Ένα νέο ransomware-as-a-service (RaaS), που ονομάζεται Eldorado, εμφανίστηκε τον Μάρτιο και στοχεύει VMware ESXi και Windows συστήματα.
Η συμμορία έχει αναφέρει ότι έχει παραβιάσει ήδη 16 θύματα. Τα περισσότερα βρίσκονται στις ΗΠΑ και ανήκουν στους τομείς του real estate, της εκπαίδευσης, της υγειονομικής περίθαλψης και των κατασκευών.
Ερευνητές της εταιρείας κυβερνοασφάλειας Group-IB παρακολούθησαν τη δραστηριότητα του Eldorado ransomware και παρατήρησαν ότι οι χειριστές του προσπαθούν να προωθήσουν την κακόβουλη υπηρεσία σε RAMP φόρουμ και αναζητούν εξειδικευμένους συνεργάτες για να συμμετάσχουν στο πρόγραμμα.
Όπως οι περισσότερες σύγχρονες ransomware συμμορίες, έτσι και η Eldorado διαχειρίζεται έναν ιστότοπο διαρροής δεδομένων, για τον εκβιασμό των θυμάτων.
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Δείτε επίσης: Το BianLian Ransomware χτυπά μεγάλες εταιρείες των ΗΠΑ
Το Eldorado ransomware στοχεύει Windows και Linux
Το Eldorado είναι ένα ransomware που βασίζεται στη Go και μπορεί να κρυπτογραφήσει πλατφόρμες Windows και Linux μέσω δύο διαφορετικών παραλλαγών.
Οι ερευνητές έλαβαν από τον προγραμματιστή έναν κρυπτογραφητή, με ένα εγχειρίδιο χρήστη που έλεγε ότι υπάρχουν διαθέσιμες παραλλαγές 32/64-bit για VMware ESXi hypervisors και Windows.
Το κακόβουλο λογισμικό χρησιμοποιεί τον αλγόριθμο ChaCha20 για κρυπτογράφηση και δημιουργεί ένα μοναδικό κλειδί 32 byte και 12 byte nonce για καθένα από τα κλειδωμένα αρχεία. Στη συνέχεια, τα κλειδιά και τα nonces κρυπτογραφούνται χρησιμοποιώντας RSA με το σχήμα Optimal Asymmetric Encryption Padding (OAEP).
Τα κρυπτογραφημένα αρχεία αποκτούν την επέκταση “.00000001“. Εμφανίζονται, επίσης, σημειώματα λύτρων με το όνομα “HOW_RETURN_YOUR_DATA.TXT” στους φακέλους Documents και Desktop.
Το Eldorado ransomware κρυπτογραφεί και network shares για να μεγιστοποιήσει τον αντίκτυπό του, ενώ μπορεί και να διαγράφει shadow volume copies στα παραβιασμένα μηχανήματα Windows για να εμποδίσει τους χρήστες να ανακτήσουν δωρεάν τα αρχεία τους.
Το ransomware παρακάμπτει αρχεία DLL, LNK, SYS και EXE, καθώς και αρχεία και καταλόγους που σχετίζονται με την εκκίνηση του συστήματος και τη βασική λειτουργικότητα.
Δείτε επίσης: Οι hackers Volcano Demon διανέμουν το νέο LukaLocker ransomware
Τέλος, αυτοδιαγράφεται για να αποφευχθεί ο εντοπισμός και η ανάλυση από τις ομάδες απόκρισης.
Σύμφωνα με ερευνητές της Group-IB, οι συνεργάτες του ransomware μπορούν να προσαρμόσουν τις επιθέσεις τους. Για παράδειγμα, στα Windows μπορούν να καθορίσουν ποιους καταλόγους θα κρυπτογραφήσουν, να παρακάμψουν τοπικά αρχεία, να στοχεύσουν network shares σε συγκεκριμένα υποδίκτυα και να αποτρέψουν την αυτοδιαγραφή του κακόβουλου λογισμικού.
Στο Linux, ωστόσο, προσαρμογές γίνονται μόνο ως προς τη ρύθμιση των καταλόγων για κρυπτογράφηση.
Προστασία από ransomware
Δημιουργία αντίγραφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Δείτε επίσης: Η Brain Cipher ζητά συγγνώμη για την επίθεση ransomware στην Ινδονησία
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransomware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com