Các nhà nghiên cứu vừa lên tiếng cảnh báo về một dòng ransomware mới có tên Agenda, được sử dụng trong các cuộc tấn công vào các tổ chức ở châu Á và châu Phi.
Được viết bằng ngôn ngữ lập trình đa nền tảng Golang (Go), mã độc mới có khả năng khởi động lại hệ thống ở chế độ an toàn (safe mode) và dừng các tiến trình và dịch vụ dành riêng cho máy chủ.
Agenda nhắm mục tiêu vào các hệ thống Windows và đã được sử dụng trong các cuộc tấn công nhắm vào các tổ chức chăm sóc sức khỏe và giáo dục ở Indonesia, Ả Rập Saudi, Nam Phi và Thái Lan.
Theo quan sát của Trend Micro, các mẫu mã độc đã được tùy chỉnh cho từng nạn nhân, số tiền chuộc yêu cầu cũng khác nhau - dao động trong khoảng 50.000 đô la đến 800.000 đô la.
“Mỗi mẫu ransomware đều được tùy chỉnh cho nạn nhân mục tiêu. Theo điều tra của chúng tôi, các mẫu mã độc sử dụng tài khoản, mật khẩu khách hàng và ID công ty làm phần mở rộng của các tệp bị mã hóa”.
Trend Micro cũng phát hiện các bài đăng trên diễn đàn đen liên quan đến Agenda của một người dùng có tên 'Qilin' và tin rằng kẻ đe dọa có thể đang cung cấp phần mềm tống tiền cho những người đang tìm cách tùy chỉnh tải trọng với thông tin chi tiết về nạn nhân, bao gồm ID, khóa RSA, các tiến trình và các dịch vụ sẽ bị loại bỏ trước khi mã hóa.
Agenda hỗ trợ một số đối số dòng lệnh, xây dựng cấu hình thời gian chạy để xác định hành vi, loại bỏ các bản sao, chấm dứt các tiến trình và dịch vụ chống virus khác nhau, đồng thời tạo một mục tự động khởi động trỏ vào một bản sao của chính nó.
Hơn nữa, ransomware thay đổi mật khẩu của người dùng mặc định và sau đó cho phép đăng nhập tự động bằng thông tin đăng nhập đã sửa đổi. Nó khởi động lại máy ở chế độ an toàn và bắt đầu mã hóa dữ liệu khi khởi động lại.
Là một phần của một cuộc tấn công, kẻ xấu đã sử dụng máy chủ Citrix công khai để thực hiện tấn công ban đầu, có thể là thông qua tài khoản hợp lệ và sử dụng máy chủ để truy cập mạng của nạn nhân.
Kẻ xấu cũng sử dụng thông tin đăng nhập bị rò rỉ để kết nối với Active Directory thông qua giao thức máy tính từ xa (RDP) và cài đặt các công cụ quét như Nmap.exe và Nping.exe để lập bản đồ mạng. Nó cũng tạo một Đối tượng Chính sách Nhóm (GPO) và triển khai ransomware trên tất cả các máy.
“Mã độc cũng lợi dụng các tài khoản cục bộ để đăng nhập với tư cách là người dùng giả mạo và thực thi mã nhị phân ransomware, tiếp tục mã hóa các máy khác nếu đăng nhập thành công. Nó cũng chấm dứt nhiều quy trình và dịch vụ, đồng thời đảm bảo sự tồn tại lâu dài bằng cách đưa DLL vào svchost.exe ”.
Agenda có nhiều điểm tương đồng với các dòng ransomware nổi tiếng, bao gồm Black Basta, Black Matter và REvil (hay còn gọi là Sodinokibi).
Cụ thể, trang web thanh toán và xác minh người dùng được triển khai trên trang Tor của Agenda giống với Black Basta và Black Matter, trong khi khả năng thay đổi mật khẩu Windows và khởi động lại hệ thống ở chế độ an toàn tương tự như Black Basta và REvil.
Cụ thể, trang web thanh toán và xác minh người dùng được triển khai trên trang Tor của Agenda giống với Black Basta và Black Matter, trong khi khả năng thay đổi mật khẩu Windows và khởi động lại hệ thống ở chế độ an toàn tương tự như Black Basta và REvil.
0 Comments