新型勒索软件服务“埃尔多拉多”的威胁与防范

2024年12月2日修改
近年来,网络安全形势日益严峻,勒索软件作为一种极具破坏性的网络攻击手段,不断给企业和个人带来巨大的损失。近日,一种名为“埃尔多拉多”(Eldorado)的新型勒索软件服务(Ransomware-as-a-Service,RaaS)出现,其目标涵盖了 Windows 和 Linux 系统,引发了广泛的关注。
“埃尔多拉多”勒索软件首次出现在 2024 年 3 月 16 日,当时其联盟计划的广告被发布在勒索软件论坛 RAMP 上。据新加坡的 Group-IB 称,该勒索软件的代表为俄语使用者,且其恶意软件与之前泄露的诸如 LockBit 或 Babuk 等毒株并不重叠。
这款勒索软件使用 Golang 实现跨平台功能,采用 Chacha20 进行文件加密,并用 Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding(RSA-OAEP)进行密钥加密。它还可以利用 Server Message Block(SMB)协议对共享网络中的文件进行加密。“埃尔多拉多”的加密器有四种格式,分别为 esxi、esxi_64、win 和 win_64,其数据泄露网站已经列出了 2024 年 6 月的 16 名受害者。其中 13 个目标位于美国,2 个在意大利,1 个在克罗地亚,这些公司涉及房地产、教育、专业服务、医疗保健和制造业等多个行业领域。
对“埃尔多拉多”Windows 版本的进一步分析显示,其使用了一个 PowerShell 命令,在删除文件之前用随机字节覆盖锁定器,试图清除痕迹。“埃尔多拉多”是近期出现的新型双重勒索软件参与者之一,其他还包括 Arcus Media、AzzaSec、Brain Cipher、dan0n、Limpopo(又名 SOCOTRA、FORMOSA、SEXi)、LukaLocker、Shinra 和 Space Bears 等,这再次凸显了勒索软件威胁的持久性和顽固性。
值得注意的是,与“埃尔多拉多”不同,LukaLocker 在加密 Windows 工作站和服务器后,不是通过数据泄露网站,而是直接给受害者打电话进行勒索和协商付款。与此同时,还发现了新型 Linux 变体的 Mallox(又名 Fargo、TargetCompany 和 Mawahelper)勒索软件以及与七种不同构建相关的解密器。Mallox 主要通过暴力破解 Microsoft SQL 服务器和发送钓鱼邮件来攻击 Windows 系统,近期的入侵还使用了一个名为 PureCrypter 的.NET 基础加载器。攻击者使用自定义的 Python 脚本进行有效载荷的传递和受害者信息的窃取,该恶意软件会对用户数据进行加密,并在加密文件后添加“.locked”扩展名。
不过,也有一些好消息。Avast 利用 DoNex 及其前身(Muse、fake LockBit 3.0 和 DarkRace)加密方案中的一个漏洞,为其提供了解密器。自 2024 年 3 月以来,该捷克网络安全公司一直在与执法组织合作,“默默地为受害者提供解密器”。
然而,尽管执法部门努力加强打击力度,并且企业也采取了更多的安全措施,但勒索软件团伙仍然在不断适应和发展。Malwarebytes 和 NCC Group 根据泄露网站上列出的受害者数据显示,2024 年 5 月记录了 470 次勒索软件攻击,高于 4 月的 356 次。其中,大多数攻击由 LockBit、Play、Medusa、Akira、8Base、Qilin 和 RansomHub 等团伙发起。
面对如此严峻的网络安全形势,组织和个人必须保持警惕,积极采取措施加强网络安全防护,以降低这些不断演变的威胁所带来的风险。这包括加强员工的网络安全意识培训,定期进行系统安全更新和漏洞修复,以及建立完善的应急响应机制等。只有这样,我们才能在这场与网络犯罪分子的斗争中占据主动,保护好自己的数字资产和隐私信息。
总之,“埃尔多拉多”等新型勒索软件的出现再次提醒我们,网络安全是一个永恒的话题,我们不能有丝毫的懈怠。我们需要不断加强技术研发和创新,提高网络安全防护能力,共同构建一个安全、可靠的网络环境。