Нове програмне забезпечення-вимагач як послуга (RaaS) під назвою Eldorado з’явилося в березні та поставляється із варіантами блокування для VMware ESXi та Windows.
Як повідомляє BleepingComputer, однойменне хакерське угруповання вже заявило про 16 жертв (більшість із них у США) у сферах нерухомості, освіти, охорони здоров’я і промисловості.
Дослідники компанії Group-IB, яка займається кібербезпекою, спостерігали за діяльністю Eldorado і помітили, що її оператори рекламують шкідливий сервіс на форумах RAMP і шукають кваліфікованих партнерів, щоб вони приєдналися до програми.
Також Eldorado веде сайт витоку даних, який містить списки жертв, але на момент написання статті він не працював.
Шифрування Windows і Linux
Eldorado — це програма-вимагач на основі Go, яка може шифрувати як платформи Windows, так і Linux за допомогою двох різних варіантів зі значною схожістю операцій.
Дослідники отримали від розробника шифрувальник, який постачався з посібником користувача. В ньому було зазначено, що для гіпервізорів VMware ESXi і Windows доступні 32/64-розрядні варіанти.
У Group-IB кажуть, що Eldorado є унікальною розробкою і не покладається на раніше опубліковані джерела.
Зловмисне програмне забезпечення використовує для шифрування алгоритм ChaCha20 і генерує унікальний 32-байтовий ключ і 12-байтовий ключ для кожного заблокованого файлу. Потім ключі й одноразові коди шифруються за допомогою RSA зі схемою оптимального асиметричного заповнення шифрування (OAEP).
Після етапу шифрування до файлів додається розширення «.00000001», а нотатки програми-вимагача під назвою «HOW_RETURN_YOUR_DATA.TXT» переміщуються в папки Documents і Desktop.
Eldorado шифрує й мережеві спільні файли за допомогою протоколу зв’язку SMB, щоб максимізувати свій вплив, і видаляє тіньові копії томів на скомпрометованих машинах Windows з метою запобігання їх відновленню.
Програмне забезпечення-вимагач пропускає файли DLL, LNK, SYS і EXE, а також файли та каталоги, пов’язані із завантаженням системи й основними функціями, щоб запобігти перетворенню системи у непридатну для завантаження/використання. За замовчуванням встановлено самовидалення, щоб уникнути виявлення й аналізу групами реагування.
За словами дослідників Group-IB, у Windows вимагач може вказувати, які каталоги шифрувати, пропускати локальні файли, націлювати мережеві спільні ресурси на певні підмережі та запобігати самовидаленню зловмисного програмного забезпечення.
Однак у Linux параметри налаштування обмежуються встановленням шифрування каталогів.
Рекомендації щодо захисту
У Group-IB підкреслили, що загроза програм-вимагачів Eldorado є новою автономною операцією.
«Хоча Eldorado є відносно новим і не є ребрендингом відомих груп програм-вимагачів, він швидко продемонстрував свою здатність за короткий проміжок часу завдати значної шкоди даним, репутації та безперервності бізнесу своїх жертв», — повідомили дослідники Group-IB.
Фахівці рекомендують такі засоби захисту, які можуть певною мірою допомогти захиститися від усіх атак програм-вимагачів:
- Впроваджуйте багатофакторну автентифікацію (MFA) і рішення доступу на основі облікових даних.
- Використовуйте Endpoint Detection and Response (EDR), щоб швидко ідентифікувати індикатори програм-вимагачів і реагувати на них.
- Регулярно створюйте резервні копії даних, щоб мінімізувати шкоду і втрату даних.
- Використовуйте аналітику на основі штучного інтелекту для виявлення вторгнень у режимі реального часу та реагування на них.
- Визначайте пріоритети й періодично застосовуйте виправлення безпеки, щоб усунути вразливості.
- Навчайте співробітників розпізнавати загрози кібербезпеці та повідомляти про них.
- Проводьте щорічні технічні перевірки або оцінки безпеки та підтримуйте цифрову гігієну.
- Утримайтеся від сплати викупу, оскільки це рідко забезпечує відновлення даних і може призвести до нових атак.
Раніше ProIT повідомляв, що Microsoft підтверджує помилку у Windows 11 OneDrive.
Також ми писали, що нова кампанія з розповсюдження зловмисного програмного забезпечення використовує підроблені помилки Google Chrome, Word та OneDrive, щоб обманом змусити користувачів запустити шкідливі «виправлення» PowerShell, які встановлюють зловмисне ПЗ.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!