает в нескольких режимах;
обладает функцией автозапуска.
Собранные образцы представляли собой 64-разрядные файлы Windows PE (Portable Executable) и использовались для атак на организации здравоохранения и образования в Индонезии, Саудовской Аравии, Южной Африке и Таиланде.
Согласно отчету Trend Micro , каждый образец программы-вымогателя был настроен для предполагаемой жертвы. Образцы содержали утечку учетных записей, паролей клиентов и уникальных идентификаторов компаний, которые использовались в качестве расширений зашифрованных файлов. Кроме того, запрашиваемая сумма выкупа различается для каждой компании и варьируется от $50 000 до $800 000.
Цепочка заражения Agenda
По словам экспертов, Agenda меняет пароль пользователя по умолчанию и позволяет автоматически входить в систему с новыми учетными данными, чтобы избежать обнаружения. Agenda перезагружает компьютер жертвы в безопасном режиме, а затем шифрует файлы при перезагрузке. Стоит отметить, что по этому методу работает группировка REvil .
Злоумышленник получил доступ к
Источник: SecurityLab