Конец виртуальной инфраструктуры: Agenda наносит мощный удар по организациям

Группировка Agenda, также известная как Qilin или Water Galura, увеличивает количество заражений по всему миру благодаря новому и улучшенному варианту своей программы-вымогателя, ориентированной на виртуальные машины. Её первая программа-вымогатель на базе Golang была обнаружена в 2022 году и использовалась против широкого круга целей в здравоохранении, производстве и образовании, от Канады до Индонезии.

Согласно недавнему отчёту компании Trend Micro, в последнее время группа продолжает заражать своим вредоносом жертв по всему миру, причём США, Аргентина, Австралия и Таиланд входят в число основных целей злоумышленников на данный момент. Финансовая сфера, IT-компании и юридические фирмы сейчас являются самыми желаемыми секторами группы для атак.

С декабря 2023 года наблюдается значительный рост числа обнаружений Agenda по сравнению с ноябрём того же года. Это может свидетельствовать как об активизации операторов, так и о расширении числа атакуемых целей.

В последних версиях Agenda присутствуют обновления для варианта на языке Rust. Согласно наблюдениям, группировка использует инструменты удалённого мониторинга и управления (RMM), а также Cobalt Strike для развёртывания вредоносного исполняемого файла. Сам исполняемый файл Agenda способен распространяться через PsExec и SecureShell, а также применять различные уязвимые SYS-драйверы для обхода защитных механизмов.

Среди новых функций Agenda — возможность печатать требование о выкупе на подключенных принтерах. Вредонос копирует текст в «%User Temp%\{Generated file name}» и выполняет команды для вывода содержимого файла на указанный принтер.

Для обхода средств защиты Agenda прибегает к технике Bring Your Own Vulnerable Driver (BYOVD), используя различные уязвимые драйверы для отключения разных систем безопасности в каждой цепочке заражения. Также экспертами наблюдалось применение публичных утилит, таких как YDark и Spyboy’s Terminator.

Ещё одно обновление — возможность распространяться на VMware vCenter и серверы ESXi через специальный PowerShell-скрипт, встроенный в бинарный файл. Это позволяет атаковать виртуальные машины и всю виртуальную инфраструктуру, приводя к потере данных, финансовым убыткам и сбоям в работе сервисов.

Способность Agenda распространяться на виртуальные среды показывает, что операторы расширяют круг потенциальных целей и систем для своих атак.

Для защиты организациям рекомендуется ограничивать административные права, регулярно обновлять защитные решения, создавать резервные копии данных, проводить обучение пользователей правилам кибербезопасности и использовать многоуровневый подход для комплексной защиты.