详细内容或原文请订阅后点击阅览
Eldorado 勒索软件即服务团伙针对 Linux、Windows 系统
美国组织首当其冲受到可能是俄罗斯团队的攻击截至 6 月,一项名为“Eldorado”的勒索软件即服务操作会加密 Linux 和 Windows 计算机上的文件,已感染至少 16 个组织——主要是美国。
来源:The Register _恶意软件截至 6 月,一个名为“Eldorado”的勒索软件即服务操作会加密 Linux 和 Windows 计算机上的文件,已感染至少 16 个组织(主要是美国)。
新加坡安全商店 Group-IB 于 2024 年 3 月首次发现该犯罪团伙,当时它发现该团伙宣传联盟计划和恶意软件,这些恶意软件有 Linux 和 Windows 32 位和 64 位版本。该犯罪团伙还在寻找渗透测试人员加入该行动并传播恶意代码。
首次发现Group-IB 的情报分析师 Nikolay Kichatov 和恶意软件分析师 Sharmine Low 渗透到 Eldorado,并在发现 RAMP 勒索软件论坛上发布的广告中的口语术语后,得出结论,该恶意软件的代表是俄语母语人士。
Eldorado 团队宣传了一个储物柜和一个加载器,但这种恶意软件的不同寻常之处在于它不使用任何以前发布的构建器源——例如 2022 年 9 月泄露的 LockBit 3.0 勒索软件,或一年前公开的 Babuk 源代码。
泄露 公开Eldorado 勒索软件是用 Go 编写的,可能是因为它具有跨平台功能。据 Group-IB 的 Low 称,它使用 Chacha20 算法进行文件加密,使用 Rivest Shamir Adleman-Optimal 非对称加密填充 (RSA-OAEP) 进行密钥加密。此外,我们被告知,它使用服务器消息块 (SMB) 协议加密共享网络上的文件。
一旦关联方加入勒索软件即服务行动,他们就被允许仅通过聊天方式访问受害者,并可以在提供以下自定义参数后生成勒索软件样本:目标网络或公司的名称、勒索信和文本的文件名,以及域管理员的密码或哈希值。
Group-IB 分析师获得的加密器有四种格式:esxi、esxi_64、win 和 win_64。