Новый шифровальщик Agenda подстраивается под каждую жертву

Новый шифровальщик Agenda подстраивается под каждую жертву

Новый шифровальщик Agenda подстраивается под каждую жертву

Компания Trend Micro предупреждает о новой киберугрозе — семействе программ-вымогателей под названием Agenda. Особенностью этого вредоноса является способность подстраиваться под каждую жертву.

Agenda написан на Golang (Go), что позволяет адаптировать его под каждую платформу. Попав в систему, вымогатель может перезагружать ее в безопасный режим, а также завершать работу ряда процессов и служб.

Согласно отчету Trend Micro, операторы новой вредоносной программы выбрали в качестве основной цели компьютеры Windows. Вооружившись Agenda, злоумышленники атакуют организации сферы образования и здравоохранения.

Исследователи обнаружили несколько семплов, каждый из которых был заточен под конкретную жертву. Сумма требуемого выкупа варьируется от 50 до 800 тысяч долларов.

«Каждый образец вредоноса был кастомизирован под конкретную жертву. Наше расследование показало, что семплы сливали аккаунты, пароли клиентов и использовали уникальные идентификаторы каждой компании в качестве расширение для зашифрованных файлов», — пишет Trend Micro.

Кроме того, специалисты вышли на участника одного из форумов в даркнете, который, судя по всему, связан с распространением Agenda. Человек под ником “Qilin”, предположительно, предлагал шифровальщик партнерам, которые хотели кастомизировать пейлоады под каждую жертву.

Agenda поддерживает несколько параметров командной строки, способен удалять теневые копии, завершать процессы и останавливать службы антивирусов, а также создавать параметр автозапуска своей копии.

Более того, программа-вымогатель изменяет дефолтный пароль пользователя и активирует автоматический вход. После этого система перезагружается в безопасный режим, а вредонос начинает шифровать файлы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

80% увольняющихся пытаются прихватить данные компаний

Согласно статистике, полученной по итогам анализа 230 инцидентов, выявленных при пилотном внедрении DLP-системы Solar Dozor в 2024 году, 8 из 10 увольняющихся сотрудников пытаются забрать доступные им информационные активы, в том числе конфиденциальные данные.

Почти в половине случаев (38%) сотрудники, готовящиеся покинуть компанию, стремятся заполучить сведения о клиентах и партнёрах.

Как отмечают в ГК «Солар», подобные данные являются особенно востребованными и представляют повышенный интерес для конкурентов, которые стараются получить их любыми способами. Для этого нередко используются методы внедрения «своих» сотрудников либо попытки получения информации с помощью манипулятивных техник.

На втором месте по популярности находится интеллектуальная собственность, интерес к которой проявляют 22% увольняющихся сотрудников. В отдельных сегментах рынка, таких как IT, фармацевтика и другие отрасли, где ценность интеллектуальных разработок особенно велика, доля подобных попыток еще выше.

Замыкают тройку лидеров маркетинговые материалы, на которые приходится 18% случаев. Утечка этой информации также способна нанести серьёзный финансовый ущерб организации.

В 14% случаев предметом интереса являются материалы, разработка которых требует значительных трудозатрат. Это локальная нормативная база и другая документация, регулирующая внутренние бизнес-процессы компании. Владение такой информацией существенно повышает ценность сотрудника на новом месте работы.

Еще в 8% случаев сотрудники пытаются вынести любую доступную информацию, не разбирая её ценности. В ГК «Солар» отмечают, что именно данная категория представляет наибольшую угрозу, так как таким образом наружу могут попасть крайне чувствительные конфиденциальные сведения, сам факт утечки которых компания узнаёт лишь тогда, когда информация уже стала публичной.

«Если говорить о каналах вывода данных увольняющимися сотрудниками, то чаще всего используются съемные носители и файлообменные сервисы. Эти каналы позволяют выгружать большие массивы информации, включая архивы документов, конструкторскую документацию и стратегические планы. Важно не только контролировать сами каналы передачи данных, но и отслеживать аномальное поведение сотрудников, особенно в нерабочее время. Например, внезапный рост количества файловых операций или повышенный исходящий трафик в вечернее время могут свидетельствовать о попытках несанкционированного выноса информации», — пояснил Дмитрий Мешавкин, руководитель продукта Solar Dozor ГК «Солар».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru