基於 Golang 的勒索軟體 Eldorado,可跨平台攻擊

來源
台灣電腦網路危機處理暨協調中心

內容
資安業者 Group-IB Threat Intelligence 發現了一款基於Golang的勒索軟體-Eldorado,勒索軟體專門針對大型企業進行攻擊,並且具有跨平台攻擊能力,可攻擊 VMware ESXi、Windows 和 Linux 等多種系統。Eldorado 屬於勒索軟體即服務(Ransomware-as-a-Service,RaaS),利用先進的方式加密金鑰及目標檔案,以SMB協定進行橫向擴散,並刪除特定檔案抹除加密痕跡及避免加密檔案被還原。
 
隨著科技的進步,攻擊者不斷探索新的攻擊方式,勒索軟體即服務已經演變成類似於大型企業的運作模式,這些勒索軟體組織持續在暗網論壇招募新的合作夥伴,並讓不同夥伴在團隊中執行特定任務。Eldorado 的相關訊息最初出現在俄羅斯的地下勒索軟體論壇 RAMP,當企業受駭後,Eldorado會透過暗網Onion 網域的聊天平台與受駭者聯繫。截至 2024 年 6 月,全球已有 16 家公司遭到 Eldorado 攻擊,其中大部分位於美國,受影響的行業包括房地產、教育、專業服務、醫療保健和製造業等。
 
為了支援跨平台功能,Eldorado 使用 Golang 程式語言開發,讓其程式可在Windows與Linux的32bit及64bit系統中執行。此勒索軟體使用 Chacha20 演算法快速加密檔案,以Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding(RSA-OAEP)加密金鑰,被加密的檔案其副檔名會被改為”.00000001”,並在「文件」和「桌面」的目錄中建立名為「HOW_RETURN_YOUR_DATA.TXT」的文字檔案,裡面含有攻擊者的聯絡資訊。另Eldorado會透過 SMB 協定(SMB2/3)方式加密共用網路上的文件,且在加密完檔案後,使用 PowerShell 的命令,先以隨機位元的方式覆蓋加密器(encryptor)再刪除該檔案,以抹除相關加密的痕跡,最後也在系統中刪除windows的陰影複製(shadow copy)備份資料,防止受害電腦透過此機制復原被加密的檔案。
 
整體而言,儘管企業的網路安全意識不斷提高,但總有新形式的網路攻擊在不斷精進和發展。Group-IB 建議採取以下防禦措施:

採多重身份驗證(Multi-factor authentication,MFA)
建置端點偵測和回應(Endpoint Detection and Response,EDR),以協助識別勒索軟體的活動跡象
定期進行資料備份
使用人工智慧進行即時偵測入侵
定期更新系統並執行安全性修補
安排教育訓練,以幫助員工識別網路攻擊(如:釣魚郵件)
每年針對系統進行技術稽核或安全性評估
永遠不要支付贖金
受到攻擊時,尋求專家協助

Group-IB 強調,企業必須在網路安全工作中保持警覺和主動,以減輕這些不斷演變的威脅所帶來的風險。