Группировка Agenda, также известная как Qilin или Water Galura, увеличивает количество заражений по всему миру благодаря новому и улучшенному варианту своей программы-вымогателя, ориентированной на виртуальные машины. Её первая программа-вымогатель на базе Golang была обнаружена в 2022 году и использовалась против широкого круга целей в здравоохранении, производстве и образовании, от Канады до Индонезии.
Согласно недавнему отчёту компании Trend Micro, в последнее время группа продолжает заражать своим вредоносным ПО жертв по всему миру, причём на данный момент в число основных целей злоумышленников входят США, Аргентина, Австралия и Таиланд. Самыми желанными секторами для атак группы сейчас являются финансовая сфера, IT-компании и юридические фирмы.
В настоящее время наблюдается значительный рост числа обнаружений Agenda. Это может свидетельствовать как об активизации операторов, так и о расширении числа атакуемых целей.
В последних версиях Agenda присутствуют обновления для варианта на языке Rust. Согласно наблюдениям, группировка использует инструменты удалённого мониторинга и управления (RMM), а также Cobalt Strike для развёртывания вредоносного исполняемого файла. Сам исполняемый файл Agenda способен распространяться через PsExec и SecureShell, а также применять различные уязвимые SYS-драйверы для обхода защитных механизмов.
Среди новых любопытных функций Agenda — возможность печатать требование о выкупе на подключенных принтерах. Вредоносное ПО копирует текст в «%User Temp%\{Generated file name}» и выполняет команды для вывода содержимого файла на указанный принтер.
Для обхода средств защиты Agenda прибегает к технике Bring Your Own Vulnerable Driver (BYOVD), используя различные уязвимые драйверы для отключения систем безопасности в каждой цепочке заражения. Также экспертами наблюдалось применение публичных утилит, таких как YDark и Spyboy’s Terminator.
Ещё одно обновление — возможность распространяться на VMware vCenter и серверы ESXi через специальный PowerShell-скрипт, встроенный в бинарный файл. Это позволяет атаковать виртуальные машины и всю виртуальную инфраструктуру, приводя к потере данных, финансовым убыткам и сбоям в работе сервисов.
Способность Agenda распространяться на виртуальные среды показывает, что операторы расширяют круг потенциальных целей и систем для своих атак.
Для защиты организациям рекомендуется ограничивать административные права, регулярно обновлять защитные решения, создавать резервные копии данных, проводить обучение пользователей правилам кибербезопасности и использовать многоуровневый подход для комплексной защиты.
С заботой о вашей безопасности, команда Origin Security
