В этом году такие группировки, как BlackCat, Hive и RansomExx, разработали версии своих программ на языке Rust - кроссплатформенном языке, который облегчает адаптацию вредоносного ПО к различным операционным системам, таким как Windows и Linux. В этой записи блога мы проливаем свет на Agenda (также известную как Qilin), еще одну группу разработчиков программ для выкупа, которая начала использовать этот язык.
Согласно наблюдениям Trendmicro за последний месяц, деятельность Agenda ransomware включала размещение информации о многочисленных компаниях на своем сайте утечки. Участники угрозы не только утверждали, что им удалось взломать серверы этих компаний, но и угрожали опубликовать их файлы. Компании, которые группа ransomware размещает на своем сайте утечек, расположены в разных странах и относятся в основном к производственной и ИТ-индустрии, а их совокупный доход превышает 550 миллионов долларов США.
Недавно Trendmicro обнаружили образец программы Agenda ransomware, написанной на языке Rust и обнаруженной как Ransom.Win32.AGENDA.THIAFBB. Примечательно, что та же самая программа-вымогатель, изначально написанная на языке Go, была известна как атака на секторы здравоохранения и образования в таких странах, как Таиланд и Индонезия. Действующие лица адаптировали предыдущие двоичные файлы ransomware для предполагаемой жертвы, используя в качестве расширения файла конфиденциальную информацию, такую как утечка учетных записей и уникальные идентификаторы компаний. Вариант Rust также был замечен в использовании прерывистого шифрования - одной из новых тактик, которую сегодня используют угрозы для более быстрого шифрования и уклонения от обнаружения.
Indicators of Compromise
Domains
- repo.ark-event.net
MD5
- 14dec91fdcaab96f51382a43adb84016
- 334fd98ab462edc1274fecdb89fb0791
- 6a93e618e467ed13f98819172e24fffa
- 86bee4b59b6bc73bcee8842e7244a637
SHA1
- 54d6826e3b733655a74ac246fda20b72f2599c41
- a85d9d2a3913011cd282abc7d9711b2346c23899
- d34550ebc2bee47c708c8e048eb78881468e6bca
- e3496a341c96d77c0ef9bdeec333dd98e2215527
SHA256
- 143614d31bdafc026827e8500bdc254fc1e5d877cb96764bb1bd03afa2de2320
- 202ac3d32871cb3bf91b7c49067bfc935fbc7f0499d357efead1e9f7f5fcb9d1
- 37546b811e369547c8bd631fa4399730d3bdaff635e744d83632b74f44f56cf6
- 4e65ec5dee182070e7b59db5bb414e73fe87fd181b3fc95f28fe964bc84d2f1f
- 55e070a86b3ef2488d0e58f945f432aca494bfe65c9c4363d739649225efbbd1
- 93738314c07ea370434ac30dad6569c59a9307d8bbde0e6df9be9e2a7438a251
- e3361727564b14f5ee19c40f4e8714fab847f41d9782b157ea49cc3963514c25
- e90bdaaf5f9ca900133b699f18e4062562148169b29cb4eb37a0577388c22527
- eb57788fd2451b90d943a6a796ac5e79f0faf7151a62c1d07b744a351dcfa382
- f9c7dd489dd56e10c4e003e38428fe06097aca743cc878c09bf2bda235c73e30