信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

今年最新出現(xiàn)了一種名為Eldorado的新型勒索軟件即服務(wù)(RaaS)，它帶有適用于VMware ESXi和Windows的鎖版變種。該團伙目前已危害16名受害者，其中大部分在美國，涉及房地產(chǎn)、教育、醫(yī)療保健和制造業(yè)。

網(wǎng)絡(luò)安全公司的研究人員監(jiān)控了Eldorado的活動，并注意到其運營商在RAMP論壇上推廣惡意服務(wù)，并尋求熟練的附屬機構(gòu)加入該計劃。

Eldorado還運營著一個列出受害者名單的數(shù)據(jù)泄露網(wǎng)站，但在撰寫本文時該網(wǎng)站已處于癱瘓狀態(tài)。

Eldorado勒索軟件目標(biāo)

加密Windows和Linux

Eldorado是一款基于Go的勒索軟件，可通過兩個不同的變體加密Windows和Linux平臺，且這兩個變體的操作非常相似。

研究人員從開發(fā)人員那里獲得了一個加密器，該加密器附帶一份用戶手冊，其中說明有適用于VMware ESXi虛擬機管理程序和Windows的32/64位變體。

Group-IB表示，Eldorado是一個獨特的開發(fā)項目。該惡意軟件使用ChaCha20算法進行加密，并為每個鎖定的文件生成唯一的32字節(jié)密鑰和12字節(jié)隨機數(shù)。然后使用RSA和最佳非對稱加密填充(OAEP)方案對密鑰和隨機數(shù)進行加密。

加密階段結(jié)束后，文件將被附加“.00000001”擴展名，名為“HOW_RETURN_YOUR_DATA.TXT”的勒索信將被放置在Documents和Desktop文件夾中。

Eldorado的贖金條

Eldorado還利用SMB通信協(xié)議加密網(wǎng)絡(luò)共享，以最大限度地發(fā)揮其影響，并刪除受感染W(wǎng)indows計算機上的卷影副本，以防止恢復(fù)。

勒索軟件會跳過DLL、LNK、SYS和EXE文件，以及與系統(tǒng)啟動和基本功能相關(guān)的文件和目錄，以防止導(dǎo)致系統(tǒng)無法啟動/無法使用。最后，它默認(rèn)設(shè)置為自我刪除，以逃避響應(yīng)團隊的檢測和分析。

據(jù)滲透到該行動中的安全研究人員稱，聯(lián)盟成員可以定制他們的攻擊。例如，在Windows上，他們可以指定要加密的目錄、跳過本地文件、針對特定子網(wǎng)上的網(wǎng)絡(luò)共享，并防止惡意軟件自我刪除。

但是，在Linux上，自定義參數(shù)止步于設(shè)置要加密的目錄。

防御建議

安全研究人員強調(diào)，Eldorado勒索軟件威脅是一個新的、獨立的行動，并不是以另一個組織的名義重新出現(xiàn)的。而盡管Eldorado相對較新，且并非知名勒索軟件組織的改頭換面，但它已在短時間內(nèi)迅速證明了其能夠?qū)κ芎φ叩臄?shù)據(jù)、聲譽和業(yè)務(wù)連續(xù)性造成重大損害的能力。

研究人員建議采取以下防御措施，這將在一定程度上有助于用戶防范所有勒索軟件攻擊：

·實施多因素身份驗證(MFA)和基于憑證的訪問解決方案。

·使用端點檢測和響應(yīng)(EDR)快速識別和響應(yīng)勒索軟件指標(biāo)。

·定期備份數(shù)據(jù)以最大限度地減少損害和數(shù)據(jù)丟失。

·利用基于人工智能的分析和高級惡意軟件引爆進行實時入侵檢測和響應(yīng)。

·確定優(yōu)先級并定期應(yīng)用安全補丁來修復(fù)漏洞。

·培訓(xùn)員工能夠識別網(wǎng)絡(luò)安全威脅。

·進行年度技術(shù)審計或安全評估并保持?jǐn)?shù)字安全。

·不要支付贖金，因為它很少能確保數(shù)據(jù)恢復(fù)，而且可能導(dǎo)致更多攻擊。