Golang dilinde yazılmış yeni bir fidye yazılımı türü “GündemEndonezya, Suudi Arabistan, Güney Afrika ve Tayland’daki sağlık ve eğitim kurumlarını hedef alan vahşi doğada tespit edildi.
Trend Micro araştırmacıları geçen haftaki bir analizde, “Ajanda, sistemleri güvenli modda yeniden başlatabilir, sunucuya özel birçok işlemi ve hizmeti durdurmaya çalışabilir ve çalışacak birden fazla modu vardır.” Dedi.
Karanlık ağda fidye yazılımının reklamını yapan tehdit aktörü Qilin’in, bağlı kuruluşlara her kurban için ikili yükleri uyarlama seçenekleri sunduğu ve operatörlerin fidye notuna, şifreleme uzantısına ve ayrıca süreçler ve hizmetler listesine karar vermesini sağladığı söyleniyor. şifreleme işlemine başlamadan önce sonlandırmak için.
Ek olarak, fidye yazılımı, bir aygıtın ‘güvenli mod’ özelliğinden yararlanarak, fark edilmeden, ancak varsayılan kullanıcının parolasını değiştirmeden ve otomatik oturum açmayı etkinleştirmeden önce, dosya şifreleme rutinine devam etmek için tespitten kaçınma teknikleri içerir.
Başarılı şifrelemenin ardından Agenda, yapılandırılmış uzantıya sahip dosyaları yeniden adlandırır, şifrelenmiş her dizine fidye notunu bırakır ve makineyi normal modda yeniden başlatır. İstenen fidye yazılımı miktarı, şirketten şirkete değişir ve 50.000 ila 800.000 dolar arasında değişir.
Agenda, fidye yazılımı ikili programını yürütmek için yerel hesap kimlik bilgilerini kullanmanın yanı sıra, tüm ağa ve paylaşılan sürücülerine bulaşma yetenekleriyle birlikte gelir.
Fidye yazılımını içeren gözlemlenen saldırı zincirlerinden birinde, halka açık bir Citrix sunucusu, fidye yazılımını iki günden kısa sürede dağıtmak için bir giriş noktası görevi gördü.
Trend Micro, Agenda ile Black Basta, Black Matter ve REvil (aka Sodinokibi) fidye yazılımı aileleri arasında kaynak kodu benzerlikleri gözlemlediğini söyledi.
İlk olarak Nisan 2022’de ortaya çıkan Black Basta’nın, hedeflenen kuruluşların sistemlerindeki dosyaları şifrelemek ve şifre çözmeyi mümkün kılmak için fidye talep etmek gibi çifte gasp tekniğini kullandığı ve ayrıca bir kurbanın bunu yapmamayı seçmesi durumunda çalınan hassas bilgileri yayınlamakla tehdit ettiği biliniyor. fidyeyi öde.
Palo Alto Networks Unit 42’ye göre, Black Basta grubu, Haziran 2022’de 50’den, geçen hafta itibarıyla 75’ten fazla organizasyonu tehlikeye attı.
Agenda ayrıca BlackCat, Hive ve Luna’dan sonra Go programlama dilini kullanan dördüncü türdür. Araştırmacılar, “Fidye yazılımları gelişmeye devam ediyor, kuruluşları tuzağa düşürmek için daha karmaşık yöntemler ve teknikler geliştiriyor” dedi.