Uma nova variedade de ransomware escrita em Golang apelidada de ” Agenda ” foi detectada visando entidades de saúde e educação na Indonésia, Arábia Saudita, África do Sul e Tailândia.
“Agenda pode reiniciar os sistemas no modo de segurança, tenta interromper muitos processos e serviços específicos do servidor e tem vários modos de execução”, disseram pesquisadores da Trend Micro em uma análise na semana passada.
Qilin, o agente de ameaças que anuncia o ransomware na dark web, fornece aos afiliados opções para adaptar as cargas binárias para cada vítima, permitindo que os operadores decidam o resgate, a extensão de criptografia, bem como a lista de processos e serviços para terminar antes de iniciar o processo de criptografia.
Além disso, o ransomware incorpora técnicas de evasão de detecção, aproveitando o recurso ‘modo de segurança’ de um dispositivo para prosseguir com sua rotina de criptografia de arquivos despercebida, mas não antes de alterar a senha do usuário padrão e habilitar o login automático.
Após a criptografia bem-sucedida, a Agenda renomeia os arquivos com a extensão configurada, descarta a nota de resgate em cada diretório criptografado e reinicia a máquina no modo normal. A quantidade de ransomware solicitada varia de empresa para empresa, variando de US$ 50.000 a US$ 800.000.
O Agenda, além de aproveitar as credenciais da conta local para executar o binário do ransomware, também vem com recursos para infectar uma rede inteira e seus drives compartilhados.
Em uma das cadeias de ataque observadas envolvendo o ransomware, um servidor Citrix voltado para o público serviu como ponto de entrada para implantar o ransomware em menos de dois dias.
A Trend Micro disse que observou semelhanças de código-fonte entre Agenda e as famílias de ransomware Black Basta , Black Matter e REvil (também conhecido como Sodinokibi).
O Black Basta, que surgiu pela primeira vez em abril de 2022, é conhecido por empregar a técnica de dupla extorsão de criptografar arquivos nos sistemas de organizações visadas e exigir resgate para possibilitar a descriptografia, além de ameaçar postar as informações confidenciais roubadas caso uma vítima opte por não pagar o resgate.
Na semana passada, o grupo Black Basta comprometeu mais de 75 organizações, de acordo com a Palo Alto Networks Unit 42 , contra 50 em junho de 2022.
Agenda também é a quarta linhagem depois de BlackCat , Hive e Luna a usar a linguagem de programação Go. “O ransomware continua a evoluir, desenvolvendo métodos e técnicas mais sofisticados para prender organizações”, disseram os pesquisadores.
Gostou? Siga o Instagram, LinkedIn ou Facebook da Inlearn para acompanhar as novidades do nosso Cyber Blog.
Fonte: Trend Micro e Thehackernews