Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[18.221.230.4] |
|
Сообщ.
#1
,
|
|
|
Новый игрок в сфере вымогательского ПО шифрует каждый файл уникальным ключом
Недавно появившаяся группировка киберпреступников Eldorado орудует крайне зловредным RaaS-шифровальщиком, атакующим системы под Windows, Linux и гипервизоры VMware ESXi. За четыре месяца пострадали 16 американских и европейских организаций. Только для квалифицированных партнеров Новый вымогательский (RaaS) сервис Eldorado нацелен на системы под управлением Windows, а также виртуальные машины VMware ESXi. К настоящему времени от атак Eldorado уже пострадали не менее 16 организаций, 13 из которых располагаются в США, две – в Италии и одна – в Хорватии. Это представители сектора недвижимости, образования, медицины и производства. Согласно исследованию экспертов компании Group-IB, группировка, стоящая за сервисом, развернула деятельность в марте 2024 г. Реклама сервиса отмечена на киберкриминальных форумах RAMP – операторы Eldorado приглашали к сотрудничеству «квалифицированных» партнеров. Шифровальщик Eldorado написан на Go и способен шифровать данные как под Windows, так и под Linux – за разные платформы отвечают отдельные варианты. Изображение от DC Studio на Freepik От деятельности киберпреступников из Eldorado уже пострадали 13 американских и три европейских организации Исследователи смогли внедриться в операцию и получить непосредственно от разработчика действующий шифровальщик, который вдобавок сопровождался руководством пользователя. В мануале говорится, что вредонос способен атаковать 32- и 64-разрядные версии Windows и гипервизоры VMware ESXi. Эксперты Group-IB отметили, что Eldorado – уникален и «не полагается на какие бы то ни было ранее опубликованные компиляторы». Технические детали Для шифрования используется алгоритм ChaCha20. Процесс сопровождается формированием уникального 32-байтного ключа и одноразового случайного числа длинной 12 байтов для каждого файла. Ключи и случайные числа, в свою очередь, шифруются по алгоритму RSA с использованием схемы оптимальное асимметричное шифрование с дополнением (OAEP). Заблокированные файлы снабжаются расширением .00000001, а в каталогах «Документы» и «Рабочий стол» появляются текстовые файлы с требованием выкупа (HOW_RETURN_YOUR_DATA.TXT). Характерно, что злоумышленники в случае отказа выплачивать требуемую сумму, обещают повторно атаковать текущую жертву, а также использовать украденные данные для атак на партнеров и поставщиков. Чтобы усилить воздействие, Eldorado через протокол SMB производит шифрование сетевых приводов и удаляет теневые копии. При этом вредонос пропускает файлы DLL, LNK, SYS и EXE, а также ключевые системные файлы, чтобы обеспечить сохранение базовой функциональности. Если вредонос обнаруживает тестовую или отладочную среду, он немедленно самоуничтожается. Эксперты Group-IB выяснили, что участники партнерской программы могут также перенастраивать шифровальщик под Windows по своему усмотрению: например, указывать, какие каталоги шифровать, а какие нет, пропускать локальные файлы, нацеливаться только на сетевые приводы в конкретных подсетях и даже отключать функцию самоудаления. Настройки варианта под Linux ограничиваются указанием, какие каталоги шифровать, а какие нет. В связях не замечены В Group-IB подчеркивают, что Eldorado – новый игрок, не связанный с какими-либо уже известными в прошлом группировками. Однако за короткое время – с марта 2024 г. – Eldorado продемонстрировала способность наносить громадный ущерб данным жертв, а также их репутации и непрерывности бизнес-процессов. Эксперты рекомендуют использовать многофакторную авторизацию везде, где это возможно, EDR-системы для оперативного выявления признаков активности шифровальщика и ее блокировки, а также соблюдать все рекомендуемые практики по обеспечению кибербезопасности, такие как регулярное резервное копирование, обновление ПО и аудит безопасности, а также обучение работников основам цифровой гигиены. Отдельно рекомендовано использовать аналитические средства на базе искусственного интеллекта для выявления вредоносов в режиме реального времени. «ИИ, если он правильно настроен на обнаружение вредоносного ПО, способен молниеносно заблокировать угрозу и предотвратить массу неприятностей, – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – Однако полагаться на него как на безупречный инструмент, который никогда не ошибается, не стоит: злоумышленники очень тщательно отслеживают все тенденции в сфере информационной безопасности, и вероятность того, что они рано или поздно найдут способ обходить и такую защиту, очень высока». Специалисты Group-IB также отмечают, что платить вымогателям категорически не стоит, поскольку это не только не гарантирует возвращения данных, но и подталкивает злоумышленников на проведение новых атак. Адрес новости: https://safe.cnews.ru/news/top/2024-07-10_novyj_igrok_v_sfere_vymogatelskogo |