Agenda è un nuovo ceppo di ransomware Golang rivolto specificamente alle organizzazioni sanitarie e educative in Indonesia, Thailandia, Sud Africa, e Arabia Saudita.
Scoperto dai ricercatori Trend Micro, Agenda ransomware può riavviare i sistemi compromessi in modalità provvisoria e può tentare di impedire l'esecuzione di più processi e servizi specifici del server. Inoltre, il ransomware ha numerose modalità di esecuzione e può essere personalizzato per ogni vittima. I campioni raccolti da Trend Micro includono ID azienda univoci e dettagli dell'account trapelati.
Agenda Ransomware: Specifiche tecniche
Malware scritto in Go (Lingua Golang) sta diventando più comune nel panorama delle minacce. Va notato che i programmi Go sono standalone e multipiattaforma, il che significa che verranno eseguiti correttamente anche senza un interprete Go installato sul sistema. Inoltre, il linguaggio ha la capacità di compilare staticamente le librerie necessarie, rendendo l'analisi della sicurezza molto più difficile.
Tutti i campioni di Agenda raccolti erano PE a 64 bit [Eseguibile portatile] file scritti in Go, e in particolare per i sistemi Windows. L'indagine ha rivelato che i campioni avevano trapelato i conti, password dei clienti, e ID azienda univoci utilizzati come estensioni di file crittografati.
I ricercatori ritengono che Qilin, il gruppo di minacce dietro Agenda ransomware, offre “opzioni di affiliazione per personalizzare i payload binari configurabili per ogni vittima, inclusi dettagli come l'ID azienda, chiave RSA, e processi e servizi da uccidere prima della crittografia dei dati,” come per il rapporto. Anche l'importo del riscatto richiesto variava da compagnia a compagnia, che vanno da US $ 50.000 a US $ 800.000.
Agenda condivide somiglianze con altre famiglie di ransomware
Secondo il rapporto, Agenda condivide somiglianze con il Nero Basta, Materia Nera, e REvil ransomware. Per quanto riguarda i siti di pagamento e l'implementazione della verifica dell'utente tramite un sito Tor, il ransomware ricorda Black Basta e Black Matter. Con REvil, il ransomware condivide la funzionalità di modifica delle password di Windows e di riavvio in modalità sage tramite un comando particolare.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: