Erkennung von Agenda-Ransomware auf Golang-Basis: Neuer Stamm breitet sich über Asien und Afrika aus
Inhaltsverzeichnis:
Forscher warnen vor einer neuen Ransomware-Familie: ein neuartiger Stamm namens Agenda kommt ins Spiel, der auf Gesundheits- und Bildungseinrichtungen abzielt. Ähnlich wie ein weiteres aufkommendes Stück, das in der Go-Sprache (auch bekannt als Golang) geschrieben wurde, genannt BianLian, gewinnt diese plattformübergreifende Bedrohung bei Affiliates an Beliebtheit aufgrund ihrer Vielseitigkeit und der leicht anpassbaren Elemente der Kampagne, einschließlich der Verschlüsselungserweiterung, des personalisierten Ransomware-Hinweises (bei dem das geforderte Lösegeld zwischen 50.000 und 800.000 USD liegt) und der integrierten Option für Ransomware-Operatoren, auszuwählen, welche Prozesse auf dem infizierten Gerät vor der Verschlüsselung beendet werden sollen.
Erkennung der auf Golang basierenden Agenda-Ransomware
Das Jahr 2022 war bisher ein Jahr, in dem Ransomware florierte. Während die Anzahl der finanziell motivierten Angriffe steigt, müssen Verteidiger sich gegen aufkommende Bedrohungen wappnen. Für eine schnelle Erkennung von Agenda-Ransomware-Angriffen nutzen Sie ein Set von Erkennungen, das von erfahrenen Entwicklern des Threat Bounty Program, Nattatorn Chuensangarun und Wirapong Petshagun, veröffentlicht wurde:
Erkennung von Agenda-Ransomware
Die oben genannten Regeln können über 26 SIEM-, EDR- und XDR-Lösungen angewendet werden, die von der Plattform von SOC Prime unterstützt werden. Um eine verbesserte Sichtbarkeit in Bezug auf verwandte Bedrohungen zu gewährleisten, ist die Erkennung auf das MITRE ATT&CK®-Framework.
SOC Prime liefert branchenführende Lösungen, um eine herausragende Cyber-Abwehr zu gewährleisten, die durch eine Community von über 600 Threat Bounty Program Forschern und Bedrohungssuchern unterstützt wird. Cyber-Verteidiger können sofort den umfassenden Bedrohungskontext hinter der Agenda-Ransomware-Kampagne erkunden, indem sie auf den Erkennung erkunden Button klicken und auf aufschlussreiche kontextbezogene Informationen zugreifen, einschließlich MITRE ATT&CK-Referenzen, CTI-Links und ausführbare Binärdateien, die mit den Sigma-Regeln verbunden sind, die Ihre Suche nach verwandten Bedrohungen begleiten – alles innerhalb der Cyber Threats Search Engine.
Analyse der Agenda-Ransomware
Die von Trend Micros Sicherheitsanalysten veröffentlichte eingehende Forschung zeigt, dass die untersuchten Stücke gezielter Ransomware 64-Bit-Windows-PE-Dateien waren, die darauf zugeschnitten waren, maximalen Schaden bei den ausgewählten Opfern anzurichten. Der Angreifer installierte außerdem Scan-Programme wie Nmap.exe und Nping.exe, um das Netzwerk zu kartieren und benutzte gestohlene Zugangsdaten, um über das RDP auf Active Directory zuzugreifen.
Forscher entdeckten, dass Agenda das automatische Anmelden mit den alten Anmeldedaten deaktiviert und das Passwort des Standardbenutzers ändert, um unauffällig zu bleiben. Der Stamm nutzt Techniken, die bei anderen Ransomware-Organisationen beliebt sind, zum Beispiel REvil or Black Basta, um den Computer des Opfers im abgesicherten Modus neu zu starten, bevor Dateien verschlüsselt werden. Die Bedrohung ist darauf ausgelegt, das gesamte Netzwerk zu kompromittieren, wobei Gegner die Doppel-Erpressungstechnik anwenden, um mehr Druck auf ein Opfer auszuüben, das Lösegeld zu zahlen.
Suchen Sie nach neuen Wegen, um Ihre Cyber-Abwehrfähigkeiten zu steigern, während Sie Stunden bei der Bedrohungserkennungsforschung und -inhaltsentwicklung sparen? Treten Sie SOC Primes Detection as Code-Plattform bei, um auf die aktuellste Erkennungsinhalte zuzugreifen, die mit Cyber-Bedrohungsinformationen angereichert und auf MITRE ATT&CK® abgestimmt sind, um Ihre Cybersicherheits-Wirksamkeit zu steigern.
