行业新闻与博客

安全研究人员对最新版本的勒索软件即服务 (RaaS)（即 Eldorado） 有了重要见解。

该恶意软件专门针对 Windows 和 Linux 操作系统，利用编程语言 Golang 进行跨平台攻击。 

Menlo Security 网络安全专家 Ngoc Bui 评论道：“感染多个操作系统的能力总是值得注意的，因为它扩大了攻击范围。然而，从头开始结合加密方法和勒索软件创建才值得注意。”

“这表明，他们队伍中可能有一些技术娴熟的勒索软件程序员。这些人很可能是付费的，这表明这个团伙背后可能也有很好的资源，”Bui 补充道。 

根据 Group-IB 上周发布的一份咨询报告，该勒索软件采用了先进的加密方法，例如用于文件加密的 Chacha20 和用于密钥加密的 Rivest Shamir Adleman-Optimal 非对称加密填充 (RSA-OAEP)。这使得它能够利用服务器消息块 (SMB) 协议有效地加密共享网络上的文件。

Sectigo 产品高级副总裁 Jason Soroko 解释说：“Eldorado 勒索软件还表现出了先进的横向移动能力，尤其是通过 USB 驱动器检查。”

“此功能使其能够检测和感染可移动媒体，当受感染的 USB 驱动器连接到其他地方时，有助于将勒索软件传播到其他系统。该恶意软件会扫描连接的 USB 驱动器并自动将自身复制到它们上，通常使用混淆技术来避免被安全软件检测到。”

此外，Group-IB 对 Eldorado 的调查揭示了一种运营模式，网络犯罪分子通过 RAMP 等地下论坛招募会员，寻求具有技术专长的个人加入他们的非法活动。 

从技术角度来看，该恶意软件的开发人员提供了一系列可定制的功能，允许关联公司针对特定目标网络或组织定制攻击。 

值得注意的是，Eldorado 已经损害了众多公司，其泄漏网站的数据显示，截至 2024 年 6 月已确诊 16 例，主要发生在美国，但也影响到全球各个行业，包括房地产、医疗保健和教育。

这一发现出现在 Group-IB 发现的一个更广泛的趋势中，该趋势显示暗网论坛上 RaaS 程序的广告急剧增加。与上一年相比，2023 年的这一激增增长了 1.5 倍，凸显了网络犯罪企业的日益复杂和覆盖范围。

Critical Start 网络威胁研究高级经理 Callie Guenther 警告说：“防御者应该实施多因素身份验证、端点检测和响应解决方案、定期数据备份、及时修补和持续的员工培训。”