Agenda Ransomware IOCs

ransomware IOC

В этом году такие группировки, как BlackCat, Hive и RansomExx, разработали версии своих программ на языке Rust - кроссплатформенном языке, который облегчает адаптацию вредоносного ПО к различным операционным системам, таким как Windows и Linux. В этой записи блога мы проливаем свет на Agenda (также известную как Qilin), еще одну группу разработчиков программ для выкупа, которая начала использовать этот язык.

Согласно наблюдениям Trendmicro за последний месяц, деятельность Agenda ransomware включала размещение информации о многочисленных компаниях на своем сайте утечки. Участники угрозы не только утверждали, что им удалось взломать серверы этих компаний, но и угрожали опубликовать их файлы. Компании, которые группа ransomware размещает на своем сайте утечек, расположены в разных странах и относятся в основном к производственной и ИТ-индустрии, а их совокупный доход превышает 550 миллионов долларов США.

Недавно Trendmicro обнаружили образец программы Agenda ransomware, написанной на языке Rust и обнаруженной как Ransom.Win32.AGENDA.THIAFBB. Примечательно, что та же самая программа-вымогатель, изначально написанная на языке Go, была известна как атака на секторы здравоохранения и образования в таких странах, как Таиланд и Индонезия. Действующие лица адаптировали предыдущие двоичные файлы ransomware для предполагаемой жертвы, используя в качестве расширения файла конфиденциальную информацию, такую как утечка учетных записей и уникальные идентификаторы компаний. Вариант Rust также был замечен в использовании прерывистого шифрования - одной из новых тактик, которую сегодня используют угрозы для более быстрого шифрования и уклонения от обнаружения.

Indicators of Compromise

Domains

  • repo.ark-event.net

MD5

  • 14dec91fdcaab96f51382a43adb84016
  • 334fd98ab462edc1274fecdb89fb0791
  • 6a93e618e467ed13f98819172e24fffa
  • 86bee4b59b6bc73bcee8842e7244a637

SHA1

  • 54d6826e3b733655a74ac246fda20b72f2599c41
  • a85d9d2a3913011cd282abc7d9711b2346c23899
  • d34550ebc2bee47c708c8e048eb78881468e6bca
  • e3496a341c96d77c0ef9bdeec333dd98e2215527

SHA256

  • 143614d31bdafc026827e8500bdc254fc1e5d877cb96764bb1bd03afa2de2320
  • 202ac3d32871cb3bf91b7c49067bfc935fbc7f0499d357efead1e9f7f5fcb9d1
  • 37546b811e369547c8bd631fa4399730d3bdaff635e744d83632b74f44f56cf6
  • 4e65ec5dee182070e7b59db5bb414e73fe87fd181b3fc95f28fe964bc84d2f1f
  • 55e070a86b3ef2488d0e58f945f432aca494bfe65c9c4363d739649225efbbd1
  • 93738314c07ea370434ac30dad6569c59a9307d8bbde0e6df9be9e2a7438a251
  • e3361727564b14f5ee19c40f4e8714fab847f41d9782b157ea49cc3963514c25
  • e90bdaaf5f9ca900133b699f18e4062562148169b29cb4eb37a0577388c22527
  • eb57788fd2451b90d943a6a796ac5e79f0faf7151a62c1d07b744a351dcfa382
  • f9c7dd489dd56e10c4e003e38428fe06097aca743cc878c09bf2bda235c73e30
SEC-1275-1
Добавить комментарий