باج افزار جدید Eldorado ویندوز و VMware ESXi VM را هدف قرار می دهد

یک باج افزار جدید به عنوان یک سرویس (RaaS) به نام Eldorado در ماه مارس ظاهر شد و با انواع قفل برای VMware ESXi و Windows عرضه شد. این باند تاکنون ۱۶ قربانی گرفته است که بیشتر آنها در ایالات متحده در بخش های املاک، آموزشی، مراقبت های بهداشتی و تولیدی هستند. محققان شرکت امنیت سایبری Group-IB فعالیت Eldorado را زیر نظر گرفتند و متوجه شدند که اپراتورهای آن، سرویس مخرب را در انجمن های RAMP تبلیغ می کنند و به دنبال استعدادهای خبره برای پیوستن به این برنامه هستند. الدورادو همچنین یک سایت نشت اطلاعات دارد که قربانیان را فهرست می کند، اما در زمان نگارش این سایت از کار افتاده بود.

دانلود رایگان گزارش امنیتی ۲۰۲۴

رمزگذاری ویندوز و لینوکس

Eldorado یک باج افزار مبتنی بر Go است که می تواند هر دو سیستم عامل ویندوز و لینوکس را از طریق دو نوع متمایز با شباهت های عملیاتی گسترده رمزگذاری کند. محققان یک رمزگذار از توسعه‌دهنده دریافت کردند که همراه با کتابچه راهنمای کاربر آمده بود که انواع ۳۲/۶۴ بیتی برای VMware ESXi hypervisors و ویندوز وجود دارد. Group-IB می گوید که الدورادو یک توسعه منحصر به فرد است “و به منابع سازنده قبلا منتشر شده متکی نیست.” این بدافزار از الگوریتم ChaCha20 برای رمزگذاری استفاده می کند و یک کلید منحصر به فرد ۳۲ بایتی و ۱۲ بایت nonce برای هر یک از فایل های قفل شده تولید می کند. سپس کلیدها و nonces با استفاده از RSA با طرح بهینه رمز گذاری نامتقارن (OAEP) رمزگذاری می‌شوند. پس از مرحله رمزگذاری، فایل‌ها پسوند «.۰۰۰۰۰۰۰۱» اضافه می‌شوند و یادداشت‌های باج به نام «HOW_RETURN_YOUR_DATA.TXT» در پوشه‌های Documents و Desktop حذف می‌شوند.

الدورادو همچنین اشتراک‌های شبکه را با استفاده از پروتکل ارتباطی SMB رمزگذاری می‌کند تا تأثیر آن را به حداکثر برساند و کپی‌های حجمی سایه‌ای را روی دستگاه‌های ویندوز در معرض خطر برای جلوگیری از بازیابی حذف می‌کند. باج‌افزار فایل‌های DLL، LNK، SYS، و EXE و همچنین فایل‌ها و فهرست‌های مرتبط با بوت شدن سیستم و عملکردهای اولیه را حذف می‌کند تا از راه‌اندازی/غیرقابل استفاده کردن سیستم جلوگیری کند. در نهایت، به طور پیش‌فرض روی حذف خودکار تنظیم شده است تا از شناسایی و تجزیه و تحلیل توسط تیم‌های پاسخ‌دهی اجتناب شود. به گفته محققان Group-IB که در این عملیات نفوذ کرده اند، شرکت های وابسته می توانند حملات خود را سفارشی کنند. به عنوان مثال، در ویندوز آنها می توانند مشخص کنند که کدام دایرکتوری ها را رمزگذاری کنند، از فایل های محلی صرف نظر کنند، اشتراک های شبکه را در زیر شبکه های خاص مورد هدف قرار دهند و از حذف خود بدافزار جلوگیری کنند.

با این حال، در لینوکس، پارامترهای سفارشی سازی در تنظیم دایرکتوری ها برای رمزگذاری متوقف می شوند.

توصیه های دفاعی

Group-IB تاکید می‌کند که تهدید باج‌افزار Eldorado یک عملیات جدید و مستقل است که به‌عنوان برندسازی مجدد گروه دیگری ظاهر نشده است. «اگرچه الدورادو نسبتا جدید است و برندی از گروه‌های باج‌افزار معروف نیست، اما الدورادو به سرعت توانایی خود را در مدت کوتاهی برای وارد کردن آسیب‌های قابل توجه به داده‌ها، شهرت و تداوم کسب‌وکار قربانیان خود نشان داده است.» – Group-IB

محققان دفاعیات زیر را توصیه می‌کنند که می‌توانند تا حدی در برابر همه حملات باج‌افزار محافظت کنند:

1. پیاده سازی احراز هویت چند عاملی (MFA) و راه حل های دسترسی مبتنی بر اعتبار.
2. از تشخیص و پاسخ نقطه پایانی (EDR) برای شناسایی سریع و پاسخ به شاخص‌های باج‌افزار استفاده کنید.
3. برای به حداقل رساندن آسیب و از دست دادن داده ها، به طور مرتب از داده ها نسخه پشتیبان تهیه کنید.
4. از تجزیه و تحلیل مبتنی بر هوش مصنوعی و انفجار بدافزار پیشرفته برای تشخیص نفوذ و پاسخ در زمان واقعی استفاده کنید.
5. برای رفع آسیب پذیری ها، وصله های امنیتی را اولویت بندی کرده و به صورت دوره ای اعمال کنید.
6. آموزش و آموزش کارکنان برای شناسایی و گزارش تهدیدات امنیت سایبری.
7. انجام ممیزی های فنی یا ارزیابی های امنیتی سالانه و حفظ بهداشت دیجیتال.
8. از پرداخت باج خودداری کنید زیرا به ندرت بازیابی اطلاعات را تضمین می کند و می تواند منجر به حملات بیشتر شود.

چگونه از حملات سایبری جلوگیری کنیم؟

منبع: www.bleepingcomputer.com