MrAgent勒索病毒工具及其威胁分析

关键要点

新出现的勒索病毒工具“MrAgent”针对VMware ESXi超管，旨在自动化和跟踪勒索病毒的部署。RansomHouse集团负责该攻击，自2021年底以来活跃，特别以意大利和美国的企业为目标。RansomHouse采用双重勒索策略，通过加密文件和在其网站上“曝光”不付款的受害者来施压。安全团队需优先保护运行VMware基础设施的主机，以抵御MrAgent的攻击。

最近，一种名为“MrAgent”的新勒索病毒工具引起了安全界的广泛关注。该工具被设计为在VMware ESXi超理上运行，旨在自动化和跟踪在多个超理中进行的勒索病毒部署。

根据 Trellix在2月14日的博客文章，研究人员确定了名为RansomHouse的黑客团伙，并将其定义为自2021年底以来活跃的勒索服务RaaS操作，专注于利用企业网络部署众多勒索病毒变体。

一元机场ink官网年份主要目标国家美国攻击比例工业和技术行业攻击比例2022意大利2023美国47374474

研究人员指出，RansomHouse对受害者实施了双重敲诈：首先通过加密受害者文件并索要赎金，其次在他们的网站上“曝光”不付款的受害者，从而施加额外的压力。

“他们的战术、技巧和程序展现了成熟且复杂的执行水平，利用内容分发网络服务器进行数据外泄，并使用基于Tor的聊天室进行与受害者的谈判，”研究人员写道，并补充道RansomHouse尝试营造一个“专业中介社区”的形象。

由于MrAgent针对ESXi服务器，Ontinue的威胁响应负责人Balazs Greksza表示，安全团队应当立即优先保护运行VMware基础设施的主机。

“这包括使用诸如EDR和硬化之类的安全解决方案，既适用于本地环境，也适用于云环境，”Greksza说。“许多EDR供应商已经成功阻止了MrAgent，并可以帮助监控可疑活动。”

Critical Start的网络威胁研究高级经理Callie Guenther补充说，VMware ESXi服务器通常用于企业虚拟化，使其成为吸引攻击目标。Guenther表示，MrAgent自动化了勒索病毒的部署，提升了攻击效率，并复杂化了防御工作。

“自2021年12月起，RansomHouse以双重敲诈策略持续运营，”Guenther说道。“尽管比LockBit或ALPHV/BlackCat等团伙知名度低，但其目标依旧是大规模组织，并且在暗网设有受害者敲诈页面。”

为了保护企业免受这种新型勒索病毒工具的攻击，全面增强安全防护措施成为当务之急。