Agenda ist eine neue Sorte von Golang-Ransomware, die speziell auf Gesundheits- und Bildungseinrichtungen in Indonesien abzielt, Thailand, Südafrika, und Saudi-Arabien.
Entdeckt von Trend Micro-Forschern, Agenda-Ransomware kann kompromittierte Systeme im abgesicherten Modus neu starten und versuchen, die Ausführung mehrerer serverspezifischer Prozesse und Dienste zu verhindern. Weiter, Die Ransomware verfügt über zahlreiche Ausführungsmodi und kann für jedes Opfer angepasst werden. Die von Trend Micro gesammelten Proben enthalten eindeutige Unternehmens-IDs und durchgesickerte Kontodetails.
Agenda-Ransomware: Technische Spezifikationen
In Go geschriebene Malware (Golang-Sprache) wird in der Bedrohungslandschaft immer häufiger. Es sollte beachtet werden, dass Go-Programme eigenständig und plattformübergreifend sind, was bedeutet, dass sie auch ohne einen auf dem System installierten Go-Interpreter ordnungsgemäß ausgeführt werden. Weiter, Die Sprache hat die Fähigkeit, die notwendigen Bibliotheken statisch zu kompilieren, was die Sicherheitsanalyse erheblich erschwert.
Alle gesammelten Agenda-Beispiele waren 64-Bit-PE [Portable ausführbare Datei] Dateien, die in Go geschrieben wurden, und speziell auf Windows-Systeme abzielt. Die Untersuchung ergab, dass die Proben Konten durchgesickert waren, Kundenpasswörter, und eindeutige Firmen-IDs, die als Erweiterungen verschlüsselter Dateien verwendet werden.
Die Forscher glauben, dass Qilin, die Bedrohungsgruppe hinter der Agenda-Ransomware, bietet „Affiliate-Optionen, um konfigurierbare binäre Payloads für jedes Opfer anzupassen, einschließlich Details wie Firmen-ID, RSA-Schlüssel, und Prozesse und Dienste vor der Datenverschlüsselung zu töten,“ gem der Bericht. Auch die geforderte Lösegeldsumme war von Unternehmen zu Unternehmen unterschiedlich, zwischen 50.000 und 800.000 US-Dollar.
Agenda weist Ähnlichkeiten mit anderen Ransomware-Familien auf
Nach dem Bericht, Agenda teilt Ähnlichkeiten mit der Schwarze Basta, Schwarze Materie, und REvil-Ransomware. In Bezug auf Zahlungsseiten und die Implementierung der Benutzerverifizierung über eine Tor-Seite, die Ransomware erinnert an Black Basta und Black Matter. Mit REvil, Die Ransomware teilt die Funktionalität zum Ändern von Windows-Passwörtern und Neustarten im Sage-Modus über einen bestimmten Befehl.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: