تم رصد سلالة جديدة من برامج الفدية مكتوبة بلغة Golang يطلق عليها اسم "Agenda"، مستهدفة كيانات الرعاية الصحية والتعليم في "إندونيسيا" و"المملكة العربية السعودية" و"جنوب إفريقيا" و"تايلاند".
قال باحثو في تريند مايكرو "Trend Micro" في تحليل الأسبوع الماضي:
يمكن للـ "Agenda" إعادة تشغيل الأنظمة في الوضع الآمن، ويحاول كذلك إيقاف العديد من العمليات والخدمات الخاصة بالخادم، ولديه أوضاع متعددة لتشغيلها
يقال إن Qilin، الممثل التهديدي الذي يعلن عن برامج الفدية على الويب المظلم، أنه يوفر خيارات لتخصيص الحمولات الثنائية لكل ضحية، مما يمكن المشغلين من تحديد رسالة الفدية، وإمتداد التشفير، بالإضافة إلى قائمة العمليات والخدمات التي يجب إنهاؤها قبل البدء في عملية التشفير.
بالإضافة إلى ذلك، يضمن برنامج الفدية تقنيات ضد الكشف ويتهرب من خلال الاستفادة من ميزة " الوضع الآمن " للجهاز لمتابعة إجراءات تشفير الملفات دون أن يلاحظها أحد، ويتم كل هذا بعد تغيير كلمة مرور المستخدم الافتراضية وإعادة تسجيل الدخول التلقائي.
عند التشفير الناجح ، يعيد Agenda تسمية الملفات بالامتداد الذي تم تكوينه، ويضع رسالة الفدية في كل دليل مشفر، ويعيد تشغيل الجهاز في الوضع العادي. ويختلف مبلغ الفدية المطلوبة من شركة إلى أخرى، ويتراوح ما بين 50000 دولار إلى 800000 دولار.
برنامج الفديه هذا لا يستفيذ فقط من بيانات الحساب المحلي لتنفيذ برنامج الفدية الثنائي، بل ياتي أيضًا مع ترسانة كاملة من الخيارات تسمح له بإمكانية إصابة الشبكة كاملة وبرامج التشغيل المشتركة الخاصة بها.
في إحدى سلاسل الهجمات التي تمت ملاحظتها والتي تتضمن برامج الفدية، كان خادم Citrix بمثابة نقطة دخو لنشر برنامج الفدية في أقل من يومين.
قالت Trend Micro إنها لاحظت وجود أوجه تشابه في شفرة المصدر بين عائلات برنامج الفدية التالية "Agenda" و"Black Basta" و"Black Matter" و"REvil" (المعروف أيضًا باسم aka Sodinokibi).
ومن المعروف أن Black Basta، التي ظهرت لأول مرة في أبريل 2022، تستخدم تقنية الابتزاز المزدوج لتشفير الملفات على أنظمة المنظمات المستهدفة والمطالبة بفدية لجعل فك التشفير ممكنًا، مع التهديد أيضًا بنشر المعلومات الحساسة المسروقة في حالة اختيار الضحية عدم دفع الفدية.
تقول التقارير أنه حتى الأسبوع الماضي، بلغ عدد ضحايا Black Basta أكثر من 75 منظمة، وفقًا لـ Palo Alto Networks Unit 42. كما أنه في فترة وجيزة إحتل فيروس الفدية Agenda المرتبة الرابعة بعد BlackCat و Hive و Luna والتي تعتمد في برمجتها على لغة Go.