Golang-Based Agenda Ransomware Detection: New Strain Began Sweeping Across Asia and Africa

研究者たちは新しいランサムウェアファミリーについて警告しています：Agendaという新しい株が登場し、医療や教育機関をターゲットにしています。Go言語（別名Golang）で書かれたもう一つの新しいピースに似ており、 BianLianとして知られるこのクロスプラットフォームの脅威は、その多様性と、暗号化拡張子やカスタマイズされたランサムウェアノート（要求された身代金は$50,000から$800,000の範囲）などのキャンペーンの要素を簡単に調整できるため、アフィリエイトに人気です。ランサムウェアオペレーターが暗号化前に感染したデバイスで終了させるプロセスを選ぶ埋め込みオプションも含まれています。

GolangベースのAgendaランサムウェアを検出

2022年はこれまでのところランサムウェアが繁栄する年でした。金銭目的の攻撃が急増している中、防御者は新たな脅威に対抗する準備を整える必要があります。Agendaランサムウェア攻撃を迅速に検出するために、熟練したThreat Bounty Programの開発者であるNattatorn ChuensangarunとWirapong Petshagunによってリリースされた一連の検出を活用します：

Agendaランサムウェアを検出

上記のルールは、SOC Primeのプラットフォームでサポートされている26のSIEM、EDR、およびXDRソリューションに適用できます。関連する脅威への可視性を強化するために、検出は MITRE ATT&CK®フレームワーク.

SOC Primeは、600人以上の Threat Bounty Program の研究者や脅威ハンターによって推進される卓越したサイバー防御を駆動する業界をリードするソリューションを提供します。サイバー防御者は、Agendaランサムウェアキャンペーンの背後にある包括的な脅威コンテキストを即座に調査することができ、 Explore Detections ボタンをクリックして、MITRE ATT&CK参照、CTIリンク、および関連する脅威の検索を補完するSigmaルールにリンクされた実行可能バイナリを含む、有益なコンテキスト情報にアクセスします。

Explore Detections  

Agendaランサムウェア分析

トレンドマイクロの セキュリティアナリストによって発表された詳細な研究は、調査された標的型ランサムウェアが、選ばれた犠牲者に最大の損害を与えるように作られた64ビットWindows PEファイルであったことを明らかにしています。攻撃者はまた、Nmap.exeやNping.exeのようなスキャンプログラムをインストールし、ネットワークをマッピングし、盗まれた資格情報を使用してRDPを介してActive Directoryにアクセスしました。 security analysts reveals that the studied pieces of targeted ransomware were 64-bit Windows PE files tailored to inflict maximum damage upon the chosen victims. The attacker also installed scanning programs like Nmap.exe and Nping.exe to map the network and used stolen credentials to access Active Directory using the RDP.

研究者たちは、Agendaが古いログイン資格情報を使用して自動ログインを無効にし、ステルスを保つためにデフォルトユーザーのパスワードを変更することを発見しました。この株は、他のランサムウェア組織で人気のある技術、例えば REvil or やBlack Bastaが使用している手法を用い、ファイルを暗号化する前に被害者のコンピュータをセーフモードで再起動させます。この脅威は、ネットワーク全体を侵害するように設計されており、敵は二重脅迫技術を使用して、被害者に身代金を支払わせる圧力を強めます。

サイバー防御能力を強化し、脅威検出の研究やコンテンツ開発にかかる時間を節約する新しい方法を探していますか？ SOC PrimeのDetection as Codeプラットフォーム に参加して、サイバー脅威インテリジェンスで強化され、MITRE ATT&CK®に一致した、最新の検出コンテンツにアクセスし、サイバーセキュリティの効果を高めましょう。