Detecção do Ransomware Agenda Baseado em Golang: Nova Cepa Começou a se Espalhar pela Ásia e África

Os pesquisadores alertam sobre uma nova família de ransomware: uma nova variante chamada Agenda está surgindo, mirando em entidades de saúde e educação. Semelhante a outra peça emergente escrita em linguagem Go (também conhecida como Golang) apelidada BianLian, essa ameaça multiplataforma está ganhando popularidade com afiliados por sua versatilidade e elementos fáceis de ajustar da campanha, incluindo a extensão de criptografia, nota de ransomware personalizada (com o resgate exigido variando de $50.000 a $800.000), e a opção embutida para os operadores de ransomware escolherem quais processos no dispositivo infectado matar antes da criptografia.

Detectar Ransomware Agenda Baseado em Golang

O ano de 2022 tem sido até agora um ano de prosperidade para ransomware. Enquanto a quantidade de ataques financeiramente motivados está aumentando, os defensores precisam se preparar contra ameaças emergentes. Para uma rápida detecção de ataques de ransomware Agenda, aproveite um conjunto de detecções lançadas pelos experientes desenvolvedores do Threat Bounty Program Nattatorn Chuensangarun e Wirapong Petshagun:

Detectar Ransomware Agenda

As regras acima podem ser aplicadas em 26 soluções de SIEM, EDR e XDR suportadas pela plataforma da SOC Prime. Para garantir uma visibilidade aprimorada das ameaças relacionadas, a detecção está alinhada com o framework MITRE ATT&CK®.

A SOC Prime oferece soluções líderes do setor para impulsionar uma defesa cibernética de excelência impulsionada por uma comunidade de mais de 600 pesquisadores e Threat Hunters do Threat Bounty Program. Os defensores cibernéticos podem explorar instantaneamente o contexto abrangente da ameaça por trás da campanha de ransomware Agenda clicando no botão Explorar Detecções Explore Detections e acessar informações contextuais perspicazes, incluindo referências ao MITRE ATT&CK, links CTI e binários executáveis vinculados às regras Sigma que acompanham sua busca por ameaças relacionadas – tudo dentro do Search Engine de Ameaças Cibernéticas.

Explore Detections  

Análise do Ransomware Agenda

A pesquisa aprofundada publicada pelos analistas de segurança da Trend Micro revela que as peças estudadas de ransomware direcionadas eram arquivos PE Windows de 64 bits projetados para causar o máximo de dano nas vítimas escolhidas. O atacante também instalou programas de varredura como Nmap.exe e Nping.exe para mapear a rede e usou credenciais roubadas para acessar o Active Directory usando o RDP.

Os pesquisadores descobriram que o Agenda desativa o login automático usando as credenciais de login antigas e altera a senha do usuário padrão para permanecer discreto. A variante usa técnicas populares com outras organizações de ransomware, por exemplo, REvil or Black Basta, para reiniciar o computador da vítima em modo de segurança antes de criptografar arquivos. A ameaça é projetada para comprometer toda a rede, com adversários usando a técnica de dupla extorsão para pressionar ainda mais a vítima a pagar o resgate.

Procurando novas maneiras de aumentar suas capacidades de defesa cibernética enquanto economiza horas em pesquisa de detecção de ameaças e desenvolvimento de conteúdo? Junte-se à plataforma Detection as Code da SOC Prime para acessar o conteúdo de detecção mais atualizado enriquecido com inteligência de ameaças cibernéticas e alinhado com o MITRE ATT&CK® para aumentar a efetividade da sua cibersegurança.