Новый вирус-вымогатель Eldorado нацелен на виртуальные машины Windows и VMware ESXi

В марте появился новый вирус-вымогатель как услуга (RaaS) под названием Eldorado, который поставляется с защищенными версиями для VMware ESXi и Windows.
Новый вирус-вымогатель Eldorado нацелен на виртуальные машины Windows и VMware ESXi

Новый вирус-вымогатель Eldorado нацелен на виртуальные машины Windows и VMware ESXi. Фото: СС0

Оператор зловреда уже взломали 16 компаний, большинство из них — в США, в сфере недвижимости, образования, здравоохранения и производства.

Исследователи компании Group-IB, занимающейся кибербезопасностью, отслеживали деятельность «Эльдорадо» и заметили, что его операторы продвигают вредоносный сервис на форумах RAMP и ищут опытных партнеров для присоединения к программе.

У Eldorado также есть сайт, на котором перечислены жертвы и выкладываются похищенные данные.

«Эльдорадо» — это вирус-вымогатель на основе Go, который может шифровать платформы Windows и Linux с помощью двух различных вариантов, имеющих большое сходство в работе.

Исследователи получили шифратор, который поставлялся с руководством пользователя, в котором говорилось, что для гипервизоров VMware ESXi и Windows доступны 32/64-битные варианты.

Group-IB утверждает, что Eldorado — уникальная разработка, «не опирающаяся на ранее опубликованные источники застройщиков».

Вредоносная программа использует алгоритм ChaCha20 для шифрования и генерирует уникальный 32-байтовый ключ и 12-байтовый одноразовый номер для каждого из заблокированных файлов. Затем ключи и одноразовые номера шифруются с помощью RSA со схемой оптимального асимметричного шифрования (OAEP).

После этапа шифрования к файлам добавляется расширение «.00000001», а в папки «Документы» и «Рабочий стол» помещаются записки с требованием выкупа под названием «HOW_RETURN_YOUR_DATA.TXT».

Eldorado также шифрует сетевые ресурсы, используя протокол связи SMB, чтобы максимизировать его воздействие, и удаляет теневые копии томов на скомпрометированных компьютерах Windows, чтобы предотвратить восстановление.

Программа-вымогатель пропускает файлы DLL, LNK, SYS и EXE, а также файлы и каталоги, связанные с загрузкой системы и основными функциями, чтобы предотвратить невозможность загрузки или использования системы.

Наконец, по умолчанию он настроен на самоудаление, чтобы избежать обнаружения и анализа группами реагирования.

По словам исследователей Group-IB, которые проникли в операцию, аффилированные лица могут настраивать свои атаки. Например, в Windows они могут указывать, какие каталоги шифровать, пропускать локальные файлы, нацеливаться на сетевые ресурсы в определенных подсетях и предотвращать самоудаление вредоносного ПО.

Однако в Linux параметры настройки ограничиваются настройкой шифрования каталогов.

Команда Group-IB подчеркивает, что угроза вируса-вымогателя Eldorado — это новая, самостоятельная операция.

Из сообщения исследователей безопасности:

«Хотя Eldorado относительно новый и не является ребрендингом известных группировок, занимающихся вымогательством, он быстро продемонстрировал свою способность за короткий промежуток времени нанести значительный ущерб данным, репутации и непрерывности бизнеса своих жертв.»

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия. 

Статьи по теме

Больше интересного

Актуальное

10 миллиардов паролей раскрыты в результате крупнейшей утечки в истории
Приложение OpenAI ChatGPT для Mac сохраняло чаты как обычный текст
Разработчики Microsoft обновили интернет-версию Excel
Ещё…