Detección de Ransomware Agenda Basado en Golang: Nueva Cepa Comienza a Extenderse por Asia y África
Tabla de contenidos:
Investigadores advierten sobre una nueva familia de ransomware: una nueva cepa llamada Agenda entra en escena, dirigida a entidades de salud y educación. Similar a otra pieza emergente escrita en el lenguaje Go (también conocido como Golang) apodada BianLian, esta amenaza multiplataforma está ganando popularidad entre los afiliados por su versatilidad y elementos fáciles de ajustar de la campaña, incluyendo la extensión de cifrado, nota de ransomware personalizada (con el rescate exigido que varía entre $50,000 y $800,000), y la opción embedida para que los operadores de ransomware elijan qué procesos en el dispositivo infectado finalizar antes del cifrado.
Detectar Ransomware Agenda Basado en Golang
El año 2022 ha sido hasta ahora un año en el que el ransomware prospera. Mientras la cantidad de ataques por motivos financieros aumenta, los defensores deben prepararse contra amenazas emergentes. Para una detección rápida de los ataques de ransomware Agenda, aprovecha un conjunto de detecciones lanzadas por los desarrolladores experimentados del Programa de Recompensa de Amenazas Nattatorn Chuensangarun y Wirapong Petshagun:
Las reglas anteriores se pueden aplicar en 26 soluciones SIEM, EDR y XDR respaldadas por la plataforma de SOC Prime. Para asegurar una visibilidad mejorada sobre amenazas relacionadas, la detección está alineada con el marco MITRE ATT&CK®.
SOC Prime ofrece soluciones líderes en la industria para impulsar una ciberdefensa de primer nivel potenciada por una comunidad de más de 600 investigadores y Cazadores de Amenazas del Programa de Recompensa de Amenazas. Los defensores cibernéticos pueden explorar instantáneamente el contexto completo de amenazas detrás de la campaña de ransomware Agenda haciendo clic en el botón researchers and Threat Hunters. Cyber defenders can instantly explore the comprehensive threat context behind the Agenda ransomware campaign by clicking the Explorar Detecciones y acceder a información contextual reveladora, incluyendo referencias de MITRE ATT&CK, enlaces CTI y binarios ejecutables vinculados a las reglas de Sigma que acompañan tu búsqueda de amenazas relacionadas, todo dentro del Motor de Búsqueda de Amenazas Cibernéticas.
Análisis del Ransomware Agenda
La investigación exhaustiva publicada por los analistas de seguridad de Trend Micro revela que las piezas estudiadas de ransomware dirigido eran archivos PE de Windows de 64 bits diseñados para infligir el máximo daño a las víctimas elegidas. El atacante también instaló programas de escaneo como Nmap.exe y Nping.exe para mapear la red y utilizó credenciales robadas para acceder al Directorio Activo usando el RDP. security analysts reveals that the studied pieces of targeted ransomware were 64-bit Windows PE files tailored to inflict maximum damage upon the chosen victims. The attacker also installed scanning programs like Nmap.exe and Nping.exe to map the network and used stolen credentials to access Active Directory using the RDP.
Los investigadores descubrieron que Agenda desactiva el inicio de sesión automático utilizando las credenciales de inicio de sesión antiguas y cambia la contraseña del usuario predeterminado para permanecer sigiloso. La cepa utiliza técnicas populares con otras organizaciones de ransomware, por ejemplo, REvil or Black Basta, para reiniciar la computadora de la víctima en modo seguro antes de cifrar los archivos. La amenaza está diseñada para comprometer toda la red, con adversarios usando la técnica de doble extorsión para presionar más a una víctima para que pague el rescate.
¿Buscando nuevas formas de mejorar tus capacidades de defensa cibernética mientras ahorras horas en la investigación de detección de amenazas y el desarrollo de contenido? Únete a la plataforma de Detección como Código de SOC Prime para alcanzar el contenido de detección más actualizado enriquecido con inteligencia de amenazas cibernéticas y alineado con MITRE ATT&CK® para mejorar la efectividad de tu ciberseguridad.
