Dans le paysage cybernétique actuel, un nouveau ransomware en tant que service (RaaS) nommé Eldorado a émergé, causant des ravages dans diverses industries. Depuis son apparition, Eldorado a affecté 16 victimes, principalement aux États-Unis, couvrant des secteurs tels que l’immobilier, l’éducation, la santé et la fabrication.
Caractéristiques du Ransomware Eldorado
Des chercheurs de l’entreprise de cybersécuritéLes solutions de cybersécurité sont essentielles à l’ère di… Group-IB ont suivi l’activité d’Eldorado. Selon leurs rapports, les opérateurs d’Eldorado ont promu ce service malveillant sur des forums comme RAMP, cherchant des affiliés qualifiés pour rejoindre le programme.
Eldorado, conçu dans le langage de programmation Go, a la capacité de chiffrer tant les plateformes Windows que Linux à travers deux variantes distinctes mais fonctionnellement similaires. Les chercheurs ont obtenu un chiffreur du développeur, qui inclut un manuel d’utilisation indiquant que des variantes de 32/64 bits sont disponibles pour les hyperviseurs VMware ESXi et Windows.
Le ransomware utilise l’algorithme de chiffrement ChaCha20, générant une clé unique de 32 octets et un nonce de 12 octets pour chaque fichier chiffré. Ces clés et nonces sont ensuite chiffrés à l’aide de RSA avec le schéma de bourrage de chiffrement asymétrique optimal (OAEP).
Modus Operandi du Ransomware
Après avoir chiffré les fichiers, Eldorado ajoute l’extension «.00000001» et laisse des notes de rançon intitulées «HOW_RETURN_YOUR_DATA.TXT» dans les dossiers Documents et Bureau. En plus, il chiffre les partages de réseau en utilisant le protocole de communication SMB et supprime les clichés instantanés de volume sur les machines Windows compromises pour compliquer la récupération des données.
Le logiciel malveillant est conçu pour ignorer certains fichiers critiques du système (DLL, LNK, SYS et EXE) afin d’éviter que le système ne devienne inopérant. Par défaut, Eldorado se détruit lui-même pour échapper à la détection et à l’analyse par les équipes d’intervention.
Flexibilité et Personnalisation
L’une des caractéristiques marquantes d’Eldorado est la capacité des affiliés à personnaliser leurs attaques. Sur les systèmes Windows, ils peuvent spécifier quels répertoires chiffrer, ignorer certains fichiers locaux, cibler des partages de réseau dans des sous-réseaux spécifiques et éviter l’auto-élimination du logiciel malveillant. Sur les systèmes Linux, les paramètres de personnalisation sont limités à la configuration des répertoires à chiffrer.
Recommandations de Défense
Group-IB souligne qu’Eldorado est une menace nouvelle et indépendante, et non un rebranding d’un autre groupe de ransomware connu. Bien qu’étant relativement nouveau, Eldorado a démontré sa capacité à infliger des dommages significatifs aux données, à la réputation et à la continuité des affaires de ses victimes en une courte période.
Pour se protéger contre Eldorado et d’autres attaques de ransomware, Group-IB recommande :
- Mettre en place une authentification multifacteur (MFA) et des solutions d’accès basées sur les identifiants.
- Utiliser des outils de Détection et de Réponse des Endpoints (EDR) pour identifier et répondre rapidement aux indicateurs de ransomware.
- Effectuer des sauvegardes de données régulièrement pour minimiser les dommages et la perte d’informations.
- Appliquer des mises à jour de sécurité de manière prioritaire et régulière pour corriger les vulnérabilités.
- Former les employés à identifier et à signaler les menaces de cybersécurité.
- Réaliser des audits techniques annuels ou des évaluations de sécurité et maintenir une hygiène numérique adéquate.
- S’abstenir de payer des rançons, car cela garantit rarement la récupération des données et peut encourager d’autres attaques.
Eldorado représente une évolution significative dans les tactiques de ransomware, soulignant la nécessité pour les organisations de maintenir des mesures de cybersécurité robustes et à jour pour se protéger contre les menaces émergentes.
vía: Bleepid Computer