In het hedendaagse cyberspace-landschap heeft zich een nieuwe Ransomware as a Service (RaaS) genaamd Eldorado aangediend, wat ravage aanricht in verschillende industrieën. Sinds de verschijning ervan heeft Eldorado 16 slachtoffers getroffen, voornamelijk in de Verenigde Staten, en sectoren zoals vastgoed, onderwijs, gezondheidszorg en productie bestreken.
Eigenschappen van de Eldorado Ransomware
Onderzoekers van de cyberveiligheidsfirma Group-IB houden de activiteiten van Eldorado in de gaten. Volgens hun rapporten promoten de operators van Eldorado deze kwaadaardige dienst op fora zoals RAMP, op zoek naar gekwalificeerde filialen om zich aan te sluiten bij het programma.
Eldorado, gebaseerd op de Go-programmeertaal, is in staat om Windows en Linux platformen te coderen via twee verschillende maar operations-gerelateerde varianten. De onderzoekers hebben een encryptor verkregen van de ontwikkelaar, die een gebruikershandleiding bevat waarin staat dat 32/64 bits varianten beschikbaar zijn voor VMware ESXi en Windows hypervisors.
De ransomware gebruikt het ChaCha20 versleutelingsalgoritme en genereert een unieke 32-byte sleutel en een 12-byte nonce voor elk versleuteld bestand. Deze sleutels en nonces worden vervolgens versleuteld met RSA met behulp van het Optimal Asymmetric Encryption Padding (OAEP)-schema.
Modus Operandi van de Ransomware
Na de versleuteling van bestanden voegt Eldorado de extentie «.00000001» toe aan de bestanden en laat het losgeldnota’s genaamd «HOW_RETURN_YOUR_DATA.TXT» achter in de Documenten en Desktopmappen. Verder versleutelt het de shared network resources met gebruik van het SMB-communicatieprotocol en verwijdert het volume snapshots op de Windows-machines die zijn aangetast om de dataherstel moeilijker te maken.
De malware is ontworpen om bepaalde essentiële systeembestanden (DLL, LNK, SYS, en EXE) over te slaan om te vermijden dat het systeem onbruikbaar wordt. Bij standaardinstellingen vernietigt Eldorado zichzelf om detectie en analyse van respons teams te ontwijken.
Flexibiliteit en Aanpassingsvermogen
Een van de markante kenmerken van Eldorado is de mogelijkheid voor filialen om hun aanvallen aan te passen. Op Windows-systemen kunnen ze specificeren welke directory’s te versleutelen, bepaalde lokale bestanden uitsluiten, gericht zijn op shared network resources op specifieke subnetten en auto-verwijdering van de malware voorkomen. Op Linux-systemen, is de aanpassing van de configuratie beperkt tot de setting van directory’s om te versleutelen.
Aanbevelingen voor Verdediging
Group-IB geeft aan dat Eldorado een nieuw en losstaande dreiging is, en geen rebranding van een andere bekende ransomwaregroep. Hoewel relatief nieuw, heeft Eldorado zijn vermogen om snel serieuze schade aan associated data, reputatie en business continuity crossover zijn korte periode bewezen.
Om u tegen Eldorado en andere ransomware aanvallen te beschermen, beveelt Group-IB aan:
- Implementeer Multi-Factor Authenticatie (MFA) en credential-based access oplossingen.
- Gebruik Endpoint Detection en Response (EDR) tools om snel ransomware indicaties te identificeren en te reageren.
- Voer geregeld back-ups uit van gegevens om schade te minimaliseren en gegevensverlies te beheersen.
- Toepassen van minst prioritiserende en reguliere veiligheidspatches om kwetsbaarheden te corrigeren.
- Train werknemers in de identificatie en rapportage van cybersecurity dreigingen.
- Voer jaarlijkse technische audits of veiligheidsevaluaties uit en behoud adequate digitale hygiëne.
- Ontmoedig het betalen van losgelden, omdat dit zelden gegevensherstel waarborgt en meer aanvallen kan supporteren.
Eldorado representeert een significante evolutie in de tactieken van ransomware, wat vandaag de noodzaak onderstreept voor organisaties om sterke en bijgewerkte cybersecurity maatregelen te behouden tegenover être dreigingen.
via: Bleeping computer