Af Eskil Sørensen, 08/07/24
En ny ransomware-as-a-service (RaaS) er dukket op. Den kalder sig Eldorado, den blev først observeret i marts og kommer med ”skabsvarianter” til VMware ESXi og Windows.
Det skriver Bleeping Computer.
Eldorado har angiveligt 16 ofre på samvittigheden, hvor de fleste findes inden for ejendoms-, uddannelses-, sundheds- og fremstillingssektoren i USA.
Det er researchere fra cybersikkerhedsfirmaet Group-IB, der har holdt øje med Eldorados aktiviteter. I den forbindelse lagde de mærke til dets operatører, der promoverer sig på på RAMP-foraet og dér søger efter "affiliates" til at deltage i programmet. RAMP - Russian Anonymous Market Place - er ifølge socradar.io et russisksproget medlemsforum, hvor cyberkriminelle køber og sælger værktøjer og udnyttelser. Det er tidligere kendt som Payload.bin.
Tilbage til Eldorado, der altså er i kontakt med andre cyberkriminlle via RAMP, men gruppen driver også et websted med datalæk.
Selve ransomwaren er Go-baseret, der kan kryptere både Windows- og Linux-platforme gennem to forskellige varianter, der ifølge Bleeping Computers beskrivelse har omfattende operationelle ligheder.
Researcherne har tilsyneladende været i kontakt med udviklerne, hvorfra de fik krypteringsmanualer, der oplyser, at der er 32/64-bit varianter tilgængelige for VMware ESXi hypervisorer og Windows. På den baggrund konkluderer Group-IB, at Eldorado er unik og ikke ”afhængig af tidligere offentliggjorte builder-kilder."
Malwaren bruger ChaCha20-algoritmen til kryptering og genererer en unik 32-byte nøgle og 12-byte nonce for hver af de låste filer. Nøglerne og nonce'erne krypteres derefter ved hjælp af RSA med OAEP-skemaet (Optimal Asymmetric Encryption Padding). Eldorado krypterer også netværksshares ved at bruge SMB-kommunikationsprotokollen for at maksimere dens virkning og sletter skyggevolumenkopier på de kompromitterede Windows-maskiner for at forhindre gendannelse. Ransomwaren springer DLL-, LNK-, SYS- og EXE-filer over, samt filer og mapper relateret til systemstart og grundlæggende funktionalitet for at forhindre, at systemet bliver ustartbart/ubrugeligt.
Endelig er den som standard indstillet til selvsletning for at undgå registrering og analyse af svarhold. Der er også mulighed for tilpasning af angrebene, fx ved angivelse af hvilke mapper der skal krypteres.
Betal eller bliv retsforfulgt
Selve løsesumbeskeden følger den klassiske metode, idet en besked med navnet "HOW_RETURN_YOUR_DATA.TXT" afleveres i mapperne Dokumenter og skrivebord.
I beskeden fremgår det bl.a., at gruppen har angrebet offeret via forskellige sårbarheder, og der er opnået fuld kontrol over infrastrukturen. Det hedder også, at gruppen ”bare” vil have betaling for arbejdet med at have fundet sårbarhederne. Herefter er der en beskrivelse af, hvad der vil ske, hvis betalingen ikke falder – hvilket omfatter offentliggørelse eller videresalg af data, tilbagevendende angreb, angreb mod partnere og leverandører vha. den indhøstede information. Dette databrud, er de kriminelle så venlige at oplyse, kan føre til retsforfølgelse.