Được viết bằng ngôn ngữ lập trình đa nền tảng Golang, mã độc mới này có khả năng khởi động lại hệ thống ở chế độ an toàn (Safe mode) và chấm dứt các tiến trình và dịch vụ dành riêng cho máy chủ. Agenda nhắm mục tiêu vào các hệ thống Windows và đã được sử dụng trong các cuộc tấn công nhắm vào các tổ chức chăm sóc sức khỏe, giáo dục tại Indonesia, Ả Rập thống nhất, Nam Phi và Thái Lan.
Theo quan sát của Trend Micro, các mẫu mã độc đã được tùy chỉnh cho từng nạn nhân, số tiền chuộc yêu cầu cũng khác nhau, dao động trong khoảng 50.000 - 800.000 USD.
“Mỗi mẫu mã độc tống tiền đều được tùy chỉnh cho nạn nhân mục tiêu. Theo điều tra của chúng tôi, các mẫu mã độc sử dụng tài khoản, mật khẩu khách hàng và ID công ty làm phần mở rộng của các tệp bị mã hóa”, Trend Micro cho biết.
Công ty bảo mật này cũng phát hiện các bài đăng trên diễn đàn dard web liên quan đến Agenda của một người dùng có tên “Qilin” và tin rằng người dùng này đang cung cấp phần mềm tống tiền cho các nhóm tin tặc khác nhau để tùy chỉnh payload với thông tin chi tiết về nạn nhân, bao gồm: ID, khóa RSA, các tiến trình và các dịch vụ sẽ bị chấm dứt trước khi mã hóa.
Agenda hỗ trợ một số đối số dòng lệnh, xây dựng cấu hình runtime để xác định hành vi, loại bỏ các bản sao, chấm dứt các tiến trình và dịch vụ antivirus khác nhau, đồng thời tạo một mục tự động khởi động trỏ vào một bản sao của chính nó. Hơn nữa, mã độc tống tiền này thay đổi mật khẩu của người dùng mặc định và sau đó cho phép đăng nhập tự động bằng thông tin đăng nhập đã sửa đổi. Nó khởi động lại thiết bị ở chế độ an toàn và bắt đầu mã hóa dữ liệu khi khởi động lại.
Cách thức hoạt động của Agenda
Là một phần của một cuộc tấn công, tin tặc đã sử dụng máy chủ Citrix công khai đóng vai trò là một điểm vào để thực hiện thỏa hiệp ban đầu, có thể là thông qua tài khoản hợp lệ và sử dụng máy chủ để truy cập mạng của nạn nhân. Đồng thời, tin tặc cũng sử dụng thông tin đăng nhập bị rò rỉ để kết nối với dịch vụ Active Directory thông qua giao thức truy cập từ xa (RDP) và cài đặt các công cụ dò quét như Nmap, Nping để lập bản đồ mạng. Nó cũng tạo một Chính sách nhóm (Group Policty) và triển khai mã độc trên tất cả các máy.
“Agenda lợi dụng các tài khoản cục bộ để đăng nhập với tư cách là người dùng giả mạo và thực thi mã nhị phân độc hại, tiếp tục mã hóa các máy khác nếu đăng nhập thành công. Nó cũng chấm dứt nhiều quy trình và dịch vụ, đồng thời đảm bảo sự tồn tại lâu dài bằng cách đưa DLL vào svchost.exe”, Trend Micro lưu ý.
Theo đánh giá của Trend Micro, Agenda có nhiều điểm tương đồng với các dòng mã độc tống tiền nổi tiếng như Black Basta, Black Matter và REvil (hay còn gọi là Sodinokibi). Cụ thể, trang web thanh toán và xác minh người dùng được triển khai trên trang Tor của Agenda giống với Black Basta và Black Matter, trong khi khả năng thay đổi mật khẩu Windows và khởi động lại hệ thống ở chế độ an toàn tương tự như Black Basta và REvil.
Hồng Đạt
(Theo SecurityWeek)
12:00 | 12/08/2022
14:00 | 29/09/2022
11:00 | 11/11/2022
11:00 | 03/10/2022
17:00 | 29/12/2022
07:00 | 20/05/2022
12:00 | 23/09/2022
16:00 | 28/11/2022
10:00 | 14/06/2022
12:00 | 30/06/2022
16:00 | 27/09/2024
Một chiến dịch quốc tế phối hợp giữa các cơ quan thực thi pháp luật đã thành công trong việc triệt phá một mạng lưới tội phạm tinh vi chuyên mở khóa điện thoại di động bị mất hoặc đánh cắp. Mạng lưới này đã sử dụng nền tảng lừa đảo tự động iServer để đánh cắp thông tin đăng nhập của hàng trăm nghìn nạn nhân trên toàn thế giới.
08:00 | 26/09/2024
Theo dữ liệu mới từ Kaspersky, tình hình an ninh mạng Việt Nam đã có những dấu hiệu tích cực trong quý II/2024 so với cùng kỳ năm trước. Tuy nhiên, trước sự gia tăng và phức tạp của các loại hình tấn công mạng, việc duy trì cảnh giác cao độ và đầu tư vào các giải pháp bảo mật vẫn là nhiệm vụ cần được ưu tiên hàng đầu.
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
16:00 | 06/08/2024
Nhóm tin tặc Stargazer Goblin thực hiện phân phối dưới dạng dịch vụ (DaaS) phần mềm độc hại từ hơn 3.000 tài khoản giả mạo trên GitHub.
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
09:00 | 08/10/2024