Agenda Ransomware, auch bekannt als "Qilin", wurde erstmals im Juli 2022 entdeckt. Agenda ist in Golang geschrieben und unterstützt mehrere Verschlüsselungsmodi, die alle vom Betreiber gesteuert werden. Die Akteure hinter Agenda wenden eine doppelte Erpressungstaktik an, indem sie eine Zahlung sowohl für einen Entschlüsseler als auch für die Nichtfreigabe der gestohlenen Daten verlangen. Diese Ransomware zielt in erster Linie auf große Unternehmen und hochwertige Organisationen ab, wobei der Schwerpunkt auf dem Gesundheits- und Bildungssektor in Afrika und Asien liegt. Die Opfer werden häufig durch Phishing- und Spear-Phishing-E-Mails sowie durch die Ausnutzung offener Anwendungen und Schnittstellen wie Citrix und Remote Desktop Protocol (RDP) angesprochen.
Trotz der eingeschränkten Sichtbarkeit hatten wir die Gelegenheit, ungewöhnliche Tools zu entdecken, die von einer Angreifergruppe verwendet werden, über die es weniger öffentliche Informationen gibt als über andere Ransomware-Gangs. Daher möchten wir die IOCs und TTPs, die wir bei dieser Untersuchung gefunden haben, mit anderen teilen, um die Community bei der Untersuchung zukünftiger Fälle mit der Qilin/Agenda-Ransomware-Gruppe zu unterstützen. Hier geht's zum vollständigen Blogpost in englischer Sprache.
Dieser Blogpost wurde von Herbert Bärschneider geschrieben und im Auftrag von SEC Defence veröffentlicht.
