Agenda est une nouvelle souche de rançongiciel Golang ciblant spécifiquement les organisations de santé et d'éducation en Indonésie, Thaïlande, Afrique du Sud, et Arabie Saoudite.
Découvert par les chercheurs de Trend Micro, Le rançongiciel Agenda peut redémarrer les systèmes compromis en mode sans échec et peut tenter d'empêcher l'exécution de plusieurs processus et services spécifiques au serveur.. En outre, le ransomware a de nombreux modes d'exécution et peut être personnalisé pour chaque victime. Les échantillons collectés par Trend Micro incluent des identifiants d'entreprise uniques et des détails de compte divulgués.
Agenda Ransomware: Spécifications techniques
Logiciels malveillants écrits en Go (Langue Golang) est de plus en plus courant dans le paysage des menaces. Il convient de noter que les programmes Go sont autonomes et multiplateformes, ce qui signifie qu'ils s'exécuteront correctement même sans interpréteur Go installé sur le système. En outre, le langage a la capacité de compiler les bibliothèques nécessaires de manière statique, rendant l'analyse de la sécurité beaucoup plus difficile.
Tous les échantillons d'Agenda collectés étaient PE 64 bits [Exécutable portable] fichiers écrits en Go, et ciblant spécifiquement les systèmes Windows. L'enquête a révélé que les échantillons avaient divulgué des comptes, mots de passe client, et des identifiants d'entreprise uniques utilisés comme extensions de fichiers cryptés.
Les chercheurs pensent que Qilin, le groupe de menaces derrière le rançongiciel Agenda, offre "des options d'affiliation pour personnaliser les charges utiles binaires configurables pour chaque victime, y compris des détails tels que l'ID de l'entreprise, clé RSA, et processus et services à tuer avant le cryptage des données,» selon le rapport. Le montant de la rançon demandée variait également d'une entreprise à l'autre, allant de 50 000 USD à 800 000 USD.
Agenda partage des similitudes avec d'autres familles de ransomwares
Selon le rapport, Agenda partage des similitudes avec le Basta noir, Matière noire, et ransomware REvil. Concernant les sites de paiement et la mise en place de la vérification des utilisateurs via un site Tor, le ransomware rappelle Black Basta et Black Matter. Avec REvil, le ransomware partage la fonctionnalité de modification des mots de passe Windows et de redémarrage en mode sage via une commande particulière.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: