Linux-шифровальщик поражает Windows. Группа Agenda пробила барьер между платформами

Trend Research описала новую волну атак группы Agenda — вымогателей, которые научились запускать Linux‑вариант шифровальщика в средах на базе Windows. Такая тактика позволяет злоумышленникам обходить традиционные средства защиты, ориентированные только на платформу Microsoft, и усложняет обнаружение вредоносной активности в гибридных инфраструктурах.

В крупнейших инцидентах злоумышленники использовали легитимные инструменты удалённого администрирования — WinSCP для перемещения бинарника и Splashtop для его запуска на целевых машинах — маскируя вредоносные действия под штатные IT‑операции. Одновременно применялись приёмы Bring Your Own Vulnerable Driver (BYOVD) — внедрение уязвимых драйверов для подавления антивирусов — и размещение SOCKS‑прокси в каталогах доверенных приложений, чтобы замаскировать канал управления и вывода данных.

Атака сопровождалась тщательным сбором учётных данных: злоумышленники нацелились на Veeam‑инфраструктуру, извлекая пароли из баз резервного копирования и тем самым нейтрализуя варианты восстановления. Для перемещения по сети использовались модифицированные клиенты PuTTY и RMM‑агенты, среди которых ATERA и ScreenConnect, что обеспечивало множественные и трудноотслеживаемые векторы доступа. Итогом стала кроссплатформенная угроза, затронувшая как Windows, так и Linux‑узлы в одной и той же среде.

Авторы отчёта подчёркивают, что подобная тактика требует пересмотра подходов к мониторингу: ограничение доступа RMM‑агентов, контроль целевых хостов, защита учётных записей для резервных систем и постоянный аудит необычной активности помогут снизить риск. А основное внимание стоит уделить превентивным мерам управления привилегиями и защите целостности резервных копий.