Go tabanlı bir hizmet olarak fidye yazılımı (RaaS) olan Eldorado, Mart ayından bu yana Windows ve VMware ESXi ortamlarını (çoğunlukla ABD’de eğitim, gayrimenkul ve sağlık sektörlerinde) hedef alıyor.
Fidye yazılımı ilk olarak RAMP forumunda ortaya çıktı, Windows ve Linux için sürümler dağıttı ve ortaklık programının reklamını yaptı. yetenekli ortakları cezbetmek Operasyona sızmayı başaran Group-IB’den gelen rapora göre, gruba katılmak için
Raporda, Eldorado’nun iştirakçilerine saldırılarını kişiselleştirme olanağı sağladığı, örneğin şifrelenecek dizinleri belirleme ve Windows’ta ağ paylaşımlarını hedefleme gibi özellikler sunduğu, Linux özelleştirmesinin ise şifreleme için dizinleri ayarlamakla sınırlı olduğu belirtildi.
Geliştiricilerin Go programlarının kodu yerel, kendi kendine yeten ikili dosyalara çapraz derleme yeteneğinden yararlandıklarını da sözlerine eklediler.
“Fidye yazılımı, platformlar arası yetenekler için Golang’ı kullanıyor, dosya şifrelemesi için Chacha20’yi ve anahtar şifrelemesi için Rivest Shamir Adleman-Optimal Asimetrik Şifreleme Dolgusu’nu (RSA-OAEP) kullanıyor,” Group-IB araştırmacıları yazdı“Paylaşımlı ağlardaki dosyaları Sunucu İleti Bloğu (SMB) protokolünü kullanarak şifreleyebilir.”
Fidye yazılımı ayrıca kurtarmayı engellemek için gölge birim kopyalarını siler, sistem işlevselliğini korumak için kritik sistem dosyalarından kaçınır ve tespit edilmekten kaçınmak için kendini silecek şekilde ayarlanır.
Eldorado Çorbaları Topraktan Yaşama Stratejisini Destekliyor
Sectigo’nun ürün kıdemli başkan yardımcısı Jason Soroko, Eldorado’nun kaçamaklığının şu şekilde arttığını söylüyor: “topraktan geçinmek” taktikleri, enfekte olmuş sistemlerde halihazırda mevcut olan yerel ve meşru araçların kullanılması anlamına gelir.
“Windows WMI ve PowerShell örnektir,” diye açıklıyor. “Bu araçlar yanal olarak hareket etmek veya kaynakları şifrelemek için kullanılabilir.”
Eldorado’nun Windows’ta, DLL’ler gibi normal çalışma açısından kritik öneme sahip belirli dosya türlerini etkilemeyecek şekilde yapılandırılabileceğini de ekliyor.
Soroko, “Bu kötü amaçlı yazılımın Windows sürümü oldukça yapılandırılabilir görünüyor, bu yüzden aynı kötü amaçlı yazılımın saldırı yönteminde farklı varyasyonlar görüyoruz” diyor.
Saldırının arkasındaki motivasyonun şu anda para gibi göründüğünü, hizmet reddinin birincil motivasyon olarak kabul edilmediğini söyledi. Ancak Critical Start’ta siber tehdit araştırmaları kıdemli yöneticisi Callie Guenther, Eldorado’nun dosyaları şifrelemeden önce sanal makineleri (VM’ler) kapatma ve şifreleme yeteneğinin iş sürekliliğini ve veri kullanılabilirliğini önemli ölçüde etkileyebileceğini söylüyor.
“VMware ESXi’ye odaklanmak, saldırganların hasarı en üst düzeye çıkarmak için giderek daha fazla sanallaştırılmış ortamları hedef aldığı gelişen tehdit ortamını vurguluyor,” diye ekliyor.
Yol Haritası Olan Hırslı Bir Tehdit Aktörü
Menlo Security’de siber güvenlik uzmanı olan Ngoc Bui, birden fazla işletim sistemini enfekte edebilme yeteneğinin, saldırının etki alanını genişlettiği için her zaman dikkate değer olduğunu söylüyor.
“Ancak, şifreleme yöntemlerinin ve fidye yazılımının sıfırdan oluşturulmasının birleşimi dikkate değerdir,” diye açıklıyor. “Bu bana, saflarında deneyimli, yetenekli fidye yazılımı kodlayıcıları olabileceği sinyalini veriyor.”
Bu kişilerin muhtemelen bir bedeli olduğunu ve bu çetenin arkasında iyi kaynaklar olabileceğini de ekliyor.
Bui, “Önümüzdeki aylarda, neler başarabileceklerini, gerçekte neler yapabileceklerini ve ne kadar sayıda iştirakçi çekebileceklerini görmek için onları izlemeye değer olacaklar” diyor.
Kuruluşların, kendi güvenliklerini sağlamalarını öneriyor tehdit istihbarat analistleri Bu çeteyi izliyoruz ve olası enfeksiyonların bir adım önünde olmak için diğer iş birimleriyle uygulanabilir istihbarat paylaşıyoruz.
Soroko, proaktif savunma için “sistemlerinizin yamalandığından, daha güçlü kimlik doğrulama biçimleri kullandığınızdan ve bu kötü amaçlı yazılımın belirtilerini izlemeye devam ettiğinizden emin olun” tavsiyesinde bulunuyor.