خانه » نفوذ باج افزار Eldorado به سیستم‌های ویندوز، لینوکس و VMهای VMware ESXi

نفوذ باج افزار Eldorado به سیستم‌های ویندوز، لینوکس و VMهای VMware ESXi

توسط Vulnerbyte
119 بازدید
باج افزار Eldorado

باج افزار Eldorado، یک باج افزار به عنوان سرویس ([1]RaaS) جدید است که فعالیت آن در ماه مارس ۲۰۲۴ مشاهده شد. این باج افزار توانایی رمزگذاری انواع فایل‌ها در سیستم عامل‌های ویندوز، لینوکس و VMware ESXi را دارد.

باج افزار Eldorado تاکنون نام و مشخصات 16 قربانی را در وب سایت خود منتشر کرده است که اغلب آنها در ایالات متحده واقع شده‌اند و متعلق به بخش‌های املاک، آموزش، مراقبت‌های بهداشتی و تولیدی می‌باشند.

باج افزار Eldorado
اهداف باج افزار Eldorado

محققان شرکت امنیت سایبری Group-IB فعالیت باج افزار Eldorado را زیر نظر گرفته و متوجه شدند که اپراتورهای آن، سرویس مخرب RaaS را در انجمن‌های RAMP تبلیغ می‌کنند و به دنبال هکرها و توسعه دهنگان خبره برای پیوستن به این بدافزار هستند.

 

رمزگذاری سیستم عامل‌های ویندوز و لینوکس توسط باج افزار Eldorado

باج افزار Eldorado یک بدافزار مبتنی بر Go است که می‌تواند هر دو سیستم عامل ویندوز و لینوکس را از طریق دو نوع متمایز بدافزار با شباهت‌های عملیاتی گسترده، رمزگذاری کند.

محققان همچنین یک نمونه رمزگذار از توسعه‌دهنده این باج افزار دریافت کرده‌اند که انواع هایپروایزرهای VMware ESXi و ویندوزهای ۳۲ و ۶۴ بیتی را پوشش میدهد. باج افزار Eldorado یک توسعه منحصر به فرد است و به هیچ منبع از پیش شناخته‌ای متکی نمی‌باشد.

این بدافزار از الگوریتم ChaCha20 برای رمزگذاری استفاده می‌کند و یک کلید منحصر به فرد 32 بایتی و نانس 12 بایتی (nonce) برای هر یک از فایل‌های رمز شده تولید می‌کند. کلیدها و نانس‌ها سپس با استفاده از RSA و طرح رمزگذاری نامتقارن بهینه و توسعه یافته (OAEP[2]) رمزگذاری می‌شوند.

پس از مرحله رمزگذاری، پسوند «00000001.» به انتهای فایل‌ها اضافه می‌گردد و یادداشت اخاذی به نام ” HOW_RETURN_YOUR_DATA.TXT ” در پوشه‌های Documents و Desktop قرار داده می‌شود.

یادداشت اخاذی باج افزار Eldorado

باج افزار Eldorado همچنین فولدر share  (اشتراک گذاری‌) شبکه را با استفاده از پروتکل SMB رمزگذاری می‌کند تا تأثیر حمله خود را به حداکثر برساند. این بدافزار همچنین فایل‌های کپی را از دستگاه‌های ویندوز هک شده برای جلوگیری از بازیابی، حذف می‌کند.

این باج افزار فایل‌های DLL، LNK، SYS و EXE و همچنین فایل‌ها و دایرکتوری‌های مرتبط با بوت و عملکردهای اولیه سیستم را رمزگذاری یا حذف نمی‌کند تا سیستم بتواند بوت وراه اندازی شود.

باج افزار Eldorado به طور پیش‌فرض دارای قابلیت self-delete  (حذف خود) است تا توسط تیم‌های امنیتی مورد تجزیه تحلیل قرار نگیرد.

ابن بدافزار را می‌توان سفارشی سازی کرد؛ یعنی می‌توان مشخص کرد که در سیستم عامل ویندوز کدام دایرکتوری‌ها را رمزگذاری کند، از فایل‌های لوکال کدام دایرکتوری صرف نظر نماید، آیا فولدر share  شبکه را رمز گذاری کند یا خیر و اینکه آیا باج افزار دارای قابلیت self-delete باشد یا نه!

این پارامترهای سفارشی سازی برای نسخه لینوکس باج افزار Eldorado وجود ندارند.

 

توصیه‌های امنیتی

محققان راهکارهایی را پیشنهاد داده‌اند که می‌توانند تا حدی در برابر تمامی حملات باج‌ افزاری موثر باشند:

  • احراز هویت چند عاملی ([3]MFA) و راه حل‌های دسترسی مبتنی بر گواهی اعتبار را پیاده سازی کنید.
  • مکانیزم EDR را برای شناسایی سریع و پاسخ به نشانه‌های نفوذ باج‌ افزار به کار گیرید.
  • برای به حداقل رساندن تاثیر تهدیدات و از دست دادن داده‌ها، به طور مرتب از داده‌ها نسخه پشتیبان تهیه کنید.
  • از تجزیه و تحلیل مبتنی بر هوش مصنوعی برای تشخیص نفوذ و پاسخ بلارنگ استفاده کنید.
  • دریافت و نصب پچ‌های امنیتی را به منظور رفع آسیب پذیری‌ها در اولویت قرار داده و آنها را به صورت دوره‌ای اعمال کنید.
  • آموزش کارکنان را برای شناسایی و گزارش تهدیدات امنیت سایبری، مهم شمارید.
  • انجام ممیزی‌های فنی یا ارزیابی‌های امنیتی سالانه و بهداشت دیجیتال را مد نظر قرار دهید.
  • از پرداخت باج خودداری کنید زیرا چنین کاری به ندرت بازیابی اطلاعات را تضمین می‌کند و اغلب می‌تواند منجر به حملات بیشتر شود.

 

IoCها

SHA256

دسته بندی

1375e5d7f672bfd43ff7c3e4a145a96b75b66d8040a5c5f98838f6eb0ab9f27b

Eldorado (32-bit windows)

7f21d5c966f4fd1a042dad5051dfd9d4e7dfed58ca7b78596012f3f122ae66dd

Eldorado (64-bit windows)

cb0b9e509a0f16eb864277cd76c4dcaa5016a356dd62c04dff8f8d96736174a7

Eldorado (64-bit windows)

b2266ee3c678091874efc3877e1800a500d47582e9d35225c44ad379f12c70de

Eldorado (32-bit linux)

dc4092a476c29b855a9e5d7211f7272f04f7b4fca22c8ce4c5e4a01f22258c33

Eldorado (64-bit linux)

[1] ransomware-as-a-service

[2] Optimal Asymmetric Encryption Padding

[3] multi-factor authentication

 

منابع

 

مقاله مرتبط اخیر

همچنین ممکن است دوست داشته باشید

پیام بگذارید