自 3 月份以来,基于 Go 的勒索软件即服务 (RaaS) Eldorado 一直针对 Windows 和 VMware ESXi 环境(主要在美国的教育、房地产和医疗保健领域)。根据成功渗透到该行动中的 Group-IB 的报告,该勒索软件首先出现在 RAMP 论坛上,分发适用于 Windows 和 Linux 的版本并宣传其联盟计划,希望吸引熟练的合作伙伴加入该组织。报告指出,Eldorado 允许附属机构定制其攻击,例如指定要加密的目录,以及针对 Windows 上的网络共享,而 Linux 定制仅限于设置要加密的目录。他们补充说,开发人员正在利用 Go 程序将代码交叉编译为本机的、自包含的二进制文件的能力。Group-IB 研究人员写道: “勒索软件使用 Golang 实现跨平台功能,使用 Chacha20 进行文件加密,使用 Rivest Shamir Adleman-Optimal 非对称加密填充 (RSA-OAEP) 进行密钥加密。它可以使用服务器消息块 (SMB) 协议加密共享网络上的文件。”该勒索软件还会删除卷影副本以防止恢复,避开关键系统文件以维持系统功能,并设置为自我删除以逃避检测。埃尔多拉多强化“靠土地谋生”战略Sectigo 产品高级副总裁 Jason Soroko 表示,Eldorado 通过“因地制宜”的策略增强了其逃避能力,这意味着它利用了受感染系统上已有的原生合法工具。“Windows WMI 和 PowerShell 就是例子,”他解释道。“这些工具可用于横向移动或加密资源。”他补充说,可以在 Windows 中配置 Eldorado,以不影响某些对正常运行至关重要的文件,例如 DLL。“该恶意软件的 Windows 变种似乎具有高度可配置性,这就是为什么我们会看到同一种恶意软件的攻击方法存在不同的变化,”Soroko 说。他说,目前看来,攻击背后的动机是金钱,拒绝服务攻击并不是主要动机。但 Critical Start 网络威胁研究高级经理 Callie Guenther 表示,Eldorado 在加密文件之前关闭并加密虚拟机 (VM) 的能力可能会严重影响业务连续性和数据可用性。她补充道:“对 VMware ESXi 的关注凸显了不断演变的威胁形势,攻击者越来越多地瞄准虚拟化环境来最大化造成损害。”野心勃勃的威胁行为者及其路线图Menlo Security 的网络安全专家 Ngoc Bui 表示,感染多个操作系统的能力始终值得注意,因为它扩大了攻击范围。“然而,值得注意的是加密方法的结合以及从头开始创建勒索软件,”他解释道。“这向我发出信号,他们队伍中可能存在经验丰富的勒索软件编码员。”他补充说,这些人很可能是有代价的,这表明该团伙背后可能也有良好的资源。Bui 表示:“接下来的几个月值得关注,看看他们的能力、他们实际上会做什么以及他们能吸引多少分支机构。”他建议各组织确保其威胁情报分析师正在监视该团伙,并与其他业务部门共享可操作的情报,以防止可能发生的感染。对于主动防御,“确保您的系统已修补,使用更强大的身份验证形式,并继续监视此恶意软件的迹象,”Soroko 建议道。
