Группировка Agenda, также известная как Qilin или Water Galura, увеличивает количество заражений по всему миру благодаря новому и улучшенному варианту своей программы-вымогателя, ориентированной на виртуальные машины. Её первая программа-вымогатель на базе ” data-html=”true” data-original-title=”Golang” >Golang была обнаружена в 2022 году и использовалась против широкого круга целей в здравоохранении, производстве и образовании, от Канады до Индонезии.
Согласно недавнему отчёту компании Trend Micro, в последнее время группа продолжает заражать своим вредоносом жертв по всему миру, причём США, Аргентина, Австралия и Таиланд входят в число основных целей злоумышленников на данный момент. Финансовая сфера, IT-компании и юридические фирмы сейчас являются самыми желаемыми секторами группы для атак.
С декабря 2023 года наблюдается значительный рост числа обнаружений Agenda по сравнению с ноябрём того же года. Это может свидетельствовать как об активизации операторов, так и о расширении числа атакуемых целей.
В последних версиях Agenda присутствуют обновления для варианта на языке Rust. Согласно наблюдениям, группировка использует инструменты удалённого мониторинга и управления (RMM), а также Cobalt Strike для развёртывания вредоносного исполняемого файла. Сам исполняемый файл Agenda способен распространяться через PsExec и SecureShell, а также применять различные уязвимые SYS-драйверы для обхода защитных механизмов.
Среди новых функций Agenda – возможность печатать требование о выкупе на подключенных принтерах. Вредонос копирует текст в “%User Temp%{Generated file name}” и выполняет команды для вывода содержимого файла на указанный принтер.
Для обхода средств защиты Agenda прибегает к технике Bring Your Own Vulnerable Driver (BYOVD), используя различные уязвимые драйверы для отключения разных систем безопасности в каждой цепочке заражения. Наблюдалось применение публичных утилит YDark и Spyboy’s Terminator.
Ещё одно обновление – возможность распространяться на VMware vCenter и серверы
VMware ESXi широко используется в корпоративной среде для создания и управления виртуальными инфраструктурами. Она предлагает функциональность, такую как миграция виртуальных машин между физическими серверами, управление резервированием ресурсов, сетевую виртуализацию и многое другое. ESXi также интегрируется с другими продуктами VMware, такими как VMware vCenter Server, для централизованного управления и мониторинга виртуальных сред.