باج افزار Eldorado، یک باج افزار به عنوان سرویس ([1]RaaS) جدید است که فعالیت آن در ماه مارس ۲۰۲۴ مشاهده شد. این باج افزار توانایی رمزگذاری انواع فایلها در سیستم عاملهای ویندوز، لینوکس و VMware ESXi را دارد.
باج افزار Eldorado تاکنون نام و مشخصات 16 قربانی را در وب سایت خود منتشر کرده است که اغلب آنها در ایالات متحده واقع شدهاند و متعلق به بخشهای املاک، آموزش، مراقبتهای بهداشتی و تولیدی میباشند.
محققان شرکت امنیت سایبری Group-IB فعالیت باج افزار Eldorado را زیر نظر گرفته و متوجه شدند که اپراتورهای آن، سرویس مخرب RaaS را در انجمنهای RAMP تبلیغ میکنند و به دنبال هکرها و توسعه دهنگان خبره برای پیوستن به این بدافزار هستند.
رمزگذاری سیستم عاملهای ویندوز و لینوکس توسط باج افزار Eldorado
باج افزار Eldorado یک بدافزار مبتنی بر Go است که میتواند هر دو سیستم عامل ویندوز و لینوکس را از طریق دو نوع متمایز بدافزار با شباهتهای عملیاتی گسترده، رمزگذاری کند.
محققان همچنین یک نمونه رمزگذار از توسعهدهنده این باج افزار دریافت کردهاند که انواع هایپروایزرهای VMware ESXi و ویندوزهای ۳۲ و ۶۴ بیتی را پوشش میدهد. باج افزار Eldorado یک توسعه منحصر به فرد است و به هیچ منبع از پیش شناختهای متکی نمیباشد.
این بدافزار از الگوریتم ChaCha20 برای رمزگذاری استفاده میکند و یک کلید منحصر به فرد 32 بایتی و نانس 12 بایتی (nonce) برای هر یک از فایلهای رمز شده تولید میکند. کلیدها و نانسها سپس با استفاده از RSA و طرح رمزگذاری نامتقارن بهینه و توسعه یافته (OAEP[2]) رمزگذاری میشوند.
پس از مرحله رمزگذاری، پسوند «00000001.» به انتهای فایلها اضافه میگردد و یادداشت اخاذی به نام ” HOW_RETURN_YOUR_DATA.TXT ” در پوشههای Documents و Desktop قرار داده میشود.
باج افزار Eldorado همچنین فولدر share (اشتراک گذاری) شبکه را با استفاده از پروتکل SMB رمزگذاری میکند تا تأثیر حمله خود را به حداکثر برساند. این بدافزار همچنین فایلهای کپی را از دستگاههای ویندوز هک شده برای جلوگیری از بازیابی، حذف میکند.
این باج افزار فایلهای DLL، LNK، SYS و EXE و همچنین فایلها و دایرکتوریهای مرتبط با بوت و عملکردهای اولیه سیستم را رمزگذاری یا حذف نمیکند تا سیستم بتواند بوت وراه اندازی شود.
باج افزار Eldorado به طور پیشفرض دارای قابلیت self-delete (حذف خود) است تا توسط تیمهای امنیتی مورد تجزیه تحلیل قرار نگیرد.
ابن بدافزار را میتوان سفارشی سازی کرد؛ یعنی میتوان مشخص کرد که در سیستم عامل ویندوز کدام دایرکتوریها را رمزگذاری کند، از فایلهای لوکال کدام دایرکتوری صرف نظر نماید، آیا فولدر share شبکه را رمز گذاری کند یا خیر و اینکه آیا باج افزار دارای قابلیت self-delete باشد یا نه!
این پارامترهای سفارشی سازی برای نسخه لینوکس باج افزار Eldorado وجود ندارند.
توصیههای امنیتی
محققان راهکارهایی را پیشنهاد دادهاند که میتوانند تا حدی در برابر تمامی حملات باج افزاری موثر باشند:
- احراز هویت چند عاملی ([3]MFA) و راه حلهای دسترسی مبتنی بر گواهی اعتبار را پیاده سازی کنید.
- مکانیزم EDR را برای شناسایی سریع و پاسخ به نشانههای نفوذ باج افزار به کار گیرید.
- برای به حداقل رساندن تاثیر تهدیدات و از دست دادن دادهها، به طور مرتب از دادهها نسخه پشتیبان تهیه کنید.
- از تجزیه و تحلیل مبتنی بر هوش مصنوعی برای تشخیص نفوذ و پاسخ بلارنگ استفاده کنید.
- دریافت و نصب پچهای امنیتی را به منظور رفع آسیب پذیریها در اولویت قرار داده و آنها را به صورت دورهای اعمال کنید.
- آموزش کارکنان را برای شناسایی و گزارش تهدیدات امنیت سایبری، مهم شمارید.
- انجام ممیزیهای فنی یا ارزیابیهای امنیتی سالانه و بهداشت دیجیتال را مد نظر قرار دهید.
- از پرداخت باج خودداری کنید زیرا چنین کاری به ندرت بازیابی اطلاعات را تضمین میکند و اغلب میتواند منجر به حملات بیشتر شود.
IoCها
SHA256 | دسته بندی |
1375e5d7f672bfd43ff7c3e4a145a96b75b66d8040a5c5f98838f6eb0ab9f27b | Eldorado (32-bit windows) |
7f21d5c966f4fd1a042dad5051dfd9d4e7dfed58ca7b78596012f3f122ae66dd | Eldorado (64-bit windows) |
cb0b9e509a0f16eb864277cd76c4dcaa5016a356dd62c04dff8f8d96736174a7 | Eldorado (64-bit windows) |
b2266ee3c678091874efc3877e1800a500d47582e9d35225c44ad379f12c70de | Eldorado (32-bit linux) |
dc4092a476c29b855a9e5d7211f7272f04f7b4fca22c8ce4c5e4a01f22258c33 | Eldorado (64-bit linux) |
