Eldorado Ransomware napad Windows i Linux sisteme

Eldorado je novi ransomware koji funkcioniše po modelu usluge (eng. ransomware-as-a-service – RaaS) koji se pojavio u martu 2024. godine i predstavlja značajnu prijetnju organizacijama širom sveta pokazuje istraživanje sigrunosne kompanije Group-IB. Ovaj zlonamjerni softver svojim partnerima pruža opasne mogućnosti, uključujući kompatibilnost na više platformi, što povećava broj potencijalnih žrtava.

Eldorado Ransomware

Eldorado Ransomware napad Windows i Linux sisteme; Source: Bing Image Creator

ELDORADO RANSOMWARE

Eldorado ransomware je nova operacija ransomware kao usluga (RaaS) koja šifruje datoteke na Windows i Linux sistemima koristeći SMB komunikacioni protokol za brisanje kopija u sjenci (eng. shadow copies). Prvi put se pojavio 16. marta 2024. godine reklamiran od strane korisnika pod nadimkom “$$$” na mračnom forumu Russian Anonymous Market PlaceRAMP.

Ovaj događaj je označio početak nove ere u ransomware napadima, pošto je Eldorado ransomware jedinstven. On može da šifruje sa Chacha20 za šifrovanje datoteka i RSA-OAEP za šifrovanje ključeva ne samo na pojedinačnim sistemima već i na zajedničkim mrežama koristeći protokol Server Message Block (SMB), a koristi  Golang programski jezik za međuplatformsku kompatibilnost. Tu je i efektivno brisanje kopija u sjenci na kompromitovanim Windows mašinama. Ovaj metod napada osigurava da se preduzeća suoče sa značajnim gubitkom podataka, oštećenjem reputacije i prekidom poslovanja u kratkom vremenskom periodu.

Jedan od najzabrinjavajućih aspekata Eldorado ransomware zlonamjernog softvera je njegova kompatibilnost na više platformi. Ovaj zlonamjerni softver može ciljati i Windows i Linux sisteme, značajno povećavajući potencijalni broj žrtava. Sve veća upotreba hibridnih okruženja u oblaku i višestrukih operativno sistemskih infrastruktura čini da je od suštinskog značaja za organizacije da budu svjesne ove prijetnje i preduzmu odgovarajuće mjere da se zaštite.

Da bi povećao izazvanu štetu, Eldorado izbjegava da cilja datoteke i direktorijume koji se odnose na funkcionalnost pokretanja sistema. Čineći to, zlonamjerni akteri mogu nesmetano da zahtijevaju otkup od svojih žrtava. Ova taktika dodatno povećava hitnost preduzeća da plate, jer zastoji mogu dovesti do značajnih finansijskih gubitaka i štete po ugled.

Istraživači su primijetili da Eldorado ransomware partneri mogu čak i da prilagode svoje napade na osnovu određenih ciljeva ili industrija. Ovi prilagođeni pristupi otežavaju organizacijama da otkriju i efikasno odgovore na ove prijetnje, jer možda nisu spremne za jedinstvene vektore napada koje koriste zlonamjerni akteri.

 

ZAKLJUČAK

Eldorado ransomware je prijetnja u razvoju koja predstavlja značajne rizike za preduzeća širom sveta. Njegova kompatibilnost na više platformi, prilagodljivi vektori napada i sposobnost da se širi po mrežama koristeći SMB protokol čini ga strašnim protivnikom za preduzeća širom sveta. Da bi efikasno ublažila ove prijetnja, preduzeća moraju da daju prioritet svojim naporima u oblasti sajber bezbjednosti tako što će ulagati u napredna bezbjednosna rješenja, edukovati zaposlene o najnovijim trendovima prijetnji i održavati jaku odbranu od potencijalnih napada. Na taj način mogu bolje da se zaštite od Eldorado ransomware zlonamjernog softvera i drugih sofisticiranih zlonamjernih aktera.

U digitalnom okruženju koje se stalno menija, informisanje i spremnost su od ključnog značaja za preduzeća kako bi zaštitili svoju imovinu i zadržali povjerenje svojih klijenata. Pojava novih prijetnji poput Eldorado ransomware zlonamjernog softvera naglašava važnost proaktivnog pristupa sajber bezbjednosti, osiguravajući da organizacije uvijek budu korak ispred u zaštiti od potencijalne štete.

 

ZAŠTITA

Da bi se korisnici i organizacije zaštitili od Eldorado ransomware zlonamjernog softvera, ključno je primijeniti višeslojni bezbjednosni pristup koji se bavi strategijama prevencije i reagovanja. Evo nekoliko preporuka:

 

Prevencija

  1. Obučiti zaposlene o phishing porukama elektronske pošte i koristite filtere elektronske pošte da se blokiraju sumnjive poruke,
  2. Omogućiti autentifikaciju u više koraka (eng. multi-factor authentication – MFA), jer dodaje dodatni nivo bezbjednosti i ograničiti pristup na osnovu nultog povjerenja koje obezbjeđuje da samo korisnici sa autentifikacijom imaju pristup određenim resursima,
  3. Koristite softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) sa mogućnostima otkrivanja prijetnji u realnom vremenu i potpisima specifičnim za ransomware,
  4. Pridržavati se pravila 3-2-1 za pravljenje rezervnih kopija podataka: čuvati tri kopije podataka na dva različita tipa medija i jednu van lokacije ili u oblaku. Redovno testirati vraćanje rezervnih kopija da bi se osigurao njihov integritet,
  5. Održavati hardver i softver ažuriran najnovijim bezbjednosnim ispravkama. Uvjeriti se da su svi sistemi ažurirani da bi se zaštitili od poznatih ranjivosti koje ransomware grupe mogu da iskoriste,
  6. Blokirati SMB saobraćaj ili ograničite njegovu upotrebu s obzirom na to da Eldorado ransomware koristi protokol SMB za šifrovanje datoteka na dijeljenim mrežama. Preporučuje se ili u potpunosti blokirati SMB saobraćaj ili ograničiti njegovu upotrebu koliko god je to moguće,
  7. Koristiti strategiju segmentacije mreže kako bi se izolovali kritični sistemi i podaci iz drugih dijelova mreže i kako bi se ograničila potencijalna šteta u slučaju napada,
  8. Ograničiti izvršavanje neodobrenih aplikacija, posebno onih koje se mogu koristiti za bočno kretanje ili eksfiltraciju podataka,
  9. Koristiti rješenje za filtriranje internet saobraćaja blokirajući pristup poznatim zlonamjernim internet lokacijama i spriječiti zaposlene da preuzimaju potencijalno štetne datoteke.

 

Reagovanje

  1. U slučaju ransomware ne parničiti, ostati miran i pratiti svoj Plan odgovora na sajber prijetnju,
  2. Izvršiti provjeru kako bi se utvrdilo da li napadač još uvijek ima pristup sistemima koristeći alate za skeniranje mreže, softver za detekciju i odgovor na prijetnje (EDR) ili sistem za otkrivanje upada (eng. intrusion detection systems – IDS) u potrazi za aktivnim neovlaštenim vezama,
  3. Sačuvati sisteme u stabilnom stanju isključujući zaražene mašine iz mreže i isključiti ih respektivno ako je moguće da bi se spriječilo dalje oštećenje,
  4. Obavijestiti IT tim, pravnog savjetnika i druge zainteresovane strane o incidentu. Koordinirati napore da se obuzda napad i smanji šteta,
  5. Detaljno prijaviti incident lokalnim agencijama za sprovođenje zakona dajući im sve dostupne informacije o napadu, uključujući sve indikatore kompromitovanja (eng. indicators of compromise – IOC) ili uzorke zlonamjernog softvera, radi dalje istrage,
  6. Potražiti informacije o ključevima za dešifrovanje. Ako ključ za dešifrovanje postane dostupan za Eldorado ransomware, iskoristiti ga za oporavak podataka bez plaćanja otkupnine,
  7. Zatražite pomoć od stručnjaka za sprovođenje zakona i stručnjaka u sajber bezbjednosti. Angažovati profesionalce sa iskustvom u rukovanju ransomware napadima da bi se lakše prošlo kroz proces oporavka.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.