Хакеры Agenda сделали шифровальщик, который взламывает Windows из Linux

WinSCP и Splashtop непреднамеренно помогли вымогателям

Исследователи из Trend Research сообщили о новой кампании кибергруппы Agenda, использующей необычную технику: злоумышленники смогли задействовать Linux-версию шифровальщика внутри Windows-среды. Такой подход позволяет обходить защитные механизмы, ориентированные исключительно на продукты Microsoft, и значительно осложняет выявление вредоносных действий в смешанных инфраструктурах.

В ходе наиболее серьёзных инцидентов киберпреступники применяли легитимные утилиты удалённого администрирования — WinSCP использовался для передачи вредоносного файла, а Splashtop — для его активации на целевых узлах. Благодаря этому атаки выглядели как стандартные операции системных администраторов. Одновременно злоумышленники внедряли уязвимые драйверы (тактика BYOVD) для отключения антивирусных механизмов и размещали SOCKS-прокси внутри каталогов доверенных программ, скрывая коммуникацию с управляющими серверами и передачу данных.

Кибератака сопровождалась масштабным сбором учётных данных. В частности, преступники нацелились на инфраструктуру Veeam, извлекая пароли из баз резервного копирования, что делало восстановление системы невозможным. Для горизонтального перемещения по сети использовались модифицированные клиенты PuTTYи агенты RMM-решений вроде ATERA и ScreenConnect, обеспечивавшие множественные каналы доступа и затруднявшие их обнаружение. В результате сформировалась кроссплатформенная угроза, поражающая одновременно узлы на Windows и Linux.

Авторы отчёта подчёркивают: подобные инциденты требуют переосмысления подходов к защите. Среди приоритетных мер — ограничение полномочий RMM-агентов, постоянный контроль за активностью хостов, защита учётных записей систем резервного копирования и регулярный аудит подозрительных событий. Основной упор рекомендуется делать на управление привилегиями и сохранность целостности резервных данных, чтобы предотвратить подобные сценарии.