Новый ransomware Agenda обнаружили исследователи Trend Micro, который уже показал себя в дикой природе и держит в страхе учреждения здравоохранения и образования Индонезии, Саудовской Аравии, Южной Африки и Таиланда.
Ransomware написан на языке Golang и может быть настроен для каждой жертвы.
Из примечательного Agenda способен перезагружать систему в безопасном режиме и останавливать некоторые специфичные для сервера процессы и службы, что позволяет ему работать в нескольких режимах.
Agenda предоставляется, как услуга и злоумышленник под ником Qilin, рекламирующий программу-вымогатель в даркнете, предоставляет партнерам возможность адаптировать бинарные полезные нагрузки для каждой жертвы, позволяя операторам выбирать примечание о выкупе, расширение шифрования, а также список процессов и сервисов для завершения до начала процесса шифрования.
Кроме того, малварь включает в себя методы уклонения от обнаружения, используя функцию «безопасного режима» устройства, что позволяет незаметно осуществлять процедуру шифрования файлов.
Помимо использования данных локальной учетной записи для запуска бинарного файла вымогателя, вредоносное ПО имеет возможность заразить всю сеть и ее общие драйверы.
После успешного шифрования Agenda переименовывает файлы с настроенным расширением, удаляет примечание о выкупе в каждом зашифрованном каталоге и перезагружает машину в обычном режиме.
Запрашиваемая сумма выкупа варьируется в зависимости от жертвы в диапазоне от 50 000 до 800 000 долларов.
В одной из наблюдаемых цепочек атак с использованием Agenda первоначальной точкой входа служил общедоступный сервер Citrix и злоумышленникам понадобилось менее двух дней для окончательного развертывания программы-вымогателя.
Trend Micro заявила, что обнаружила сходство исходного кода между семействами программ-вымогателей Black Basta , Black Matter и REvil (он же Sodinokibi).
Agenda является уже четвертым штаммом после BlackCat, Hive и Luna, использующим язык программирования Go.
Никто не стоит на месте и ransomware продолжают развиваться, разрабатывая более изощренные методы и приемы для захвата организаций.
Source: https://www.trendmicro.com/en_us/research/22/h/new-golang-ransomware-agenda-customizes-attacks.html
Ransomware написан на языке Golang и может быть настроен для каждой жертвы.
Из примечательного Agenda способен перезагружать систему в безопасном режиме и останавливать некоторые специфичные для сервера процессы и службы, что позволяет ему работать в нескольких режимах.
Agenda предоставляется, как услуга и злоумышленник под ником Qilin, рекламирующий программу-вымогатель в даркнете, предоставляет партнерам возможность адаптировать бинарные полезные нагрузки для каждой жертвы, позволяя операторам выбирать примечание о выкупе, расширение шифрования, а также список процессов и сервисов для завершения до начала процесса шифрования.
Кроме того, малварь включает в себя методы уклонения от обнаружения, используя функцию «безопасного режима» устройства, что позволяет незаметно осуществлять процедуру шифрования файлов.
Помимо использования данных локальной учетной записи для запуска бинарного файла вымогателя, вредоносное ПО имеет возможность заразить всю сеть и ее общие драйверы.
После успешного шифрования Agenda переименовывает файлы с настроенным расширением, удаляет примечание о выкупе в каждом зашифрованном каталоге и перезагружает машину в обычном режиме.
Запрашиваемая сумма выкупа варьируется в зависимости от жертвы в диапазоне от 50 000 до 800 000 долларов.
Trend Micro заявила, что обнаружила сходство исходного кода между семействами программ-вымогателей Black Basta , Black Matter и REvil (он же Sodinokibi).
Agenda является уже четвертым штаммом после BlackCat, Hive и Luna, использующим язык программирования Go.
Никто не стоит на месте и ransomware продолжают развиваться, разрабатывая более изощренные методы и приемы для захвата организаций.
Source: https://www.trendmicro.com/en_us/research/22/h/new-golang-ransomware-agenda-customizes-attacks.html