Un nouveau ransomware en tant que service (RaaS) appelé Eldorado est apparu en mars et est livré avec des variantes de casier pour VMware ESXi et Windows.

Le gang a déjà fait 16 victimes, la plupart aux États-Unis, dans les secteurs de l’immobilier, de l’éducation, de la santé et de la fabrication.

Des chercheurs de la société de cybersécurité Group-IB ont surveillé l’activité de l’Eldorado et ont remarqué que ses opérateurs faisaient la promotion du service malveillant sur les forums RAMP et recherchaient des affiliés qualifiés pour rejoindre le programme.

Eldorado gère également un site de fuite de données qui répertorie les victimes, mais il était en panne au moment de la rédaction de cet article.

Cibles du ransomware Eldorado

Chiffrement Windows et Linux
Eldorado est un ransomware basé sur Go qui peut crypter à la fois les plates-formes Windows et Linux via deux variantes distinctes présentant de nombreuses similitudes opérationnelles.

Les chercheurs ont obtenu du développeur un chiffreur, accompagné d’un manuel d’utilisation indiquant qu’il existe des variantes 32/64 bits disponibles pour les hyperviseurs VMware ESXi et Windows.

Group-IB affirme qu’Eldorado est un développement unique  » et ne s’appuie pas sur des sources de constructeurs publiées précédemment. »

Le malware utilise l’algorithme ChaCha20 pour le cryptage et génère une clé unique de 32 octets et un nonce de 12 octets pour chacun des fichiers verrouillés. Les clés et les nonces sont ensuite chiffrés à l’aide de RSA avec le schéma de remplissage de chiffrement Asymétrique Optimal (OAEP).

Après l’étape de cryptage, les fichiers sont ajoutés le “.00000001 « extension et notes de rançon nommées » HOW_RETURN_YOUR_DATA.TXT  » sont déposés dans les dossiers Documents et Desktop.

La demande de rançon de l’Eldorado

Eldorado chiffre également les partages réseau en utilisant le protocole de communication SMB pour maximiser son impact et supprime les clichés instantanés de volumes sur les machines Windows compromises pour empêcher la récupération.

Le ransomware ignore les fichiers DLL, LNK, SYS et EXE, ainsi que les fichiers et répertoires liés au démarrage du système et aux fonctionnalités de base pour éviter de rendre le système non amorçable/inutilisable.

Enfin, il est défini par défaut sur auto-suppression pour échapper à la détection et à l’analyse par les équipes d’intervention.

Selon les chercheurs du Groupe IB, qui ont infiltré l’opération, les affiliés peuvent personnaliser leurs attaques. Par exemple, sous Windows, ils peuvent spécifier les répertoires à chiffrer, ignorer les fichiers locaux, cibler les partages réseau sur des sous-réseaux spécifiques et empêcher l’auto-suppression du logiciel malveillant.

Sous Linux, cependant, les paramètres de personnalisation s’arrêtent à la définition des répertoires à chiffrer.

Recommandations de la défense
Group-IB souligne que la menace du ransomware Eldorado est une nouvelle opération autonome qui n’est pas apparue comme un changement de nom d’un autre groupe.

« Bien qu’il soit relativement nouveau et qu’il ne s’agisse pas d’un changement de nom de groupes de ransomwares bien connus, Eldorado a rapidement démontré sa capacité en peu de temps à infliger des dommages importants aux données, à la réputation et à la continuité des activités de ses victimes. »- Groupe-IB
Les chercheurs recommandent les défenses suivantes, qui peuvent aider à se protéger contre toutes les attaques de ransomware, dans une certaine mesure:

  • Implémentez des solutions d’authentification multifacteur (MFA) et d’accès basées sur les informations d’identification.
  • Utilisez la détection et la réponse des points de terminaison (EDR)pour identifier rapidement les indicateurs de ransomware et y répondre.
  • Effectuez régulièrement des sauvegardes de données pour minimiser les dommages et les pertes de données.
  • Utilisez des analyses basées sur l’IA et une détonation avancée des logiciels malveillants pour une détection et une réponse aux intrusions en temps réel.
  • Prioriser et appliquer périodiquement des correctifs de sécurité pour corriger les vulnérabilités.
  • Éduquer et former les employés à reconnaître et à signaler les menaces à la cybersécurité.
  • Effectuer des audits techniques annuels ou des évaluations de sécurité et maintenir l’hygiène numérique.
  • Abstenez-vous de payer une rançon car cela garantit rarement la récupération des données et peut entraîner d’autres attaques.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *