Agenda fidye yazılımı grubu, sanal makine odaklı fidye yazılımının yeni ve geliştirilmiş bir çeşidi sayesinde dünya çapında enfeksiyon sayısını artırıyor.
Agenda (diğer adıyla Qilin ve Water Galura) ilk olarak 2022’de tespit edildi. İlk Golang tabanlı fidye yazılımı, Kanada’dan Kolombiya ve Endonezya’ya kadar sağlık, üretim ve eğitim alanlarında ayrım gözetmeyen bir dizi hedefe karşı kullanıldı.
2022’nin sonlarına doğru Agenda’nın sahipleri, kötü amaçlı yazılımını yeniden yazdı. Rust, kullanışlı bir dil Çalışmalarını işletim sistemlerine yaymak isteyen kötü amaçlı yazılım yazarları için. Agenda, Rust versiyonuyla ağırlıklı olarak ABD’de ve aynı zamanda Arjantin, Avustralya, Tayland ve diğer yerlerdeki finans, hukuk, inşaat ve daha pek çok alandaki organizasyonları tehlikeye atmayı başardı.
Kısa süre önce Trend Micro şunu belirledi: Agenda fidye yazılımının yeni bir çeşidi vahşi doğada. Bu en son Rust tabanlı sürüm, çeşitli yeni işlevler ve gizlilik mekanizmalarıyla birlikte gelir ve gözünü doğrudan VMware vCenter ve ESXi sunucularına diker.
Trend Micro’nun kıdemli tehdit araştırmacısı Stephen Hilt, “ESXi sunucularına yönelik fidye yazılımı saldırıları giderek büyüyen bir trend” diyor. “Bunlar fidye yazılımı saldırıları için cazip hedefler çünkü genellikle kritik sistem ve uygulamaları barındırıyorlar ve başarılı bir saldırının etkisi önemli olabilir.”
Yeni Gündem Fidye Yazılımı
Trend Micro’ya göre, gündem enfeksiyonları Aralık ayında artmaya başladı; bunun nedeni belki de grubun şu anda daha aktif olması veya belki de daha etkili olmasıdır.
Bulaşmalar, fidye yazılımı ikili dosyası Cobalt Strike veya uzaktan izleme ve yönetim (RMM) aracı aracılığıyla teslim edildiğinde başlar. İkili dosyaya yerleştirilmiş bir PowerShell betiği, fidye yazılımının vCenter ve ESXi sunucuları arasında yayılmasına olanak tanır.
Kötü amaçlı yazılım, düzgün bir şekilde yayıldıktan sonra tüm ESXi ana bilgisayarlarındaki kök parolayı değiştirir, böylece sahiplerini kilitler ve ardından kötü amaçlı yükü yüklemek için Secure Shell’i (SSH) kullanır.
Bu yeni, daha güçlü Agenda kötü amaçlı yazılımı öncekiyle aynı işlevleri paylaşıyor: belirli dosya yollarını taramak veya hariç tutmak, PsExec aracılığıyla uzaktaki makinelere yayılmak, yük yürütüldüğünde tam olarak zaman aşımına uğramak vb. Ancak aynı zamanda ayrıcalıkları yükseltmek, belirteçleri taklit etmek, sanal makine kümelerini devre dışı bırakmak ve daha fazlası için bir dizi yeni komut da ekler.
Anlamsız ama psikolojik açıdan etkili yeni bir özellik, bilgisayar korsanlarının fidye notunu yalnızca virüslü bir monitörde sunmak yerine yazdırmasına olanak tanıyor.
Saldırganlar tüm bu çeşitli komutları aktif olarak bir kabuk aracılığıyla yürüterek, arkalarında kanıt olarak herhangi bir dosya bırakmadan kötü niyetli davranışlarını gerçekleştirmelerini sağlar.
Agenda, gizliliğini daha da artırmak için fidye yazılımı saldırganları arasında son zamanlarda popüler olan bir trendden de yararlanıyor: kendi savunmasız sürücünüzü getirin (BYOVD) — güvenlik yazılımından kaçmak için savunmasız SYS sürücülerini kullanmak.
Fidye Yazılımı Riski
Bir zamanlar Windows’a özel olan fidye yazılımı, tüm dünyada yaygınlaştı Linux ve VWware ve hatta Mac os işletim sistemiŞirketlerin bu ortamlarda ne kadar hassas bilgi bulundurduğu sayesinde.
Hilt, “Kuruluşlar, müşteri verileri, mali kayıtlar ve fikri mülkiyet gibi hassas bilgiler de dahil olmak üzere çeşitli verileri ESXi sunucularında saklıyor. Ayrıca kritik sistem ve uygulamaların yedeklerini de ESXi sunucularında saklayabilirler” diye açıklıyor. Fidye yazılımı saldırganları, diğer tehdit aktörlerinin aynı sistemleri daha sonraki ağ saldırıları için başlatma paneli olarak kullanabileceği bu tür hassas bilgilerden yararlanır.
Trend Micro, raporunda, risk altındaki kuruluşların idari ayrıcalıkları yakından takip etmesini, güvenlik ürünlerini düzenli olarak güncellemesini, taramalar yapmasını ve verileri yedeklemesini, çalışanlarına sosyal mühendislik konusunda eğitim vermesini ve siber hijyene titizlikle uymasını öneriyor.
Hilt, “Maliyet azaltma ve şirket içinde kalma yönündeki baskı, kuruluşların sanallaştırma yapmasına ve sistemleri sanallaştırmak için ESXi gibi sistemleri kullanmasına neden olacak” diye ekliyor, dolayısıyla sanallaştırma siber saldırıları riski muhtemelen artmaya devam edecek.
