Rilevamento del Ransomware Agenda Basato su Golang: Una Nuova Variante Inizia a Diffondersi in Asia e Africa
Indice:
I ricercatori avvertono di una nuova famiglia di ransomware: una nuova variante chiamata Agenda emerge, prendendo di mira enti sanitari e educativi. Simile a un altro tipo emergente scritto in linguaggio Go (alias Golang) soprannominato BianLian, questa minaccia multipiattaforma sta guadagnando popolarità tra gli affiliati per la sua versatilità e gli elementi della campagna facili da modificare, inclusi l’estensione di crittografia, la nota di riscatto personalizzata (con il riscatto richiesto che varia da $50.000 a $800.000), e l’opzione incorporata per gli operatori di ransomware di scegliere quali processi sul dispositivo infetto terminare prima della crittografia.
Rilevare il Ransomware Agenda Basato su Golang
Il 2022 è stato finora un anno prospero per i ransomware. Mentre il numero di attacchi a scopo finanziario sta aumentando, i difensori devono prepararsi contro le nuove minacce. Per una rapida rilevazione degli attacchi di ransomware Agenda, utilizza un set di rilevamenti rilasciato dagli esperti sviluppatori del Threat Bounty Program Nattatorn Chuensangarun e Wirapong Petshagun:
Le regole sopra possono essere applicate su 26 soluzioni SIEM, EDR e XDR supportate dalla piattaforma di SOC Prime. Per garantire una visibilità migliorata sulle minacce correlate, il rilevamento è allineato con il framework MITRE ATT&CK®.
SOC Prime offre soluzioni leader del settore per guidare una difesa cibernetica di prim’ordine potenziata da una comunità di oltre 600 ricercatori e Cacciatori di Minacce del Threat Bounty Program. I difensori cibernetici possono esplorare istantaneamente il contesto delle minacce dietro la campagna ransomware Agenda cliccando sul pulsante researchers and Threat Hunters. Cyber defenders can instantly explore the comprehensive threat context behind the Agenda ransomware campaign by clicking the Esplora Rilevamenti e accedere a informazioni contestuali perspicaci, comprese le referenze MITRE ATT&CK, i link CTI e i binari eseguibili collegati alle regole Sigma che accompagnano la ricerca sulle minacce correlate – tutto all’interno del Motore di Ricerca delle Minacce Cibernetiche.
Analisi del Ransomware Agenda
La ricerca approfondita pubblicata dagli analisti di sicurezza di Trend Micro rivela che i pezzi di ransomware mirati studiati erano file PE Windows a 64 bit progettati per infliggere il massimo danno alle vittime prescelte. L’aggressore ha anche installato programmi di scansione come Nmap.exe e Nping.exe per mappare la rete e ha utilizzato credenziali rubate per accedere a Active Directory usando l’RDP. security analysts reveals that the studied pieces of targeted ransomware were 64-bit Windows PE files tailored to inflict maximum damage upon the chosen victims. The attacker also installed scanning programs like Nmap.exe and Nping.exe to map the network and used stolen credentials to access Active Directory using the RDP.
I ricercatori hanno scoperto che Agenda disattiva l’accesso automatico utilizzando le vecchie credenziali di accesso e cambia la password dell’utente predefinito per rimanere inosservato. La variante utilizza tecniche popolari tra altre organizzazioni di ransomware, ad esempio, REvil or Black Basta, per riavviare il computer della vittima in modalità provvisoria prima di crittografare i file. La minaccia è progettata per compromettere l’intera rete, con gli avversari che utilizzano la tecnica della doppia estorsione per esercitare maggiore pressione sulla vittima affinché paghi il riscatto.
Cerchi nuovi modi per migliorare le tue capacità di difesa informatica risparmiando ore sulla ricerca e sviluppo di contenuti per il rilevamento delle minacce? Unisciti alla SOC Prime’s Detection as Code platform per accedere ai contenuti di rilevamento più aggiornati arricchiti con intelligence sulle minacce cibernetiche e allineati con MITRE ATT&CK® per migliorare l’efficacia della tua sicurezza informatica.
