Novo Ransomware Agenda está visando setor de Infraestrutura Crítica
Uma variante do ransomware Agenda foi escrita em Rust, tornando-o o malware mais recente a adotar a linguagem de programação de plataforma cruzada após BlackCat, Hive, Luna e RansomExx. O Agenda, atribuído a um operador chamado Qilin, é um grupo de ransomware como serviço (RaaS), vinculado a uma série de ataques direcionados principalmente aos setores de manufatura e TI em diferentes países.
Uma versão anterior do ransomware, escrita em Go destacava os setores de saúde e educação em países como Indonésia, Arábia Saudita, África do Sul e Tailândia. O malware, expande a ideia de criptografia parcial (também conhecida como criptografia intermitente) configurando parâmetros que são usados para determinar a porcentagem do conteúdo do arquivo a ser criptografado. Essa tática está se tornando mais popular entre os grupos de ransomware, pois permite que eles criptografem mais rapidamente e evitem detecções que dependem fortemente de operações de leitura e gravação de arquivos.
Além disso, a versão Rust do Agenda é capaz de encerrar o processo Windows AppInfo e desabilitar o Controle de Conta de Usuário (UAC), o último dos quais ajuda a mitigar o impacto do malware ao exigir acesso administrativo para iniciar um programa ou tarefa. A linguagem Rust está se tornando mais popular entre os agentes de ameaças, pois é mais difícil de analisar e tem uma taxa de detecção mais baixa pelos mecanismos antivírus.
Fonte: BoletimSec
Publicado em: Cybersegurança