Awas! "Agenda Ransomware" Berbasis Golang Dapat Menyesuaikan Serangan

"Agenda dapat mem-boot ulang sistem dalam mode aman, mencoba menghentikan berbagai proses dan layanan khusus server, dan dapat dijalankan dalam mode yang berbeda," kata peneliti Trend Micro dalam sebuah analisis pekan lalu.

Qilin, aktor ancaman yang mengiklankan ransomware di dark web, dikatakan memberikan opsi kepada afiliasi untuk menyesuaikan binary payload untuk setiap korban, memungkinkan operator untuk memilih catatan tebusan, ekstensi enkripsi, dan daftar proses dan layanan untuk mengakhiri sebelum proses enkripsi dimulai.

Selanjutnya, ransomware menggabungkan teknik penghindaran deteksi dengan memanfaatkan fitur 'safe mode' perangkat untuk melanjutkan proses enkripsi file yang tidak terdeteksi, tetapi hanya setelah mengubah password pengguna default dan mengaktifkan login otomatis.

Ketika enkripsi selesai, Agenda mengganti nama file dengan ekstensi yang ditentukan, menempatkan catatan tebusan di setiap direktori terenkripsi, dan mem-boot ulang sistem dalam mode normal. Jumlah ransomware yang diminta bervariasi setiap perusahaan, berkisar antara $50.000 dan $800.000.

Rantai Serangan Agenda Ransomware. Source : trendmicro.com

Agenda, selain menggunakan kredensial pengguna lokal untuk mengeksekusi ransomware binary, memiliki kemampuan untuk menginfeksi seluruh jaringan dan driver bersamanya.

Di salah satu rantai serangan ransomware yang teridentifikasi, server Citrix yang menghadap publik bertindak sebagai titik masuk untuk akhirnya menginstal ransomware dalam waktu kurang dari dua hari.

Trend Micro menemukan kesamaan source code antara Agenda dan keluarga ransomware Black Basta, Black Matter, dan REvil (alias Sodinokibi).

Black Basta, yang pertama kali muncul pada April 2022, diketahui menggunakan teknik double extortion untuk mengenkripsi file pada sistem organisasi yang ditargetkan dan menuntut uang tebusan untuk membukanya, sementara juga mengancam akan memposting informasi sensitif yang dicuri jika korban tidak membayar tebusan.

Catatan Tebusan Agenda Ransomware. Source : trendmicro.com

Menurut Palo Alto Networks Unit 42, kelompok Black Basta telah meretas lebih dari 75 organisasi pada minggu lalu, naik dari 50 pada Juni 2022.

Agenda juga merupakan varian keempat yang menggunakan bahasa pemrograman Golang, setelah BlackCat, Hive, dan Luna. "Ransomware berkembang, menciptakan metode dan teknik yang semakin kompleks untuk menjebak organisasi," kata para peneliti.