Agenda is een nieuwe variant van Golang-ransomware die specifiek gericht is op zorg- en onderwijsorganisaties in Indonesië, Thailand, Zuid-Afrika, en Saoedi-Arabië.
Ontdekt door onderzoekers van Trend Micro, Agenda-ransomware kan gecompromitteerde systemen opnieuw opstarten in de veilige modus en kan proberen te voorkomen dat meerdere serverspecifieke processen en services worden uitgevoerd. Bovendien, de ransomware heeft verschillende modi om uit te voeren en kan voor elk slachtoffer worden aangepast. De monsters die Trend Micro heeft verzameld, bevatten unieke bedrijfs-ID's en gelekte accountgegevens.
Agenda-ransomware: Technische specificaties
Malware geschreven in Go (Golang-taal) komt steeds vaker voor in het dreigingslandschap. Opgemerkt moet worden dat Go-programma's standalone en platformonafhankelijk zijn, wat betekent dat ze correct worden uitgevoerd, zelfs zonder dat er een Go-interpreter op het systeem is geïnstalleerd. Bovendien, de taal heeft de mogelijkheid om de benodigde bibliotheken statisch te compileren, beveiligingsanalyse veel moeilijker maken.
Alle verzamelde Agenda-samples waren 64-bits PE [Draagbaar uitvoerbaar bestand] bestanden geschreven in Go, en specifiek gericht op Windows-systemen. Uit het onderzoek bleek dat de monsters accounts hadden gelekt, klant wachtwoorden, en unieke bedrijfs-ID's die worden gebruikt als extensies van versleutelde bestanden.
De onderzoekers geloven dat Qilin, de dreigingsgroep achter Agenda ransomware, biedt "affiliates-opties om configureerbare binaire payloads voor elk slachtoffer aan te passen", inclusief details zoals bedrijfs-ID, RSA-sleutel, en processen en services om te doden vóór de gegevensversleuteling," vanaf het verslag. Het gevraagde losgeldbedrag varieerde ook van bedrijf tot bedrijf, variërend van US $ 50.000 tot US $ 800.000.
Agenda deelt overeenkomsten met andere ransomware-families
Volgens het rapport, Agenda deelt overeenkomsten met de Zwarte Basta, zwarte materie, en REvil-ransomware. Betreffende betaalsites en de implementatie van gebruikersverificatie via een Tor-site, de ransomware doet denken aan Black Basta en Black Matter. Met REvil, de ransomware deelt de functionaliteit van het wijzigen van Windows-wachtwoorden en herstarten in salie-modus via een bepaalde opdracht.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: