新種のAgenda Ransomware

Agenda Ransomwareは新しいランサムウェアです。
2022年の8月頃から観測されているものです。
8月当時のAgenda RansomwareはGoで実装されていました。
そんなAgenda Ransomwareの新種が観測されています。

• 開発はRust
  以前はGoで開発されていたのですが、より新しいものはRustで開発されています。
  Goもクロスプラットフォーム開発が可能で柔軟性に富んだものになっていますが、Rustも同じ面を持っています。
  加えてRustではコンパイル時に利用できるオプションに特徴があり、リバースエンジニアリングに耐性があるという面も持っています。
  従来のGo版のすべての機能の移行はまだ完了していないようですが、Rust版への移行が進んでいます。

   

• ターゲットが変化
  従来はタイやインドネシアなどの国の医療および教育部門を標的にしていました。
  最近の活動では対象の地域が広がりさまざまな国で活動していることが確認されています。
  そして業種としては製造業とIT業界の比率が高くなっています。

   

• 断続的な暗号化
  これは新機能です。
  Go版には実装されていませんでしたが、Rust版には実装されています。
  先頭だけを暗号化、という作戦のマルウェアもありましたが、この新種のAgendaは断続的に暗号化を実施します。
  その断続具合も固定ではなく実行時の引数で調整が可能な実装になっています。
  より高速に暗号化が完了するという作戦でしょう。
  断続の調整や対象機器の能力次第のところはありますが、たとえば1ファイルあたりで数秒程度で暗号化を終えていくことができます。
  非常に高速に動作させることができます。

   

• 実行時パスワード
  Agendaの実行時には引数でパスワードの指定が必要とされます。
  このパスワードはRaaSのサポートチャットサービスにログインするときにも使用されます。
  これにより、被害者以外の組織が検体だけを入手したとしても被害者に成り代わってサポートチャットにログインすることを回避できることが期待されます。
  もちろん被害者の依頼で情報を調査者に開示されている場合は被害者に成り代わることができそうですが、検体を入手しただけの調査者は具体的な個別の攻撃に対しての調査はできなくなると考えられます。

   

• 防止機能の抑制機能
  マルウェアは実行時に安全化機構をいくつも停止させてから活動します。
  その停止させる機構の中にWindows AppInfoも含まれます。
  表示名としてはApplication Informationです。
  これはユーザーアカウント制御機構の動作に必要なサービスです。
  これを停止させることで危険な機構が動作しようとしていることを通知できる機構が動作しなくなります。

   

• あちこちに脅迫文
  マルウェアは複数のディレクトリを読み込み、そこにあるファイルを暗号化します。
  そしてそのすべてのディレクトリに脅迫文を設置します。
  暗号化が途中で終わった場合でも脅迫文の提示漏れが起こることはありませんし、一部のPATHだけを暗号化するように指示する引数も持っていますがこの機構とも相性が良いものとなっています。

新しく出てくる脅威は巧妙化が進んでいます。
現時点の初期アクセスはインターネットに公開されたCitrixサーバをエントリポイントとして不正利用するというものが使われている場合があります。
これも次々に新しい方法に変更されていくかもしれません。
そして感染してしまうと検出も対処も容易ではなさそうです。
これをやっておけば大丈夫、という魔法の対処方法はなさそうです。
取るべき行動を日々着実に実施していくということになりそうです。

参考記事（外部リンク）：Agenda Ransomware Uses Rust to Target More Vital
Industries
www.trendmicro.com/en_us/research/22/l/agenda-ransomware-uses-rust-to-target-more-vital-industries.html