Group-IB araştırmacıları, çeşitli sektörleri hedef alan çapraz platform şifreleme işlemlerine sahip Eldorado – Golang tabanlı fidye yazılımlarında keskin bir artış olduğunu bildiriyor. Eldorado fidye yazılımı iştiraklerinin nasıl çalıştığını ve işletmenizi saldırılardan nasıl koruyacağınızı öğrenin.
Group-IB Threat Intelligence analistleri, operatörlerinin yetenekli iştirakler bulmak için RAMP fidye yazılımı forumlarında tanıttığı Go tabanlı bir fidye yazılımı olan Eldorado’yu içeren saldırılarda artış olduğunu bildirdi. Yeni saldırı, Linux sunucularına yönelik artan fidye yazılımı tehditleri nedeniyle özellikle Linux kullanan kullanıcılar için endişe verici olmalı.
RAMP’ın, fidye yazılımı çeteleri için en popüler forumlardan biri olduğu ve 2022 ile 2023 yılları arasında yeni RaaS (fidye yazılımı hizmeti olarak) programlarının %60’ını tanıttığı bildiriliyor.
Bu dönemde, Group-IB, Yanluowang, Qilin, Knight ve qBit gibi iyi bilinen programlar ve daha az bilinen araçlar da dahil olmak üzere karanlık web forumlarında 27 RaaS program reklamı tespit etti. 2023’te, RaaS programları için ortak arayan reklamların sayısı 1,5 kat arttı ve bu da yetenekli iştirakçilere olan talebin arttığını gösteriyordu. Mart 2024’te araştırmacılar, RAMP’ta Eldorado için bir fidye yazılımı iştirak programıyla karşılaştılar; bu program, “$$$” adıyla bir kullanıcının pentester’lar için bir dolap ve yükleyiciyi tanıtmasıyla başladı.
Eldorado, Golang’da yazılmış bir çapraz platform fidye yazılımıdır. Dosya şifrelemesi için Chacha20 algoritmasını ve Windows ve Linux platformlarında üretilen anahtarları şifrelemek için RSA-OAEP’yi (Rivest Shamir Adleman-Optimal Asimetrik Şifreleme Dolgusu) kullanır. VMware ESXi hipervizörleri ve Windows için 32/64 bit varyantları için bir kullanıcı kılavuzuyla birlikte gelir ve bu da şifre çözme anahtarı olmadan dosyaları kurtarmayı zorlaştırır.
Eldorado iştirakleri ayrıca, dolaplar, yükleyiciler, şifreleyiciler ve fidye notları gibi araçlar kullanarak kurbanın ağındaki büyük dosyaları şifrelemek için SMB (Sunucu İleti Bloğu) protokolünü kullanır. SMB, bir ağ üzerinden dosyaların ve yazıcıların bilgisayar tarafından paylaşılmasını sağlar. Fidye notu ayrıca saldırganlarla fidye fiyatı için pazarlık yapmak üzere canlı sohbet için bir URL içerir.
Araştırmacılar bir blog yazısında, “Eldorado grubu, hem Windows hem de Linux sistemlerini hedef almak için kullanılan son derece etkili bir fidye yazılımı oluşturucusu geliştirmeyi ve dağıtmayı başardı” diye yazdı.
Bilginize, bu grup iştirakçilere fidye yazılımı saldırıları gerçekleştirmek için gereken araçları ve desteği sağlayan bir RaaS işletmesi yürütüyor. İştirakçiler hem Windows hem de Linux sistemlerini hedef alabilir. Araştırmacılar, forumlardaki gönderilerinin Rusça olması ve bazılarının yalnızca “ana dili Rusça olan” kişiler tarafından kullanılan ifadeler içermesi nedeniyle bunların Rus olduğuna inanıyor.
Haziran 2024’e kadar, farklı ülkelerde ve sektörlerde 16 şirket Eldorado fidye yazılımı saldırılarının hedefi oldu ve en çok etkilenen ABD oldu. En çok hedef alınan sektör, toplam saldırıların %18,75’ini oluşturan Gayrimenkul (3 saldırı) oldu.
Etkilenen diğer sektörler arasında Eğitim, Profesyonel Hizmetler, Sağlık Hizmetleri, Üretim, Mesajlaşma ve Telekomünikasyon, İş Hizmetleri, İdari Hizmetler, Ulaştırma ve Hükümet ve Askeriye yer aldı.
İşletmeler, Eldorado fidye yazılımı saldırılarına karşı korunmak için çok faktörlü kimlik doğrulama ve kimlik bilgisi tabanlı erişim çözümlerini uygulamalı ve fidye ödemekten kaçınmak için verileri düzenli olarak yedeklemelidir.
Sectigo’da Ürün Kıdemli Başkan Yardımcısı olan Jason Soroko, son gelişme hakkında şu yorumu yaptı: “Eldorado’nun kaçamaklığı, ‘topraktan geçinmekle’ daha da güçleniyor, yani enfekte olmuş sistemlerde halihazırda mevcut olan araçları kullanıyor. Windows WMI ve PowerShell buna örnektir. Bu araçlar yatay olarak hareket etmek veya kaynakları şifrelemek için kullanılabilir.“
“İlginçtir ki, Eldorado, DLL’ler gibi normal çalışma için kritik olan belirli dosya türlerini etkilemeyecek şekilde Windows’ta yapılandırılabilir,” diye açıkladı Jason. “Bu kötü amaçlı yazılımın Windows versiyonu oldukça yapılandırılabilir görünüyor, bu yüzden aynı kötü amaçlı yazılımdan saldırı yönteminde farklı varyasyonlar görüyoruz.”
“Eldorado fidye yazılımı ayrıca, özellikle USB sürücü kontrolleri aracılığıyla, yanal hareket için gelişmiş yetenekler sergiliyor. Bu özellik, çıkarılabilir medyayı tespit edip enfekte etmesini sağlayarak, enfekte USB sürücü başka bir yere bağlandığında fidye yazılımının diğer sistemlere yayılmasını kolaylaştırıyor,” diye uyardı Jason. “Kötü amaçlı yazılım, bağlı USB sürücülerini tarıyor ve kendini otomatik olarak bunlara kopyalıyor, genellikle güvenlik yazılımı tarafından tespit edilmekten kaçınmak için karartma teknikleri kullanıyor.”
İLGİLİ KONULAR
- Yeni Cylance Fidye Yazılımı Linux ve Windows’u Hedefliyor
- Volcano Demon Fidye Yazılımı Fidye İçin Telefon Aramaları Yapıyor
- Yeni AcidRain Linux Kötü Amaçlı Yazılım Varyantı “AcidPour” Ukrayna’yı Hedefliyor
- No More Ransom Ücretsiz LockerGoga Ransomware Şifre Çözücü Sunuyor
- Sodinokibi ve REvil fidye yazılımları için evrensel şifre çözücü anahtarı yayımlandı