Détection du Ransomware Agenda Basé sur Golang : Une Nouvelle Souche Déferle sur l’Asie et l’Afrique
Table des matières :
Les chercheurs avertissent d’une nouvelle famille de ransomwares : une souche nouvelle appelée Agenda arrive, visant les entités de santé et d’éducation. Semblable à une autre pièce émergente écrite en langage Go (alias Golang) surnommée BianLian, cette menace multiplateforme gagne en popularité auprès des affiliés pour sa polyvalence et ses éléments de campagne facilement modifiables, notamment l’extension de chiffrement, la note de rançon personnalisée (avec une rançon demandée variant de 50 000 $ à 800 000 $), et l’option intégrée permettant aux opérateurs de ransomware de choisir quels processus sur le dispositif infecté tuer avant le chiffrement.
Détecter le ransomware Agenda basé sur Golang
2022 a jusqu’à présent été une année propice aux ransomwares. Alors que le nombre d’attaques motivées financièrement augmente, les défenseurs doivent se préparer contre les menaces émergentes. Pour une détection rapide des attaques ransomware Agenda, exploitez un ensemble de détections publiées par les développeurs expérimentés du programme de primes aux menaces, Nattatorn Chuensangarun et Wirapong Petshagun :
Les règles ci-dessus peuvent être appliquées sur 26 solutions SIEM, EDR, et XDR prises en charge par la plateforme de SOC Prime. Pour garantir une visibilité accrue sur les menaces associées, la détection est alignée avec le cadre MITRE ATT&CK®.
SOC Prime propose des solutions de pointe pour conduire une défense cybernétique prééminente soutenue par une communauté de plus de 600 chercheurs et chasseurs de menaces du programme de primes aux menaces. Les cyber-défenseurs peuvent instantanément explorer le contexte de menace complet derrière la campagne ransomware Agenda en cliquant sur le bouton researchers and Threat Hunters. Cyber defenders can instantly explore the comprehensive threat context behind the Agenda ransomware campaign by clicking the Explorer les détections et accéder à des informations contextuelles perspicaces, y compris des références MITRE ATT&CK, des liens CTI et des binaires exécutables liés aux règles Sigma qui accompagnent votre recherche de menaces associées – tout cela au sein du moteur de recherche de menaces cybernétiques.
Analyse du ransomware Agenda
L’étude approfondie publiée par les analystes en sécurité de Trend Micro révèle que les pièces de ransomware ciblées étudiées étaient des fichiers PE Windows 64 bits conçus pour infliger des dommages maximums sur les victimes choisies. L’attaquant a également installé des programmes de balayage comme Nmap.exe et Nping.exe pour cartographier le réseau et a utilisé des identifiants volés pour accéder à Active Directory en utilisant le RDP.
Les chercheurs ont découvert qu’Agenda désactive la connexion automatique en utilisant les anciens identifiants de connexion et change le mot de passe de l’utilisateur par défaut afin de rester discret. La souche utilise des techniques populaires avec d’autres organisations de ransomware, par exemple REvil or Black Basta, pour redémarrer l’ordinateur de la victime en mode sans échec avant de crypter les fichiers. La menace est conçue pour compromettre l’ensemble du réseau, les adversaires utilisant la technique de la double extorsion pour mettre plus de pression sur une victime pour qu’elle paie la rançon.
Vous cherchez de nouvelles façons de renforcer vos capacités de défense cybernétique tout en économisant des heures de recherche sur la détection des menaces et le développement de contenu ? Rejoignez la plateforme Detection as Code de SOC Prime pour accéder au contenu de détection le plus à jour enrichi en renseignement sur les menaces cybernétiques et aligné sur MITRE ATT&CK® pour renforcer l’efficacité de votre cybersécurité.
