Новый вымогатель атакует компании Африки и Азии

Исследователи Trend Micro обнаружили новую программу-вымогатель Agenda, которая использовалась для атаки на одного из клиентов компании.

Согласно расследованию , злоумышленник использовал общедоступный сервер Citrix в качестве точки входа. Вероятно, хакер использовал действующую учетную запись для доступа к этому серверу и выполнения бокового перемещения внутри сети жертвы.

Новое семейство программ-вымогателей написано на Golang и использовалось для атак на предприятия в Азии и Африке. Название Agenda происходит от сообщений в дарквебе пользователя по имени Qilin, который предположительно, связан с распространителями вымогательского ПО.

Программа-вымогатель Agenda выполняет следующие действия:

• перезагружает систему в безопасном режиме;
• останавливает многие серверные процессы и службы;
• работает в нескольких режимах;
• обладает функцией автозапуска.

Собранные образцы представляли собой 64-разрядные файлы Windows PE (Portable Executable) и использовались для атак на организации здравоохранения и образования в Индонезии, Саудовской Аравии, Южной Африке и Таиланде.

Согласно отчету Trend Micro , каждый образец программы-вымогателя был настроен для предполагаемой жертвы. Образцы содержали утечку учетных записей, паролей клиентов и уникальных идентификаторов компаний, которые использовались в качестве расширений зашифрованных файлов. Кроме того, запрашиваемая сумма выкупа различается для каждой компании и варьируется от $50 000 до $800 000.

По словам экспертов, Agenda меняет пароль пользователя по умолчанию и позволяет автоматически входить в систему с новыми учетными данными, чтобы избежать обнаружения. Agenda перезагружает компьютер жертвы в безопасном режиме, а затем шифрует файлы при перезагрузке. Стоит отметить, что по этому методу работает группировка REvil .

Злоумышленник получил доступ к Active Directory через RDP, используя утекшие учетные записи, а затем использовал инструменты Nmap и Nping для сканирования сети. Они отправили запланированную задачу на машину домена групповой политики.

Agenda использует «безопасный режим», чтобы незаметно продолжить процедуру шифрования. Программа-вымогатель также использует локальные учетные записи для входа в качестве поддельных пользователей и выполнения двоичного кода программы-вымогателя, дополнительно шифруя другие машины при входе в систему. Вредоносное ПО также завершает работу многочисленных процессов и служб и обеспечивает сохранение путем внедрения DLL в svchost.exe.