27/10/25
Trend Research описала новую волну атак группы Agenda — вымогателей, которые научились запускать Linux‑вариант шифровальщика в средах на базе Windows. Такая тактика позволяет злоумышленникам обходить традиционные средства защиты, ориентированные только на платформу Microsoft, и усложняет обнаружение вредоносной активности в гибридных инфраструктурах. Об этом пишет Securitylab.
В крупнейших инцидентах злоумышленники использовали легитимные инструменты удалённого администрирования — WinSCP для перемещения бинарника и Splashtop для его запуска на целевых машинах — маскируя вредоносные действия под штатные IT‑операции. Одновременно применялись приёмы Bring Your Own Vulnerable Driver (BYOVD) — внедрение уязвимых драйверов для подавления антивирусов — и размещение SOCKS‑прокси в каталогах доверенных приложений, чтобы замаскировать канал управления и вывода данных.
Атака сопровождалась тщательным сбором учётных данных: злоумышленники нацелились на Veeam‑инфраструктуру, извлекая пароли из баз резервного копирования и тем самым нейтрализуя варианты восстановления. Для перемещения по сети использовались модифицированные клиенты PuTTY и RMM‑агенты, среди которых ATERA и ScreenConnect, что обеспечивало множественные и трудноотслеживаемые векторы доступа. Итогом стала кроссплатформенная угроза, затронувшая как Windows, так и Linux‑узлы в одной и той же среде.
Авторы отчёта подчёркивают, что подобная тактика требует пересмотра подходов к защите: ограничение доступа RMM‑агентов, контроль целевых хостов, защита учётных записей для резервных систем и постоянный аудит необычной активности помогут снизить риск. А основное внимание стоит уделить превентивным мерам управления привилегиями и защите целостности резервных копий.
