Только для квалифицированных партнеров
Новый вымогательский (RaaS) сервис Eldorado нацелен на системы под управлением Windows, а также виртуальные машины VMware ESXi. К настоящему времени от атак Eldorado уже пострадали не менее 16 организаций, 13 из которых располагаются в США, две – в Италии и одна – в Хорватии. Это представители сектора недвижимости, образования, медицины и производства.
Согласно исследованию экспертов компании Group-IB, группировка, стоящая за сервисом, развернула деятельность в марте 2024 г. Реклама сервиса отмечена на киберкриминальных форумах RAMP – операторы Eldorado приглашали к сотрудничеству «квалифицированных» партнеров.
Шифровальщик Eldorado написан на Go и способен шифровать данные как под Windows, так и под Linux – за разные платформы отвечают отдельные варианты.
Исследователи смогли внедриться в операцию и получить непосредственно от разработчика действующий шифровальщик, который вдобавок сопровождался руководством пользователя. В мануале говорится, что вредонос способен атаковать 32- и 64-разрядные версии Windows и гипервизоры VMware ESXi. Эксперты Group-IB отметили, что Eldorado – уникален и «не полагается на какие бы то ни было ранее опубликованные компиляторы».
Технические детали
Для шифрования используется алгоритм ChaCha20. Процесс сопровождается формированием уникального 32-байтного ключа и одноразового случайного числа длинной 12 байтов для каждого файла. Ключи и случайные числа, в свою очередь, шифруются по алгоритму RSA с использованием схемы оптимальное асимметричное шифрование с дополнением (OAEP).
Заблокированные файлы снабжаются расширением .00000001, а в каталогах «Документы» и «Рабочий стол» появляются текстовые файлы с требованием выкупа (HOW_RETURN_YOUR_DATA.TXT).
Характерно, что злоумышленники в случае отказа выплачивать требуемую сумму, обещают повторно атаковать текущую жертву, а также использовать украденные данные для атак на партнеров и поставщиков.
Чтобы усилить воздействие, Eldorado через протокол SMB производит шифрование сетевых приводов и удаляет теневые копии. При этом вредонос пропускает файлы DLL, LNK, SYS и EXE, а также ключевые системные файлы, чтобы обеспечить сохранение базовой функциональности. Если вредонос обнаруживает тестовую или отладочную среду, он немедленно самоуничтожается.
Эксперты Group-IB выяснили, что участники партнерской программы могут также перенастраивать шифровальщик под Windows по своему усмотрению: например, указывать, какие каталоги шифровать, а какие нет, пропускать локальные файлы, нацеливаться только на сетевые приводы в конкретных подсетях и даже отключать функцию самоудаления. Настройки варианта под Linux ограничиваются указанием, какие каталоги шифровать, а какие нет.
В связях не замечены
В Group-IB подчеркивают, что Eldorado – новый игрок, не связанный с какими-либо уже известными в прошлом группировками. Однако за короткое время – с марта 2024 г. – Eldorado продемонстрировала способность наносить громадный ущерб данным жертв, а также их репутации и непрерывности бизнес-процессов.
Эксперты рекомендуют использовать многофакторную авторизацию везде, где это возможно, EDR-системы для оперативного выявления признаков активности шифровальщика и ее блокировки, а также соблюдать все рекомендуемые практики по обеспечению кибербезопасности, такие как регулярное резервное копирование, обновление ПО и аудит безопасности, а также обучение работников основам цифровой гигиены. Отдельно рекомендовано использовать аналитические средства на базе искусственного интеллекта для выявления вредоносов в режиме реального времени.
«ИИ, если он правильно настроен на обнаружение вредоносного ПО, способен молниеносно заблокировать угрозу и предотвратить массу неприятностей, – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – Однако полагаться на него как на безупречный инструмент, который никогда не ошибается, не стоит: злоумышленники очень тщательно отслеживают все тенденции в сфере информационной безопасности, и вероятность того, что они рано или поздно найдут способ обходить и такую защиту, очень высока».
Специалисты Group-IB также отмечают, что платить вымогателям категорически не стоит, поскольку это не только не гарантирует возвращения данных, но и подталкивает злоумышленников на проведение новых атак.
Поделиться
