Ein neuer Ransomware-as-a-Service (RaaS) namens Eldorado tauchte im März auf und wird mit Schließfachvarianten für VMware ESXi und Windows geliefert.
Die Bande hat bereits 16 Opfer gefordert, die meisten davon in den USA, im Immobilien-, Bildungs-, Gesundheits- und Produktionssektor.
Forscher des Cybersecurity-Unternehmens Group-IB beobachteten die Aktivitäten von Eldorado und stellten fest, dass seine Betreiber in RAMP-Foren für den bösartigen Dienst warben und qualifizierte Partner für das Programm suchten.
Eldorado betreibt auch eine Website, auf der die Opfer aufgelistet sind, die aber zum Zeitpunkt der Erstellung dieses Artikels nicht mehr verfügbar war.
Verschlüsselung von Windows und Linux
Eldorado ist eine Go-basierte Ransomware, die sowohl Windows- als auch Linux-Plattformen verschlüsseln kann, und zwar in zwei verschiedenen Varianten, die sich in ihrer Funktionsweise stark ähneln.
Die Forscher erhielten vom Entwickler einen Verschlüsseler, dem ein Benutzerhandbuch beilag, das besagt, dass es 32/64-Bit-Varianten für VMware ESXi-Hypervisoren und Windows gibt.
Group-IB sagt, dass Eldorado eine einzigartige Entwicklung ist "und sich nicht auf zuvor veröffentlichte Bauherrenquellen stützt".
Die Malware verwendet den ChaCha20-Algorithmus zur Verschlüsselung und generiert für jede der gesperrten Dateien einen eindeutigen 32-Byte-Schlüssel und eine 12-Byte-Nonce. Die Schlüssel und Nonces werden dann mit RSA und dem OAEP-Schema (Optimal Asymmetric Encryption Padding) verschlüsselt.
Nach der Verschlüsselungsphase werden die Dateien mit der Erweiterung ".00000001" versehen und Lösegeldforderungen mit dem Namen "HOW_RETURN_YOUR_DATA.TXT" werden in den Ordnern "Documents" und "Desktop" abgelegt.
Eldorado verschlüsselt auch Netzwerkfreigaben, die das SMB-Kommunikationsprotokoll verwenden, um seine Wirkung zu maximieren, und löscht Schattenvolumenkopien auf den kompromittierten Windows-Rechnern, um eine Wiederherstellung zu verhindern.
Die Ransomware überspringt DLLs, LNK-, SYS- und EXE-Dateien sowie Dateien und Verzeichnisse, die mit dem Systemstart und grundlegenden Funktionen zu tun haben, um zu verhindern, dass das System nicht mehr gebootet werden kann bzw. unbrauchbar ist.
Schließlich ist sie standardmäßig so eingestellt, dass sie sich selbst löscht, um sich der Entdeckung und Analyse durch Reaktionsteams zu entziehen.
Nach Angaben von Group-IB-Forschern, die die Operation infiltriert haben, können die angeschlossenen Unternehmen ihre Angriffe individuell gestalten. Unter Windows können sie beispielsweise festlegen, welche Verzeichnisse verschlüsselt werden sollen, lokale Dateien auslassen, Netzwerkfreigaben in bestimmten Subnetzen anvisieren und die Selbstlöschung der Malware verhindern.
Unter Linux beschränken sich die Anpassungsparameter jedoch auf die Festlegung der zu verschlüsselnden Verzeichnisse.
Empfehlungen für die Verteidigung
Group-IB betont, dass es sich bei der Eldorado-Ransomware-Bedrohung um eine neue, eigenständige Operation handelt, die nicht als Rebranding einer anderen Gruppe entstanden ist.
Die Forscher empfehlen die folgenden Schutzmaßnahmen, die bis zu einem gewissen Grad vor allen Ransomware-Angriffen schützen können:
- Implementieren Sie eine Multi-Faktor-Authentifizierung (MFA) und auf Anmeldeinformationen basierende Zugangslösungen.
- Verwenden Sie Endpoint Detection and Response (EDR), um Ransomware-Indikatoren schnell zu identifizieren und darauf zu reagieren.
- Machen Sie regelmäßig Datensicherungen, um Schäden und Datenverluste zu minimieren.
- Nutzen Sie KI-basierte Analysen und fortschrittliche Malware-Detonation für die Erkennung von und Reaktion auf Eindringlinge in Echtzeit.
- Setzen Sie Prioritäten und wenden Sie regelmäßig Sicherheits-Patches an, um Schwachstellen zu beheben.
- Informieren und schulen Sie Ihre Mitarbeiter, damit sie Bedrohungen der Cybersicherheit erkennen und melden.
- Durchführung jährlicher technischer Audits oder Sicherheitsbewertungen und Aufrechterhaltung der digitalen Hygiene.
- Zahlen Sie kein Lösegeld, da dies selten die Wiederherstellung von Daten gewährleistet und zu weiteren Angriffen führen kann.
