Agenda Ransomware : analyse technique complète des variantes Go, Rust et Linux

Trend Micro publie une analyse technique approfondie du ransomware Agenda, couvrant ses variantes multiplateformes, ses techniques d’attaque avancées et ses alliances avec d’autres groupes criminels.

🎯 Contexte

Source : Trend Micro (publication du 21 mars 2026). Cette analyse technique détaillée porte sur le ransomware Agenda (aussi connu sous d’autres noms), décrit comme l’une des opérations ransomware les plus prolifiques et dangereuses, avec des variantes en Go, Rust et Linux, et des alliances avec d’autres groupes de menaces majeurs.

🔓 Vecteurs d’accès initial

• Drive-by downloads, sites clonés, fichiers hébergés, livraison web scriptée
• Spearphishing via emails avec pièces jointes malveillantes, liens et faux CAPTCHA
• Comptes compromis via credentials volés et impersonation de tokens
• Médias amovibles (USB, CD) avec autoplay

⚙️ Techniques d’exécution et persistance

• Variantes acceptant de multiples paramètres en ligne de commande pour configurer le chiffrement, la propagation, l’escalade de privilèges et le mode sans échec
• Utilisation de PsExec embarqué pour l’exécution distante (variante Rust)
• Création d’une tâche planifiée nommée veeamupdate pour exécuter le binaire
• Création d’un compte backdoor administrateur nommé Supportt
• Modification de la valeur ImagePath dans le registre pour la persistance
• Entrée runonce dans le registre

🛡️ Évasion et contournement des défenses

• Utilisation de TrueSightKiller (Truesight.sys) et du RogueKiller Antirootkit Driver (suite Adlice)
• Chargement via NETXLOADER (packé avec .NET Reactor v6) par injection de processus
• Désactivation de l’UAC, suppression des journaux d’événements Windows via wevtutil
• Redémarrage en Safe Mode with Networking (bcdedit /set {current} safeboot network)
• Vérifications CPUID, détection sandbox, énumération des clés de registre IDE/SCSI
• Délai d’exécution via --timer, auto-suppression via cmd /C timeout /T 5 & Del
• Injection du DLL patchée pwndll.dll dans svchost.exe
• Utilisation de Thread Local Storage (TLS) callbacks
• Driver signé KAPROCHANDLER pour supprimer les produits antivirus

🔍 Reconnaissance et découverte

• Énumération des partages réseau via NetShareEnum
• Collecte d’informations système (OS, CPU, mémoire, version)
• Découverte des contrôleurs de domaine via nltest
• Utilisation de PC Hunter, WannaMine, YDArkPass pour le scan de ports et les connexions réseau
• Extraction de credentials depuis la base de données Veeam (SELECT [user_name], [password] FROM [VeeamBackup].[dbo].[Credentials])

🔄 Mouvement latéral

• RDP activé via modification du registre et des règles firewall (netsh)
• PsExec pour l’exécution distante
• Cobalt Strike pour déployer des payloads via SMB et Windows Admin Shares
• PuTTY pour les connexions SSH
• MeshAgent pour transférer des binaires Linux sur des hôtes Windows

📤 Exfiltration

• MEGAsync (campagnes anciennes) pour l’exfiltration vers le cloud
• WinSCP pour l’exfiltration de fichiers
• s5cmd pour l’exfiltration sélective vers du stockage cloud objet
• Coroxy/SystemBC pour la communication C2 chiffrée RC4

💣 Impact

• Chiffrement AES-256 avec clé chiffrée en RSA-2048
• Chiffrement intermittent configurable via arguments
• Suppression des shadow copies (vssadmin delete shadows /all /quiet)
• Écrasement des données supprimées avec cipher /w:{Drive Letter}:\
• Suppression des disques virtuels VMFS-5/VMFS-6 sur ESXi
• Modification du fond d’écran et du fichier motd pour afficher la note de rançon
• Téléchargement de coinminers (campagnes anciennes)

📋 Type d’article

Il s’agit d’une analyse technique publiée par Trend Micro, visant à documenter exhaustivement les TTPs, variantes et capacités du ransomware Agenda pour alimenter les plateformes CTI et les équipes de sécurité.

🧠 TTPs et IOCs détectés

TTP

• T1189 — Drive-by Compromise (Initial Access)
• T1091 — Replication Through Removable Media (Lateral Movement)
• T1078 — Valid Accounts (Defense Evasion)
• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1059 — Command and Scripting Interpreter (Execution)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1569.002 — System Services: Service Execution (Execution)
• T1129 — Shared Modules (Execution)
• T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
• T1543.003 — Create or Modify System Process: Windows Service (Persistence)
• T1053 — Scheduled Task/Job (Persistence)
• T1134.001 — Access Token Manipulation: Token Impersonation/Theft (Privilege Escalation)
• T1055 — Process Injection (Defense Evasion)
• T1484.001 — Domain or Tenant Policy Modification: Group Policy Modification (Defense Evasion)
• T1098 — Account Manipulation (Persistence)
• T1562 — Impair Defenses (Defense Evasion)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1480 — Execution Guardrails (Defense Evasion)
• T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
• T1222.001 — File and Directory Permissions Modification: Windows File and Directory Permissions Modification (Defense Evasion)
• T1562.009 — Impair Defenses: Safe Mode Boot (Defense Evasion)
• T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
• T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
• T1134.005 — Access Token Manipulation: SID-History Injection (Privilege Escalation)
• T1497.003 — Virtualization/Sandbox Evasion: Time Based Evasion (Defense Evasion)
• T1564 — Hide Artifacts (Defense Evasion)
• T1222.002 — File and Directory Permissions Modification: Linux and Mac File and Directory Permissions Modification (Defense Evasion)
• T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
• T1027.002 — Obfuscated Files or Information: Software Packing (Defense Evasion)
• T1055.002 — Process Injection: Portable Executable Injection (Defense Evasion)
• T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)
• T1057 — Process Discovery (Discovery)
• T1135 — Network Share Discovery (Discovery)
• T1082 — System Information Discovery (Discovery)
• T1083 — File and Directory Discovery (Discovery)
• T1033 — System Owner/User Discovery (Discovery)
• T1087.001 — Account Discovery: Local Account (Discovery)
• T1087.002 — Account Discovery: Domain Account (Discovery)
• T1018 — Remote System Discovery (Discovery)
• T1049 — System Network Connections Discovery (Discovery)
• T1046 — Network Service Discovery (Discovery)
• T1010 — Application Window Discovery (Discovery)
• T1021 — Remote Services: Remote Desktop Protocol (Lateral Movement)
• T1021.004 — Remote Services: SSH (Lateral Movement)
• T1567.002 — Exfiltration Over Web Service: Exfiltration to Cloud Storage (Exfiltration)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1071 — Application Layer Protocol: Web Protocols (Command and Control)
• T1090 — Proxy: External Proxy (Command and Control)
• T1105 — Ingress Tool Transfer (Command and Control)
• T1219 — Remote Access Tools (Command and Control)
• T1490 — Inhibit System Recovery (Impact)
• T1486 — Data Encrypted for Impact (Impact)
• T1489 — Service Stop (Impact)
• T1491.001 — Defacement: Internal Defacement (Impact)
• T1531 — Account Access Removal (Impact)
• T1561.001 — Disk Wipe: Disk Content Wipe (Impact)
• T1496 — Resource Hijacking (Impact)

IOC

• Fichiers : pwndll.dll
• Fichiers : truesight.sys
• Fichiers : eskle.sys
• Chemins : %UserTemp%
• Chemins : %System%\drivers\

Malware / Outils

• Agenda (ransomware)
• NETXLOADER (loader)
• Cobalt Strike (framework)
• PsExec (tool)
• TrueSightKiller (tool)
• RogueKiller Antirootkit Driver (tool)
• Coroxy (backdoor)
• SystemBC (backdoor)
• SmokeLoader (loader)
• MeshAgent (rat)
• MEGAsync (tool)
• WinSCP (tool)
• s5cmd (tool)
• PuTTY (tool)
• PC Hunter (tool)
• WannaMine (other)
• YDArkPass (tool)
• HRSword (tool)
• Remotely (rat)
• MeshCentral (rat)

🔗 Source originale : https://www.trendmicro.com/vinfo/gb/security/news/ransomware-spotlight/ransomware-spotlight-agenda