Ransomware para Linux afecta también a Windows. El grupo Agenda rompe la barrera entre plataformas

Trend Research describió nueva ola de ataques del grupo Agenda — extorsionadores, que aprendieron a ejecutar la variante para Linux del cifrador en entornos basados en Windows. Esta táctica permite a los atacantes eludir las herramientas tradicionales de defensa centradas exclusivamente en la plataforma Microsoft y complica la detección de actividad maliciosa en infraestructuras híbridas.

En los incidentes más graves los atacantes utilizaron herramientas legítimas de administración remota: WinSCP para mover el binario y Splashtop para ejecutarlo en las máquinas objetivo, camuflando las acciones maliciosas como operaciones rutinarias de TI. Al mismo tiempo se emplearon técnicas Bring Your Own Vulnerable Driver (BYOVD) —la introducción de controladores vulnerables para suprimir los antivirus— y la colocación de proxies SOCKS en directorios de aplicaciones de confianza para ocultar el canal de mando y la exfiltración de datos.

El ataque vino acompañado de una recopilación exhaustiva de credenciales: los atacantes se centraron en la infraestructura de Veeam, extrayendo contraseñas de las bases de copias de seguridad y neutralizando así las opciones de recuperación. Para moverse por la red emplearon clientes de PuTTY modificados y agentes RMM, entre los que figuran ATERA y ScreenConnect, lo que proporcionó múltiples vectores de acceso difíciles de rastrear. Como resultado se produjo una amenaza multiplataforma, que afectó tanto a nodos Windows como Linux en el mismo entorno.

Los autores del informe subrayan que esa táctica exige revisar los enfoques de monitoreo: limitar el acceso de los agentes RMM, controlar los hosts objetivo, proteger las cuentas de los sistemas de respaldo y auditar de forma continua la actividad inusual ayudará a reducir el riesgo. La atención principal debe centrarse en medidas preventivas de gestión de privilegios y en la protección de la integridad de las copias de seguridad.