Шифрование Windows и Linux
Ransomware Eldorado, написанный на Go, способен шифровать как платформы Windows, так и Linux через два различных варианта с обширными операционными сходствами. Исследователи получили от разработчика шифровальщик, который сопровождался руководством пользователя, в котором говорилось, что доступны 32/64-битные варианты для гипервизоров VMware ESXi и Windows. Group-IB утверждает, что Eldorado является уникальной разработкой и не полагается на ранее опубликованные исходные коды сборщиков. Вредоносное ПО использует алгоритм ChaCha20 для шифрования и генерирует уникальный 32-байтовый ключ и 12-байтовый nonce для каждого заблокированного файла. Ключи и nonce затем шифруются с использованием RSA с оптимальной асимметричной схемой шифрования (OAEP). После этапа шифрования файлы получают расширение “.00000001”, а записки с требованиями выкупа под названием “HOWRETURNYOUR_DATA.TXT” размещаются в папках Documents и Desktop.
Записка о выкупе Eldorado
Eldorado также шифрует сетевые ресурсы, используя протокол SMB для максимального воздействия, и удаляет теневые копии томов на скомпрометированных машинах Windows, чтобы предотвратить восстановление. Вредоносное ПО пропускает файлы DLL, LNK, SYS и EXE, а также файлы и каталоги, связанные с загрузкой системы и базовой функциональностью, чтобы предотвратить невозможность загрузки/использования системы. Наконец, по умолчанию оно настроено на самоуничтожение, чтобы избежать обнаружения и анализа командами реагирования. По словам исследователей Group-IB, которые проникли в операцию, аффилированные лица могут настраивать свои атаки. Например, на Windows они могут указать, какие каталоги шифровать, пропускать локальные файлы, нацеливаться на сетевые ресурсы в определенных подсетях и предотвращать самоуничтожение вредоносного ПО. На Linux же параметры настройки ограничиваются установкой каталогов для шифрования.
Рекомендации по защите
Group-IB подчеркивает, что угроза ransomware Eldorado является новой, самостоятельной операцией, которая не возникла как ребрендинг другой группы. «Хотя относительно новая и не являющаяся ребрендингом известных групп ransomware, Eldorado быстро продемонстрировала свою способность в короткие сроки нанести значительный ущерб данным, репутации и непрерывности бизнеса своих жертв», — отмечает Group-IB. Исследователи рекомендуют следующие меры защиты, которые могут помочь защититься от всех атак ransomware в определенной степени:
- Реализуйте многофакторную аутентификацию (MFA) и решения для доступа на основе учетных данных.
- Используйте Endpoint Detection and Response (EDR) для быстрого выявления и реагирования на индикаторы ransomware.
- Регулярно делайте резервные копии данных для минимизации ущерба и потери данных.
- Используйте аналитические системы на основе ИИ и передовые методы детонации вредоносного ПО для обнаружения и реагирования на вторжения в реальном времени.
- Приоритизируйте и периодически применяйте патчи безопасности для устранения уязвимостей.
- Обучайте сотрудников распознавать и сообщать о киберугрозах.
- Проводите ежегодные технические аудиты или оценки безопасности и поддерживайте цифровую гигиену.
- Воздерживайтесь от уплаты выкупа, так как это редко обеспечивает восстановление данных и может привести к новым атакам.