Agenda: кроссплатформенная программа‑вымогатель с Linux‑вариантом и BYOVD

Коротко: обнаруженная недавно операция Agenda демонстрирует рост изощрённости программ-вымогателей: злоумышленники задействуют кроссплатформенные бинарники (включая уникальный вариант Linux в средах Windows), легитимные облачные сервисы и методы BYOVD — Bring Your Own Vulnerable Driver — чтобы обходить традиционные средства защиты и ускорять распространение атаки.

Что произошло

Операция Agenda, действующая как минимум с 2025 года, быстро приобрела известность благодаря высокой скорости развертывания и широкой географии атак. Группа действует по модели RaaS (ransomware-as-a-service) и системно нацеливается на организации в развитых экономиках — прежде всего в США, Западной Европе и Японии. Жертвы преимущественно выбираются в секторах, где простой особенно болезнен: производство, технологии, финансовые услуги и здравоохранение.

«Кроссплатформенность и использование легитимных облачных сервисов делают Agenda особенно сложной для обнаружения и расследования», — отметили аналитики.

Технический разбор атаки

Ключевые особенности цепочки атаки Agenda:

• Использование поддельных страниц Google CAPTCHA, размещённых в хранилище Cloudflare R2, для маскировки и вовлечения пользователей.
• Внедрение уникального варианта Linux, выполняемого в средах Windows — что позволяет обходить привычные сигнатуры и механизмы обнаружения.
• Применение инструментов удалённого управления в легитимных целях для дальнейшего распространения и управления вредоносной нагрузкой.
• Использование метода BYOVD — злоумышленники подсовывают или эксплуатируют уязвимый драйвер, чтобы получить повышенные привилегии и выполнить код в ядре.
• Высокая степень кастомизации вредоносной полезной нагрузки, что позволяет таргетировать конкретные платформы и сценарии развертывания.

Тактика сокрытия и обфускации

Анализ показывает, что операторы Agenda регулярно используют легитимные облачные сервисы и инфраструктуру CDN для хостинга фишинговых страниц и загрузчиков. Размещение поддельной CAPTCHA в Cloudflare R2 — примечательный пример: подобный подход снижает подозрительность у жертв и затрудняет быструю блокировку контента провайдерами, поскольку трафик выглядит как доступ к законному хранилищу.

Пострадавшие отрасли и мотивация

Agenda проявляет оппортунистическую виктимологию: целью становятся организации, где простой дорого обходится и где вероятность выплаты выкупа выше. Среди приоритетных секторов:

• производство;
• технологические компании;
• финансовые услуги;
• здравоохранение.

Почему это опасно

Комбинация кроссплатформенного кода, BYOVD и использования легитимных инструментов управления создаёт «слепые зоны» в защите: традиционные антивирусы и сигнатурные EDR могут не сработать на кастомный Linux-бинари в Windows или на эксплуатируемый уязвимый драйвер. Кроме того, легитимный трафик к Cloudflare R2 и похожим сервисам сложнее фильтровать без дополнительных контекстных сигналов.

Рекомендации для организаций

Чтобы снизить риск и ускорить обнаружение подобного класса атак, следует принять ряд технических и организационных мер:

• Усилить контроль за использованием привилегированных драйверов: мониторинг загрузки новых драйверов, блокировка неподписанных/известно уязвимых драйверов.
• Ограничить и логировать использование инструментов удалённого управления и RDP; ввести сегментацию доступа и принцип наименьших привилегий.
• Внедрить EDR/NGAV с поведенческим анализом, способным выявлять аномалии (запуск незнакомых бинарников, нетипичное взаимодействие с ядром, шифрование файлов).
• Мониторить активность в облачных хранилищах (включая Cloudflare R2) и анализировать подозрительные страницы/объекты, выдающие CAPTCHA или подменяющие сервисы.
• Регулярно делать и тестировать резервные копии с оффлайн/immutable-хранилищем; держать планы восстановления и коммуникации для критически важных сервисов.
• Проводить аудиты уязвимостей и своевременно ставить патчи, особенно для драйверов и компонентов ядра.
• Обучать сотрудников распознавать фишинговые страницы и подозрительные запросы, включая поддельные CAPTCHA и неожиданные проверки.
• Иметь наготове контракт с профессиональной командой IR и уведомлять правоохранительные органы при подтверждении компрометации.

Контрольные сигналы для поиска и мониторинга

• Необычные соединения к ресурсам Cloudflare R2 и кэшам CDN с некорректными или поддельными CAPTCHA-страницами.
• Загрузка/запуск нестандартных Linux-бинарников в Windows-окружении или попытки использования WSL/двухуровневых контейнеров для маскировки.
• Установка/загрузка подозрительных драйверов или модулей ядра, изменение разрешений драйверов.
• Резкий рост операций шифрования файлов, создание ransom-notes, изменение расширений файлов в больших объёмах.
• Необычные активности инструментов удалённого управления вне обычного рабочего окна или из непривычных геолокаций.

Вывод

Инцидент с Agenda подчёркивает, что операторов программ-вымогателей больше не ограничивают простые Windows-бинарники и стандартные наборы приёмов. Использование кроссплатформенных нагрузок, BYOVD и легитимных облачных сервисов делает их атаки более гибкими и устойчивыми к традиционным оборонительным мерам. Организациям необходимо пересмотреть модель защиты, устраняя операционные «слепые зоны», повышая видимость критичных активов и внедряя многоуровневые механизмы обнаружения и контроля.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.