Eldorado adı verilen yeni bir fidye yazılımı hizmeti (RaaS) operasyonu, Windows ve Linux sistemlerindeki dosyaları şifrelemek için kilitli varyantlarla birlikte geliyor.
Singapur merkezli Group-IB, Eldorado’nun ilk olarak 16 Mart 2024’te, iştirak programı için bir reklamın fidye yazılımı forumu RAMP’ta yayınlanmasıyla ortaya çıktığını söyledi.
Fidye yazılımı grubuna sızan siber güvenlik firması, temsilcisinin Rusça konuştuğunu ve zararlı yazılımın LockBit veya Babuk gibi daha önce sızdırılan türlerle örtüşmediğini belirtti.
“Eldorado fidye yazılımı, dosya şifrelemesi için Chacha20 ve anahtar şifrelemesi için Rivest Shamir Adleman-Optimal Asimetrik Şifreleme Dolgusu (RSA-OAEP) kullanarak çapraz platform yetenekleri için Golang’ı kullanır,” diyor araştırmacılar Nikolay Kichatov ve Sharmine Low. “Paylaşımlı ağlardaki dosyaları Sunucu İleti Bloğu (SMB) protokolünü kullanarak şifreleyebilir.”
Eldorado için şifreleyici, esxi, esxi_64, win ve win_64 olmak üzere dört formatta geliyor ve veri sızıntısı sitesi halihazırda Haziran 2024 itibariyle 16 kurbanı listeliyor. Hedeflerden on üçü ABD’de, ikisi İtalya’da ve biri Hırvatistan’da bulunuyor.
Bu şirketler gayrimenkul, eğitim, profesyonel hizmetler, sağlık ve imalat gibi çeşitli sektörlerde faaliyet göstermektedir.
Windows sürümündeki eserlerin daha detaylı analizi, izleri temizlemek amacıyla dosyayı silmeden önce dolabı rastgele baytlarla üzerine yazmak için bir PowerShell komutunun kullanıldığını ortaya çıkardı.
Eldorado, son zamanlarda türeyen Arcus Media, AzzaSec, dan0n, Limpopo (diğer adıyla SOCOTRA, FORMOSA, SEXi), LukaLocker, Shinra ve Space Bears gibi yeni çift gasp fidye yazılımı oyuncularının listesine eklenen son isim oldu ve bu tehditin kalıcı ve sürekli doğasını bir kez daha gözler önüne serdi.
Halcyon tarafından Volcano Demon olarak adlandırılan bir operatöre bağlı olan LukaLocker, veri sızıntısı sitesi kullanmaması ve bunun yerine Windows iş istasyonlarını ve sunucularını şifreledikten sonra kurbanı telefonla arayarak ödeme için şantaj ve pazarlık yapmasıyla dikkat çekiyor.
Bu gelişme, Mallox (Fargo, TargetCompany, Mawahelper olarak da bilinir) fidye yazılımının yeni Linux sürümlerinin ve yedi farklı sürümle ilişkili şifre çözücülerin keşfiyle aynı zamana denk geliyor.
Mallox’un, Microsoft SQL sunucularına kaba kuvvet uygulayarak ve Windows sistemlerini hedef alan kimlik avı e-postaları göndererek yayıldığı biliniyor; son zamanlarda yapılan saldırılarda PureCrypter adlı .NET tabanlı bir yükleyici de kullanılıyor.
Uptycs araştırmacıları Tejaswini Sandapolla ve Shilpesh Trivedi, “Saldırganlar, yük teslimi ve kurbanın bilgilerinin sızdırılması amacıyla özel python betikleri kullanıyor” dedi. “Kötü amaçlı yazılım, kullanıcı verilerini şifreliyor ve şifrelenmiş dosyalara .locked uzantısı ekliyor.”
Avast, kriptografik şemadaki bir kusurdan yararlanarak DoNex ve öncülleri (Muse, sahte LockBit 3.0 ve DarkRace) için de bir şifre çözücü kullanıma sundu. Çek siber güvenlik şirketi, Mart 2024’ten bu yana kolluk kuvvetleriyle ortaklaşa olarak “sessizce şifre çözücüyü” mağdurlara sağladığını söyledi.
Group-IB, “Yasa uygulayıcıların çabalarına ve artan güvenlik önlemlerine rağmen fidye yazılımı grupları uyum sağlamaya ve gelişmeye devam ediyor” dedi.
Malwarebytes ve NCC Group tarafından sızıntı sitelerinde listelenen kurbanlara dayalı olarak paylaşılan veriler, Mayıs 2024’te 470 fidye yazılımı saldırısının kaydedildiğini, bunun Nisan ayındaki 356’dan fazla olduğunu gösteriyor. Saldırıların çoğunluğu LockBit, Play, Medusa, Akira, 8Base, Qilin, RansomHub tarafından üstlenildi.
“Yeni fidye yazılımı türlerinin sürekli geliştirilmesi ve karmaşık iştirak programlarının ortaya çıkması, tehdidin kontrol altına alınmaktan çok uzak olduğunu gösteriyor,” diye belirtti Group-IB. “Kuruluşlar, bu sürekli gelişen tehditlerin oluşturduğu riskleri azaltmak için siber güvenlik çabalarında dikkatli ve proaktif olmalıdır.”