recent
أخبار ساخنة

برنامج الفدية Agenda Ransomware تهاجم خوادم ESXi عالمياً


تكثف  Agenda Ransomware الإصابات في جميع أنحاء العالم وذلك بفضل نسخة جديدة ومحسنة من برنامج الفدية الذي يركز على الآلة الافتراضية (virtual machine).

حددت Trend Micro متغيرًا جديدًا لبرنامج الفدية Agenda. يأتي هذا الإصدار الأخير المبني على Rust مزودًا بمجموعة متنوعة من الوظائف الجديدة وآليات التخفي، ويضع نصب عينيه بشكل مباشر خوادم VMware vCenter وESXi.

Agenda Ransomware

وتقول Trend Micro أن "هجمات برامج الفدية ضد خوادم ESXi تمثل اتجاهًا متناميًا". "إنها أهداف جذابة لهجمات برامج الفدية لأنها غالبًا ما تستضيف أنظمة وتطبيقات مهمة، ويمكن أن يكون تأثير الهجوم الناجح كبيرًا."

تم اكتشاف Agenda لأول مرة في عام 2022 وتم استخدام برنامج الفدية الأول المستند إلى Golang ضد مجموعة عشوائية من الأهداف شملت الرعاية الصحية والتصنيع والتعليم من كندا إلى كولومبيا وإندونيسيا.

في نهاية عام 2022، أعاد مالكو Agenda كتابة برامجهم الضارة بلغة Rust، وهي لغة مفيدة لمؤلفي البرامج الضارة الذين يتطلعون إلى نشر أعمالهم عبر أنظمة التشغيل. مع متغير Rust، تمكنت Agenda من اختراق المؤسسات في مجالات التمويل والقانون والبناء وغير ذلك، في الولايات المتحدة في الغالب ولكن أيضًا في الأرجنتين وأستراليا وتايلاند وأماكن أخرى.

تبدأ الإصابة عندما يتم تسليم برنامج الفدية الثنائي عبر Cobalt Strike أو أداة المراقبة والإدارة عن بعد (RMM). يسمح برنامج PowerShell المضمن في الملف الثنائي لبرنامج الفدية بالانتشار عبر خوادم vCenter وESXi.

بمجرد نشر البرنامج الضار (malware)  بشكل صحيح، يقوم بتغيير كلمة المرور الجذرية (root) على جميع مضيفي ESXi ثم يستخدم Secure Shell (SSH) للتحميل.

إحدى الميزات الجديدة ذات التأثير النفسي تسمح للمتسللين بطباعة مذكرة الفدية الخاصة بهم بدلاً من مجرد عرضها على شاشة مصابة.

يقوم المهاجمون بتنفيذ كل هذه الأوامر المختلفة بشكل فعال باستخدام "shell" مما يمكنهم من تنفيذ سلوكياتهم الضارة دون ترك أي ملفات خلفهم كدليل.

مخاطر برامج الفدية

لقد ازدهرت برامج الفدية التي كانت في السابق مقتصرة على نظام التشغيل Windows عبر Linux وVMware وحتى macOS، وذلك بفضل كمية المعلومات الحساسة التي تحتفظ بها الشركات داخل هذه البيئات.

وأوصت Trend Micro في تقريرها بأن تقوم المؤسسات المعرضة للخطر بمراقبة الصلاحبات "administrative privileges" عن كثب، وتحديث المنتجات الأمنية بانتظام، وإجراء عمليات الفحص، والنسخ الاحتياطي للبيانات، وتثقيف الموظفين.

google-playkhamsatmostaqltradent