Agenda es una nueva variedad del ransomware Golang que se dirige específicamente a las organizaciones de salud y educación en Indonesia., Tailandia, Sudáfrica, y Arabia Saudita.
Descubierto por investigadores de Trend Micro, Agenda ransomware puede reiniciar sistemas comprometidos en modo seguro y puede intentar evitar que se ejecuten múltiples procesos y servicios específicos del servidor. Además, el ransomware tiene numerosos modos de ejecución y se puede personalizar para cada víctima. Las muestras recopiladas por Trend Micro incluyen identificaciones de empresas únicas y detalles de cuentas filtrados..
programa ransomware: Especificaciones técnicas
Malware escrito en Go (idioma golang) se está volviendo más común en el panorama de amenazas. Cabe señalar que los programas de Go son independientes y multiplataforma., lo que significa que se ejecutarán correctamente incluso sin un intérprete Go instalado en el sistema. Además, el lenguaje tiene la capacidad de compilar las bibliotecas necesarias estáticamente, hacer que el análisis de seguridad sea mucho más difícil.
Todas las muestras de Agenda recopiladas eran PE de 64 bits [Ejecutable portátil] archivos escritos en Go, y apuntando específicamente a los sistemas Windows. La investigación reveló que las muestras habían filtrado cuentas, contraseñas de clientes, e identificaciones únicas de empresas utilizadas como extensiones de archivos cifrados.
Los investigadores creen que Qilin, el grupo de amenazas detrás del ransomware Agenda, ofrece "opciones de afiliados para personalizar payloads binarios configurables para cada víctima, incluyendo detalles como la identificación de la empresa, de claves RSA, y procesos y servicios para matar antes del cifrado de datos,” según el informe. El monto del rescate exigido también varió de una empresa a otra., que van desde US $ 50,000 a US $ 800,000.
Agenda comparte similitudes con otras familias de ransomware
De acuerdo con el informe, Agenda comparte similitudes con el basta negra, materia negra, y REvil ransomware. Con respecto a los sitios de pago y la implementación de la verificación del usuario a través de un sitio Tor, el ransomware recuerda a Black Basta y Black Matter. con REvil, el ransomware comparte la funcionalidad de cambiar las contraseñas de Windows y reiniciar en modo sabio a través de un comando particular.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: