Được viết bằng ngôn ngữ lập trình đa nền tảng Golang, mã độc mới này có khả năng khởi động lại hệ thống ở chế độ an toàn (Safe mode) và chấm dứt các tiến trình và dịch vụ dành riêng cho máy chủ. Agenda nhắm mục tiêu vào các hệ thống Windows và đã được sử dụng trong các cuộc tấn công nhắm vào các tổ chức chăm sóc sức khỏe, giáo dục tại Indonesia, Ả Rập thống nhất, Nam Phi và Thái Lan.

Theo quan sát của Trend Micro, các mẫu mã độc đã được tùy chỉnh cho từng nạn nhân, số tiền chuộc yêu cầu cũng khác nhau, dao động trong khoảng 50.000 - 800.000 USD.

“Mỗi mẫu mã độc tống tiền đều được tùy chỉnh cho nạn nhân mục tiêu. Theo điều tra của chúng tôi, các mẫu mã độc sử dụng tài khoản, mật khẩu khách hàng và ID công ty làm phần mở rộng của các tệp bị mã hóa”, Trend Micro cho biết.

Công ty bảo mật này cũng phát hiện các bài đăng trên diễn đàn dard web liên quan đến Agenda của một người dùng có tên “Qilin” và tin rằng người dùng này đang cung cấp phần mềm tống tiền cho các nhóm tin tặc khác nhau để tùy chỉnh payload với thông tin chi tiết về nạn nhân, bao gồm: ID, khóa RSA, các tiến trình và các dịch vụ sẽ bị chấm dứt trước khi mã hóa.

Agenda hỗ trợ một số đối số dòng lệnh, xây dựng cấu hình runtime để xác định hành vi, loại bỏ các bản sao, chấm dứt các tiến trình và dịch vụ antivirus khác nhau, đồng thời tạo một mục tự động khởi động trỏ vào một bản sao của chính nó. Hơn nữa, mã độc tống tiền này thay đổi mật khẩu của người dùng mặc định và sau đó cho phép đăng nhập tự động bằng thông tin đăng nhập đã sửa đổi. Nó khởi động lại thiết bị ở chế độ an toàn và bắt đầu mã hóa dữ liệu khi khởi động lại.

Cách thức hoạt động của Agenda

Là một phần của một cuộc tấn công, tin tặc đã sử dụng máy chủ Citrix công khai đóng vai trò là một điểm vào để thực hiện thỏa hiệp ban đầu, có thể là thông qua tài khoản hợp lệ và sử dụng máy chủ để truy cập mạng của nạn nhân. Đồng thời, tin tặc cũng sử dụng thông tin đăng nhập bị rò rỉ để kết nối với dịch vụ Active Directory thông qua giao thức truy cập từ xa (RDP) và cài đặt các công cụ dò quét như Nmap, Nping để lập bản đồ mạng. Nó cũng tạo một Chính sách nhóm (Group Policty) và triển khai mã độc trên tất cả các máy.

“Agenda lợi dụng các tài khoản cục bộ để đăng nhập với tư cách là người dùng giả mạo và thực thi mã nhị phân độc hại, tiếp tục mã hóa các máy khác nếu đăng nhập thành công. Nó cũng chấm dứt nhiều quy trình và dịch vụ, đồng thời đảm bảo sự tồn tại lâu dài bằng cách đưa DLL vào svchost.exe”, Trend Micro lưu ý.

Theo đánh giá của Trend Micro, Agenda có nhiều điểm tương đồng với các dòng mã độc tống tiền nổi tiếng như Black Basta, Black Matter và REvil (hay còn gọi là Sodinokibi). Cụ thể, trang web thanh toán và xác minh người dùng được triển khai trên trang Tor của Agenda giống với Black Basta và Black Matter, trong khi khả năng thay đổi mật khẩu Windows và khởi động lại hệ thống ở chế độ an toàn tương tự như Black Basta và REvil.