Un nuevo aumento en las infecciones por ransomware se ha observado globalmente debido a una variante mejorada, conocida también como Qilin y Water Galura. Este grupo de ransomware fue inicialmente detectado en 2022 y ha evolucionado desde su primera versión escrita en Golang hacia una versión en Rust, un lenguaje que permite una mayor portabilidad entre diferentes sistemas operativos.
Recientemente, se ha identificado una nueva variante de Agenda que está dirigida específicamente a servidores VMware vCenter y ESXi, los cuales son objetivos atractivos debido a la criticidad de los sistemas y aplicaciones que albergan. Esta nueva versión del ransomware se propaga a través de Cobalt Strike o herramientas de monitoreo remoto y utiliza un script de PowerShell para propagarse a servidores ESXi.
Una vez infectado, el malware cambia la contraseña raíz y utiliza SSH para cargar la carga útil maliciosa. Esta versión también incluye nuevas funcionalidades, como la capacidad de imprimir la nota de rescate y evadir la detección utilizando controladores SYS vulnerables.
El aumento del ransomware en entornos de virtualización representa un riesgo significativo para las organizaciones, ya que almacenan una variedad de datos confidenciales en estos servidores.
Se recomienda medidas como la vigilancia de los privilegios administrativos, actualizaciones periódicas de seguridad, análisis y copias de seguridad de datos, educación sobre ingeniería social y prácticas de ciberhigiene.
Hacia finales de 2022, los propietarios de Agenda reescribieron su malware en Rust, un lenguaje útil para los autores de malware que buscan difundir su trabajo en todos los sistemas operativos. Con la variante Rust, Agenda pudo comprometer a organizaciones de finanzas, derecho, construcción y más, predominantemente en los EE. UU., pero también en Argentina, Australia, Tailandia y otros lugares.
Las infecciones comienzan cuando el binario de ransomware se entrega a través de Cobalt Strike o una herramienta de administración y monitoreo remoto (RMM). Un script de PowerShell integrado en el binario permite que el ransomware se propague a través de servidores vCenter y ESXi.
Una vez difundido adecuadamente, el malware cambia la contraseña raíz en todos los hosts ESXi, bloqueando así a sus propietarios, y luego utiliza Secure Shell (SSH) para cargar la carga útil maliciosa.
Este nuevo malware Agenda, más potente, comparte la misma funcionalidad que su predecesor: escanear o excluir ciertas rutas de archivos, propagarse a máquinas remotas a través de PsExec, cronometrar con precisión el momento en que se ejecuta la carga útil, etc. Pero también agrega una serie de comandos nuevos para escalar privilegios, hacerse pasar por tokens, deshabilitar clústeres de máquinas virtuales y más.
Una nueva característica frívola pero psicológicamente impactante permite a los piratas informáticos imprimir su nota de rescate, en lugar de simplemente presentarla en un monitor infectado.
Los atacantes ejecutan activamente todos estos comandos a través de un shell, lo que les permite llevar a cabo sus comportamientos maliciosos sin dejar ningún archivo como evidencia.
El ransomware, que alguna vez fue exclusivo de Windows, ha florecido en Linux y VWware e incluso en macOS , gracias a la cantidad de información confidencial que las empresas guardan en estos entornos.
"Las organizaciones almacenan una variedad de datos en servidores ESXi, incluida información confidencial como datos de clientes, registros financieros y propiedad intelectual. También pueden almacenar copias de seguridad de sistemas y aplicaciones críticos en servidores ESXi", explica Hilt. Los atacantes de ransomware se aprovechan de este tipo de información confidencial, mientras que otros actores de amenazas podrían utilizar estos mismos sistemas como plataforma de lanzamiento para futuros ataques a la red.
Se recomienda medidas como la vigilancia de los privilegios administrativos, actualizaciones periódicas de seguridad, análisis y copias de seguridad de datos, educación sobre ingeniería social y prácticas de ciberhigiene -Nate Nelson, Escritor independiente.
SentinelOne tiene una forma eficiente de proteger los archivos de informacion contra las amenazas sofisticadas de hoy en día,ofrece protección diferenciada de puntos finales, detección y respuesta de puntos finales, seguridad lot, seguridad en la nube, y capacidades de operaciones de TI.
