Die Ransomware-Gruppe Agenda, bekannt auch unter den Aliassen Qilin und Water Galura, intensiviert ihre globalen Angriffe. Mit dem Fokus auf kritische Branchen wie Finanzen und Recht hat sich die Gruppe nun ein neues, hochsensibles Ziel gesetzt: VMware vCenter und ESXi-Server.
Zunehmende Bedrohung durch Agenda
Seit ihrer Identifizierung im Jahr 2022 hat sich Agenda rasant entwickelt und zeigt ein tiefes Verständnis für Sicherheitsanfälligkeiten. Laut Trend Micro, einer führenden Cybersicherheitsfirma, hat die Anzahl der Angriffe seit Dezember 2023 merklich zugenommen. Dies deutet darauf hin, dass die Gruppe entweder ihre Operationen ausweitet oder effektiver in der Zielerreichung wird.
Technische Einblicke
Agenda setzt auf eine besonders heimtückische Angriffsmethode. Die Gruppe nutzt Fernüberwachungs- und -managementtools sowie Cobalt Strike, um ihre Ransomware zu verbreiten. Die Schadsoftware kann sich mittels PsExec und SecureShell weiterverbreiten und nutzt verschiedene angreifbare SYS-Treiber zur Umgehung der Verteidigung.
Seitwärtsbewegung und Verteidigungsumgehung
Besonders besorgniserregend ist Agendas Fähigkeit, sich auf VMWare vCenter und ESXi-Servern auszubreiten. Mittels eines angepassten PowerShell-Skripts kann sich die Ransomware über die virtuelle Infrastruktur ausbreiten, was zu erheblichen Datenverlusten, finanziellen Schäden und Dienstunterbrechungen führen kann. Die Gruppe setzt außerdem auf die BYOVD-Technik (Bring Your Own Vulnerable Driver) zur Umgehung der Erkennung, indem sie verschiedene anfällige Treiber verwendet, um Sicherheitstools zu deaktivieren.
Empfehlungen zur Verteidigung
Organisationen wird geraten, einen mehrschichtigen Sicherheitsansatz zu verfolgen, um sich gegen die Bedrohung durch Agenda und ähnliche Ransomware zu schützen. Dazu gehören die sparsame Vergabe von administrativen Rechten, regelmäßige Sicherheitsüberprüfungen, Datensicherungen, sicheres Email- und Web-Browsing-Verhalten sowie die Schulung von Nutzern über Risiken durch Social Engineering.
Der Fokus der Agenda Ransomware-Gruppe auf VMWare vCenter und ESXi-Server markiert eine bedeutende Eskalation in der Bedrohungslandschaft. Während diese Angriffe sich weiterentwickeln, müssen Organisationen wachsam bleiben und robuste Cybersicherheitsmaßnahmen implementieren, um ihre kritische Infrastruktur vor diesen zunehmend ausgeklügelten Bedrohungen zu schützen.