資安研究員披露了一種用 Golang 編寫的名為“ Agenda ”的新勒索軟體,已發現針對印尼、沙特阿拉伯、南非和泰國的醫療保健和教育實體基於 Windows 的系統發動攻擊。
該勒索軟體以 Golang (Go) 跨平台編程語言編寫,從技術角度來看,Agenda 提供了多種功能,包括以安全模式重啟系統並停止特定於伺服器的進程和服務,以及運行多種模式。Agenda還具有檢測規避技術,更改使用者密碼並啟用自動登錄,Agenda利用受影響設備的安全模式功能來繼續其檔案加密而不被發現。Agenda使用 AES-256 加密檔案,並使用 RSA-2048 加密生成的密鑰。資安公司TrendMicro表示,觀察到的樣本都是客制化的,每個受害者要求的贖金金額也不同,介於 50,000 美元到 800,000 美元之間。
Agenda 除了利用本地帳戶憑證來執行勒索軟體二進製檔案外,還具有感染整個網路及其共享驅動程序的功能。在一個案例中,作為一次攻擊的一部分,攻擊者利用面向公眾的 Citrix 伺服器作為切入點,在經過一段時間的初步偵察後不到兩天內就部署了勒索軟體。
“勒索軟體還利用本地帳戶以欺騙用戶身份登錄並執行勒索軟體二進製檔案,如果登錄嘗試成功,則進一步加密其他機器。它還終止大量進程和服務,並通過將 DLL 注入 svchost.exe 來確保持久性”TrendMicro指出。
TrendMicro觀察到Agenda 與知名勒索軟體包括Black Basta、Black Matter和REvil(又名 Sodinokibi)之間的相似之處,具體來說,Agenda 的支付站點和在其 Tor 站點上實施的用戶驗證類似於 Black Basta 和 Black Matter,而在安全模式下更改 Windows 密碼和重啟系統的能力類似於 Black Basta 和 REvil。
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”