行業新聞與博客

安全研究人員對最新版本的勒索軟件即服務 (RaaS)（即 Eldorado） 有了重要見解。

該惡意軟件專門針對 Windows 和 Linux 操作系統，利用編程語言 Golang 進行跨平台攻擊。 

Menlo Security 網絡安全專家 Ngoc Bui 評論道：“感染多個操作系統的能力總是值得注意的，因為它擴大了攻擊範圍。然而，從頭開始結合加密方法和勒索軟件創建才值得注意。”

“這表明，他們隊伍中可能有一些技術嫺熟的勒索軟件程序員。這些人很可能是付費的，這表明這個團伙背後可能也有很好的資源，”Bui 補充道。 

根據 Group-IB 上週發佈的一份諮詢報告，該勒索軟件採用了先進的加密方法，例如用於文件加密的 Chacha20 和用於密鑰加密的 Rivest Shamir Adleman-Optimal 非對稱加密填充 (RSA-OAEP)。這使得它能夠利用服務器消息塊 (SMB) 協議有效地加密共享網絡上的文件。

Sectigo 產品高級副總裁 Jason Soroko 解釋説：“Eldorado 勒索軟件還表現出了先進的橫向移動能力，尤其是通過 USB 驅動器檢查。”

“此功能使其能夠檢測和感染可移動媒體，當受感染的 USB 驅動器連接到其他地方時，有助於將勒索軟件傳播到其他系統。該惡意軟件會掃描連接的 USB 驅動器並自動將自身複製到它們上，通常使用混淆技術來避免被安全軟件檢測到。”

此外，Group-IB 對 Eldorado 的調查揭示了一種運營模式，網絡犯罪分子通過 RAMP 等地下論壇招募會員，尋求具有技術專長的個人加入他們的非法活動。 

從技術角度來看，該惡意軟件的開發人員提供了一系列可定製的功能，允許關聯公司針對特定目標網絡或組織定製攻擊。 

值得注意的是，Eldorado 已經損害了眾多公司，其泄漏網站的數據顯示，截至 2024 年 6 月已確診 16 例，主要發生在美國，但也影響到全球各個行業，包括房地產、醫療保健和教育。

這一發現出現在 Group-IB 發現的一個更廣泛的趨勢中，該趨勢顯示暗網論壇上 RaaS 程序的廣告急劇增加。與上一年相比，2023 年的這一激增增長了 1.5 倍，凸顯了網絡犯罪企業的日益複雜和覆蓋範圍。

Critical Start 網絡威脅研究高級經理 Callie Guenther 警告説：“防禦者應該實施多因素身份驗證、端點檢測和響應解決方案、定期數據備份、及時修補和持續的員工培訓。”