Được viết bằng ngôn ngữ lập trình đa nền tảng Golang, mã độc mới này có khả năng khởi động lại hệ thống ở chế độ an toàn (Safe mode) và chấm dứt các tiến trình và dịch vụ dành riêng cho máy chủ. Agenda nhắm mục tiêu vào các hệ thống Windows và đã được sử dụng trong các cuộc tấn công nhắm vào các tổ chức chăm sóc sức khỏe, giáo dục tại Indonesia, Ả Rập thống nhất, Nam Phi và Thái Lan.
Theo quan sát của Trend Micro, các mẫu mã độc đã được tùy chỉnh cho từng nạn nhân, số tiền chuộc yêu cầu cũng khác nhau, dao động trong khoảng 50.000 - 800.000 USD.
“Mỗi mẫu mã độc tống tiền đều được tùy chỉnh cho nạn nhân mục tiêu. Theo điều tra của chúng tôi, các mẫu mã độc sử dụng tài khoản, mật khẩu khách hàng và ID công ty làm phần mở rộng của các tệp bị mã hóa”, Trend Micro cho biết.
Công ty bảo mật này cũng phát hiện các bài đăng trên diễn đàn dard web liên quan đến Agenda của một người dùng có tên “Qilin” và tin rằng người dùng này đang cung cấp phần mềm tống tiền cho các nhóm tin tặc khác nhau để tùy chỉnh payload với thông tin chi tiết về nạn nhân, bao gồm: ID, khóa RSA, các tiến trình và các dịch vụ sẽ bị chấm dứt trước khi mã hóa.
Agenda hỗ trợ một số đối số dòng lệnh, xây dựng cấu hình runtime để xác định hành vi, loại bỏ các bản sao, chấm dứt các tiến trình và dịch vụ antivirus khác nhau, đồng thời tạo một mục tự động khởi động trỏ vào một bản sao của chính nó. Hơn nữa, mã độc tống tiền này thay đổi mật khẩu của người dùng mặc định và sau đó cho phép đăng nhập tự động bằng thông tin đăng nhập đã sửa đổi. Nó khởi động lại thiết bị ở chế độ an toàn và bắt đầu mã hóa dữ liệu khi khởi động lại.
Cách thức hoạt động của Agenda
Là một phần của một cuộc tấn công, tin tặc đã sử dụng máy chủ Citrix công khai đóng vai trò là một điểm vào để thực hiện thỏa hiệp ban đầu, có thể là thông qua tài khoản hợp lệ và sử dụng máy chủ để truy cập mạng của nạn nhân. Đồng thời, tin tặc cũng sử dụng thông tin đăng nhập bị rò rỉ để kết nối với dịch vụ Active Directory thông qua giao thức truy cập từ xa (RDP) và cài đặt các công cụ dò quét như Nmap, Nping để lập bản đồ mạng. Nó cũng tạo một Chính sách nhóm (Group Policty) và triển khai mã độc trên tất cả các máy.
“Agenda lợi dụng các tài khoản cục bộ để đăng nhập với tư cách là người dùng giả mạo và thực thi mã nhị phân độc hại, tiếp tục mã hóa các máy khác nếu đăng nhập thành công. Nó cũng chấm dứt nhiều quy trình và dịch vụ, đồng thời đảm bảo sự tồn tại lâu dài bằng cách đưa DLL vào svchost.exe”, Trend Micro lưu ý.
Theo đánh giá của Trend Micro, Agenda có nhiều điểm tương đồng với các dòng mã độc tống tiền nổi tiếng như Black Basta, Black Matter và REvil (hay còn gọi là Sodinokibi). Cụ thể, trang web thanh toán và xác minh người dùng được triển khai trên trang Tor của Agenda giống với Black Basta và Black Matter, trong khi khả năng thay đổi mật khẩu Windows và khởi động lại hệ thống ở chế độ an toàn tương tự như Black Basta và REvil.
Hồng Đạt
(Theo SecurityWeek)
12:00 | 12/08/2022
14:00 | 29/09/2022
11:00 | 11/11/2022
11:00 | 03/10/2022
17:00 | 29/12/2022
07:00 | 20/05/2022
12:00 | 23/09/2022
16:00 | 28/11/2022
10:00 | 14/06/2022
12:00 | 30/06/2022
09:00 | 21/05/2024
Hơn 50% trong số 90.310 máy chủ được phát hiện đang triển khai dịch vụ Tinyproxy trên Internet dễ bị tấn công bởi một lỗ hổng bảo mật nghiêm trọng chưa được vá trong công cụ proxy HTTP/HTTPS.
14:00 | 17/05/2024
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
Hơn 50% trong số 90.310 máy chủ được phát hiện đang triển khai dịch vụ Tinyproxy trên Internet dễ bị tấn công bởi một lỗ hổng bảo mật nghiêm trọng chưa được vá trong công cụ proxy HTTP/HTTPS.
09:00 | 21/05/2024