New Eldorado ransomware targets Windows, VMware ESXi VMs

Eldoradoと呼ばれる新しいランサムウェア・アズ・ア・サービス(RaaS)が3月に出現し、VMware ESXiとWindows用のロッカーの亜種が付属している。

このギャング団はすでに16人の被害者を出しており、そのほとんどが米国内の不動産、教育、ヘルスケア、製造業などである。

サイバーセキュリティ企業Group-IBの研究者は、Eldoradoの活動を監視し、そのオペレータがRAMPフォーラムで悪意のあるサービスを宣伝し、プログラムに参加する熟練したアフィリエイトを求めていることに気づいた。

Eldoradoはまた、被害者をリストアップしたデータ漏洩サイトも運営しているが、本稿執筆時点ではダウンしている。

Eldorado ransomware targets
Eldorado ランサムウェアの標的
ソースはこちら:グループIB

WindowsとLinuxを暗号化

EldoradoはGoベースのランサムウェアで、操作上の類似点が広範囲に及ぶ2つの異なる亜種を通じて、WindowsとLinuxプラットフォームの両方を暗号化することができます。

研究者は開発者から暗号化ツールを入手し、VMware ESXiハイパーバイザーとWindows用に32ビットと64ビットの亜種が利用可能であると書かれたユーザーマニュアルを入手しました。

Group-IBは、Eldoradoは独自の開発であり、”以前に公開されたビルダー・ソースには依存していない “と述べている。

このマルウェアは、暗号化にChaCha20アルゴリズムを使用し、ロックされたファイルごとに固有の32バイトのキーと12バイトのノンスを生成する。その後、キーとノンスはRSAとOptimal Asymmetric Encryption Padding(OAEP)スキームを使用して暗号化される。

暗号化の後、ファイルには「.00000001」という拡張子が付加され、「HOW_RETURN_YOUR_DATA.TXT」というランサムノートが「Documents」と「Desktop」フォルダに置かれる。

The Eldorado ransom note
Eldorado の身代金要求書
ソースはこちら:Group-IB

Eldoradoはまた、その影響を最大化するためにSMB通信プロトコルを利用してネットワーク共有を暗号化し、回復を防ぐために侵害されたWindowsマシン上のシャドー・ボリューム・コピーを削除します。

このランサムウェアは、DLL、LNK、SYS、EXE ファイル、およびシステム起動や基本機能に関連するファイルやディレクトリをスキップし、システムを起動不能/使用不能にすることを防ぎます。

最後に、対応チームによる検出や分析を回避するため、デフォルトで自己削除するように設定されている。

この作戦に潜入したGroup-IBの研究者によると、アフィリエイトは攻撃をカスタマイズできる。例えばWindowsでは、暗号化するディレクトリを指定したり、ローカルファイルをスキップしたり、特定のサブネット上のネットワーク共有をターゲットにしたり、マルウェアの自己削除を防いだりすることができる。

しかしLinuxでは、カスタマイズ・パラメータは暗号化するディレクトリの設定にとどまる。

防御に関する推奨事項

Group-IBは、Eldoradoランサムウェアの脅威は、他のグループのリブランドとして出現したのではなく、新しい独立したオペレーションであることを強調しています。

“比較的新しく、有名なランサムウェア・グループのリブランドではないが、Eldorado は短期間でその能力を発揮し、被害者のデータ、評判、事業継続性に大きな損害を与えた。”– グループIB

研究者は、すべてのランサムウェア攻撃からある程度身を守ることができる以下の防御策を推奨している:

  • 多要素認証(MFA)とクレデンシャル・ベースのアクセス・ソリューションを導入する。
  • 多要素認証(MFA)とクレデンシャル・ベース・アクセス・ソリューションを導入する。エンドポイント検出および応答(EDR)を使用して、ランサムウェアの指標を迅速に特定し、対応する。
  • データのバックアップを定期的に取り、被害やデータ損失を最小限に抑える。
  • リアルタイムの侵入検知と対応のために、AIベースの分析と高度なマルウェアの爆発を活用する。
  • セキュリティパッチを優先的に適用し、定期的に脆弱性を修正する。
  • サイバーセキュリティの脅威を認識し報告するよう従業員を教育・訓練する。
  • 毎年技術監査またはセキュリティ評価を実施し、デジタル・ハイジーンを維持する。
  • 身代金の支払いは、データの復旧を保証することはほとんどなく、さらなる攻撃を招く可能性があるため、控える。