Kovo mėnesį pasirodė nauja išpirkos reikalaujanti programinė įranga kaip paslauga (RaaS), pavadinta Eldorado ir pateikiama su VMware ESXi ir Windows skirtų spintelių variantais.
Gauja jau pareikalavo 16 aukų, dauguma jų yra JAV, nekilnojamojo turto, švietimo, sveikatos priežiūros ir gamybos sektoriuose.
Kibernetinio saugumo bendrovės „Group-IB“ tyrėjai stebėjo „Eldorado“ veiklą ir pastebėjo, kad jos operatoriai reklamuoja kenkėjišką paslaugą RAMP forumuose ir ieško kvalifikuotų filialų prisijungti prie programos.
Eldorado taip pat valdo duomenų nutekėjimo svetainę, kurioje išvardytos aukos, tačiau rašant ji neveikė.
„Windows“ ir „Linux“ šifravimas
„Eldorado“ yra „Go“ pagrindu sukurta išpirkos reikalaujanti programa, kuri gali užšifruoti „Windows“ ir „Linux“ platformas dviem skirtingais variantais, turinčiais daug veikimo panašumų.
Tyrėjai iš kūrėjo gavo šifruotę, kuri buvo pateikta kartu su vartotojo vadovu, kuriame teigiama, kad VMware ESXi hipervizoriams ir „Windows“ yra 32/64 bitų variantai.
Group-IB teigia, kad „Eldorado“ yra unikali plėtra „ir nesiremia anksčiau paskelbtais statybininkų šaltiniais“.
Kenkėjiška programa šifravimui naudoja ChaCha20 algoritmą ir kiekvienam užrakintam failui sukuria unikalų 32 baitų raktą ir 12 baitų nonce. Tada raktai ir nenutrūkimai užšifruojami naudojant RSA su optimalaus asimetrinio šifravimo užpildymo (OAEP) schema.
Pasibaigus šifravimo etapui, failams pridedamas plėtinys „.00000001“, o išpirkos užrašai, pavadinti „HOW_RETURN_YOUR_DATA.TXT“, numetami į aplankus Dokumentai ir Darbalaukis.
„Eldorado“ taip pat užšifruoja tinklo dalis, naudodamas SMB ryšio protokolą, kad padidintų jo poveikį, ir ištrina šešėlines tomų kopijas pažeistuose „Windows“ įrenginiuose, kad būtų išvengta atkūrimo.
Išpirkos reikalaujanti programa praleidžia DLL, LNK, SYS ir EXE failus, taip pat failus ir katalogus, susijusius su sistemos įkrova ir pagrindinėmis funkcijomis, kad sistema nebūtų paleidžiama / netinkama naudoti.
Galiausiai, pagal numatytuosius nustatymus nustatytas savaiminis ištrynimas, kad reagavimo komandos išvengtų aptikimo ir analizės.
Pasak grupės IB tyrėjų, kurie įsiskverbė į operaciją, filialai gali pritaikyti savo atakas. Pavyzdžiui, sistemoje „Windows“ jie gali nurodyti, kuriuos katalogus šifruoti, praleisti vietinius failus, nukreipti tinklo dalis į konkrečius potinklius ir užkirsti kelią savaiminiam kenkėjiškų programų ištrynimui.
Tačiau „Linux“ tinkinimo parametrai apsiriboja šifruojamų katalogų nustatymu.
Gynybos rekomendacijos
Group-IB pabrėžia, kad Eldorado išpirkos programinės įrangos grėsmė yra nauja, atskira operacija, kuri neatsirado kaip kitos grupės prekės ženklo keitimas.
Tyrėjai rekomenduoja šias apsaugos priemones, kurios tam tikru mastu gali padėti apsisaugoti nuo visų išpirkos reikalaujančių programų atakų:
- Įdiekite kelių veiksnių autentifikavimo (MFA) ir kredencialais pagrįstus prieigos sprendimus.
- Naudokite Endpoint Detection and Response (EDR), kad greitai nustatytumėte išpirkos reikalaujančių programų indikatorius ir į juos reaguotumėte.
- Reguliariai kurkite atsargines duomenų kopijas, kad sumažintumėte žalą ir duomenų praradimą.
- Naudokite dirbtinio intelekto analizę ir pažangią kenkėjiškų programų detonaciją, kad realiuoju laiku aptiktumėte įsibrovimą ir reaguotumėte.
- Suteikite pirmenybę ir periodiškai taikykite saugos pataisas, kad ištaisytumėte pažeidžiamumą.
- Mokykite ir mokykite darbuotojus atpažinti ir pranešti apie kibernetinio saugumo grėsmes.
- Atlikite kasmetinius techninius auditus arba saugos vertinimus ir palaikykite skaitmeninę higieną.
- Susilaikykite nuo išpirkos mokėjimo, nes tai retai užtikrina duomenų atkūrimą ir gali sukelti daugiau atakų.