fitA
Eldorado 是今年春天出现的一个针对 VMware ESX 服务器的新勒索软件即服务 (RaaS) 组织,截至 2024 年 6 月,涉及 16 起勒索软件攻击,其中 13 起发生在美国。
Group-IB 研究人员在 7 月 3 日的博客文章中表示,Eldorado 的目标是房地产、教育、专业服务、医疗保健和制造业。该勒索软件于 2024 年 3 月首次发布在“RAMP”论坛上,并在 Windows 和 Linux 中分发勒索软件版本。
研究人员还指出,Eldorado 使用 Golang (Go) 来实现跨平台功能,并使用 ChaCha20 进行文件加密,以及 RSA-optimal-asym-encryption-padding (RSA-OAEP) 进行密钥加密。
研究人员指出:“Go 程序能够将代码交叉编译为本机、独立的二进制文件,这可能是恶意软件作者青睐在 Golang 中进行开发的原因。”
Critical Start 威胁研究高级经理兼 SC Media 专栏作家 Callie Guenther 解释说,Eldorado 在加密文件之前关闭和加密虚拟机的能力会显着影响业务连续性和数据可用性。 Guenther 表示,对 VMware ESXi 的关注凸显了不断变化的威胁形势,攻击者越来越多地将目标瞄准虚拟化环境,以最大限度地造成损害。
“防御者应该实施多因素身份验证、端点检测和响应解决方案、定期数据备份、及时修补以及持续的员工培训,”Guenther 说。
Sectigo 产品高级副总裁 Jason Soroko 补充道,Eldorado 的“离群索居”策略增强了其逃避能力,这意味着它使用受感染系统上已有的工具。 Soroko 解释说,攻击者可以使用 Windows WMI 和 PowerShell 横向移动或加密资源。
“有趣的是,可以在 Windows 中配置 Eldorado,使其不影响对正常操作至关重要的某些类型的文件,例如 DLL,”Soroko 说。 “该恶意软件的 Windows 变体似乎具有高度可配置性,这就是为什么我们看到同一恶意软件的攻击方法有不同的变体。”
