یک باج افزار جدید به عنوان یک سرویس (RaaS) به نام Eldorado در ماه مارس ظاهر شد و با انواع قفل برای VMware ESXi و Windows عرضه شد. این باند تاکنون ۱۶ قربانی گرفته است که بیشتر آنها در ایالات متحده در بخش های املاک، آموزشی، مراقبت های بهداشتی و تولیدی هستند. محققان شرکت امنیت سایبری Group-IB فعالیت Eldorado را زیر نظر گرفتند و متوجه شدند که اپراتورهای آن، سرویس مخرب را در انجمن های RAMP تبلیغ می کنند و به دنبال استعدادهای خبره برای پیوستن به این برنامه هستند. الدورادو همچنین یک سایت نشت اطلاعات دارد که قربانیان را فهرست می کند، اما در زمان نگارش این سایت از کار افتاده بود.
دانلود رایگان گزارش امنیتی ۲۰۲۴
رمزگذاری ویندوز و لینوکس
Eldorado یک باج افزار مبتنی بر Go است که می تواند هر دو سیستم عامل ویندوز و لینوکس را از طریق دو نوع متمایز با شباهت های عملیاتی گسترده رمزگذاری کند. محققان یک رمزگذار از توسعهدهنده دریافت کردند که همراه با کتابچه راهنمای کاربر آمده بود که انواع ۳۲/۶۴ بیتی برای VMware ESXi hypervisors و ویندوز وجود دارد. Group-IB می گوید که الدورادو یک توسعه منحصر به فرد است “و به منابع سازنده قبلا منتشر شده متکی نیست.” این بدافزار از الگوریتم ChaCha20 برای رمزگذاری استفاده می کند و یک کلید منحصر به فرد ۳۲ بایتی و ۱۲ بایت nonce برای هر یک از فایل های قفل شده تولید می کند. سپس کلیدها و nonces با استفاده از RSA با طرح بهینه رمز گذاری نامتقارن (OAEP) رمزگذاری میشوند. پس از مرحله رمزگذاری، فایلها پسوند «.۰۰۰۰۰۰۰۱» اضافه میشوند و یادداشتهای باج به نام «HOW_RETURN_YOUR_DATA.TXT» در پوشههای Documents و Desktop حذف میشوند.
الدورادو همچنین اشتراکهای شبکه را با استفاده از پروتکل ارتباطی SMB رمزگذاری میکند تا تأثیر آن را به حداکثر برساند و کپیهای حجمی سایهای را روی دستگاههای ویندوز در معرض خطر برای جلوگیری از بازیابی حذف میکند. باجافزار فایلهای DLL، LNK، SYS، و EXE و همچنین فایلها و فهرستهای مرتبط با بوت شدن سیستم و عملکردهای اولیه را حذف میکند تا از راهاندازی/غیرقابل استفاده کردن سیستم جلوگیری کند. در نهایت، به طور پیشفرض روی حذف خودکار تنظیم شده است تا از شناسایی و تجزیه و تحلیل توسط تیمهای پاسخدهی اجتناب شود. به گفته محققان Group-IB که در این عملیات نفوذ کرده اند، شرکت های وابسته می توانند حملات خود را سفارشی کنند. به عنوان مثال، در ویندوز آنها می توانند مشخص کنند که کدام دایرکتوری ها را رمزگذاری کنند، از فایل های محلی صرف نظر کنند، اشتراک های شبکه را در زیر شبکه های خاص مورد هدف قرار دهند و از حذف خود بدافزار جلوگیری کنند.
با این حال، در لینوکس، پارامترهای سفارشی سازی در تنظیم دایرکتوری ها برای رمزگذاری متوقف می شوند.
توصیه های دفاعی
Group-IB تاکید میکند که تهدید باجافزار Eldorado یک عملیات جدید و مستقل است که بهعنوان برندسازی مجدد گروه دیگری ظاهر نشده است. «اگرچه الدورادو نسبتا جدید است و برندی از گروههای باجافزار معروف نیست، اما الدورادو به سرعت توانایی خود را در مدت کوتاهی برای وارد کردن آسیبهای قابل توجه به دادهها، شهرت و تداوم کسبوکار قربانیان خود نشان داده است.» – Group-IB
محققان دفاعیات زیر را توصیه میکنند که میتوانند تا حدی در برابر همه حملات باجافزار محافظت کنند:
- پیاده سازی احراز هویت چند عاملی (MFA) و راه حل های دسترسی مبتنی بر اعتبار.
- از تشخیص و پاسخ نقطه پایانی (EDR) برای شناسایی سریع و پاسخ به شاخصهای باجافزار استفاده کنید.
- برای به حداقل رساندن آسیب و از دست دادن داده ها، به طور مرتب از داده ها نسخه پشتیبان تهیه کنید.
- از تجزیه و تحلیل مبتنی بر هوش مصنوعی و انفجار بدافزار پیشرفته برای تشخیص نفوذ و پاسخ در زمان واقعی استفاده کنید.
- برای رفع آسیب پذیری ها، وصله های امنیتی را اولویت بندی کرده و به صورت دوره ای اعمال کنید.
- آموزش و آموزش کارکنان برای شناسایی و گزارش تهدیدات امنیت سایبری.
- انجام ممیزی های فنی یا ارزیابی های امنیتی سالانه و حفظ بهداشت دیجیتال.
- از پرداخت باج خودداری کنید زیرا به ندرت بازیابی اطلاعات را تضمین می کند و می تواند منجر به حملات بیشتر شود.
چگونه از حملات سایبری جلوگیری کنیم؟
منبع: www.bleepingcomputer.com
جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.
با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.