Новый игрок в сфере вымогательского ПО шифрует каждый файл уникальным ключом

Недавно появившаяся группировка киберпреступников Eldorado орудует крайне зловредным RaaS-шифровальщиком, атакующим системы под Windows, Linux и гипервизоры VMware ESXi. За четыре месяца пострадали 16 американских и европейских организаций.

Только для квалифицированных партнеров

Новый вымогательский (RaaS) сервис Eldorado нацелен на системы под управлением Windows, а также виртуальные машины VMware ESXi. К настоящему времени от атак Eldorado уже пострадали не менее 16 организаций, 13 из которых располагаются в США, две – в Италии и одна – в Хорватии. Это представители сектора недвижимости, образования, медицины и производства.

Согласно исследованию экспертов компании Group-IB, группировка, стоящая за сервисом, развернула деятельность в марте 2024 г. Реклама сервиса отмечена на киберкриминальных форумах RAMP – операторы Eldorado приглашали к сотрудничеству «квалифицированных» партнеров.

Шифровальщик Eldorado написан на Go и способен шифровать данные как под Windows, так и под Linux – за разные платформы отвечают отдельные варианты.

От деятельности киберпреступников из Eldorado уже пострадали 13 американских и три европейских организации

Исследователи смогли внедриться в операцию и получить непосредственно от разработчика действующий шифровальщик, который вдобавок сопровождался руководством пользователя. В мануале говорится, что вредонос способен атаковать 32- и 64-разрядные версии Windows и гипервизоры VMware ESXi. Эксперты Group-IB отметили, что Eldorado – уникален и «не полагается на какие бы то ни было ранее опубликованные компиляторы».

Технические детали

Для шифрования используется алгоритм ChaCha20. Процесс сопровождается формированием уникального 32-байтного ключа и одноразового случайного числа длинной 12 байтов для каждого файла. Ключи и случайные числа, в свою очередь, шифруются по алгоритму RSA с использованием схемы оптимальное асимметричное шифрование с дополнением (OAEP).

Заблокированные файлы снабжаются расширением .00000001, а в каталогах «Документы» и «Рабочий стол» появляются текстовые файлы с требованием выкупа (HOW_RETURN_YOUR_DATA.TXT).

Характерно, что злоумышленники в случае отказа выплачивать требуемую сумму, обещают повторно атаковать текущую жертву, а также использовать украденные данные для атак на партнеров и поставщиков.

Чтобы усилить воздействие, Eldorado через протокол SMB производит шифрование сетевых приводов и удаляет теневые копии. При этом вредонос пропускает файлы DLL, LNK, SYS и EXE, а также ключевые системные файлы, чтобы обеспечить сохранение базовой функциональности. Если вредонос обнаруживает тестовую или отладочную среду, он немедленно самоуничтожается.

Эксперты Group-IB выяснили, что участники партнерской программы могут также перенастраивать шифровальщик под Windows по своему усмотрению: например, указывать, какие каталоги шифровать, а какие нет, пропускать локальные файлы, нацеливаться только на сетевые приводы в конкретных подсетях и даже отключать функцию самоудаления. Настройки варианта под Linux ограничиваются указанием, какие каталоги шифровать, а какие нет.

В связях не замечены

В Group-IB подчеркивают, что Eldorado – новый игрок, не связанный с какими-либо уже известными в прошлом группировками. Однако за короткое время – с марта 2024 г. – Eldorado продемонстрировала способность наносить громадный ущерб данным жертв, а также их репутации и непрерывности бизнес-процессов.

Эксперты рекомендуют использовать многофакторную авторизацию везде, где это возможно, EDR-системы для оперативного выявления признаков активности шифровальщика и ее блокировки, а также соблюдать все рекомендуемые практики по обеспечению кибербезопасности, такие как регулярное резервное копирование, обновление ПО и аудит безопасности, а также обучение работников основам цифровой гигиены. Отдельно рекомендовано использовать аналитические средства на базе искусственного интеллекта для выявления вредоносов в режиме реального времени.

«ИИ, если он правильно настроен на обнаружение вредоносного ПО, способен молниеносно заблокировать угрозу и предотвратить массу неприятностей, – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – Однако полагаться на него как на безупречный инструмент, который никогда не ошибается, не стоит: злоумышленники очень тщательно отслеживают все тенденции в сфере информационной безопасности, и вероятность того, что они рано или поздно найдут способ обходить и такую защиту, очень высока».

Специалисты Group-IB также отмечают, что платить вымогателям категорически не стоит, поскольку это не только не гарантирует возвращения данных, но и подталкивает злоумышленников на проведение новых атак.