Qilin/Agenda Ransomware entlarvt: Eine umfassende Analyse moderner Cyber-Bedrohungen

defence

SEC Defence, die Managed-Incident-Response-Einheit von SEC Consult, arbeitete mit unseren Partnern bei Perseus Technologies als Incident-Responder für ein jüngstes Opfer der Qilin/Agenda-Ransomware-Bande zusammen.

Ransomware

Agenda Ransomware, auch bekannt als "Qilin", wurde erstmals im Juli 2022 entdeckt. Agenda ist in Golang geschrieben und unterstützt mehrere Verschlüsselungsmodi, die alle vom Betreiber gesteuert werden. Die Akteure hinter Agenda wenden eine doppelte Erpressungstaktik an, indem sie eine Zahlung sowohl für einen Entschlüsseler als auch für die Nichtfreigabe der gestohlenen Daten verlangen. Diese Ransomware zielt in erster Linie auf große Unternehmen und hochwertige Organisationen ab, wobei der Schwerpunkt auf dem Gesundheits- und Bildungssektor in Afrika und Asien liegt. Die Opfer werden häufig durch Phishing- und Spear-Phishing-E-Mails sowie durch die Ausnutzung offener Anwendungen und Schnittstellen wie Citrix und Remote Desktop Protocol (RDP) angesprochen.

Trotz der eingeschränkten Sichtbarkeit hatten wir die Gelegenheit, ungewöhnliche Tools zu entdecken, die von einer Angreifergruppe verwendet werden, über die es weniger öffentliche Informationen gibt als über andere Ransomware-Gangs. Daher möchten wir die IOCs und TTPs, die wir bei dieser Untersuchung gefunden haben, mit anderen teilen, um die Community bei der Untersuchung zukünftiger Fälle mit der Qilin/Agenda-Ransomware-Gruppe zu unterstützen. Hier geht's zum vollständigen Blogpost in englischer Sprache. 

 

Dieser Blogpost wurde von Herbert Bärschneider geschrieben und im Auftrag von SEC Defence veröffentlicht. 

Über den Autor

Herbert Bärschneider

Security Consultant

Herbert arbeitet als forensischer Analyst im Managed Incident Response Team von SEC Consult. Parallel zu seiner operativen Arbeit schließt er ein Masterprogramm ab und erforscht Nischenbetriebssysteme für forensische Artefakte. Er schätzt es, der Gemeinschaft etwas zurückzugeben, indem er zu Triage- und Threat Hunting-Funktionen beiträgt.