行業新聞與部落格

安全研究人員對最新版本的勒索軟體即服務 (RaaS)（即 Eldorado） 有了重要見解。

該惡意軟體專門針對 Windows 和 Linux 作業系統，利用程式語言 Golang 進行跨平臺攻擊。 

Menlo Security 網路安全專家 Ngoc Bui 評論道：“感染多個作業系統的能力總是值得注意的，因為它擴大了攻擊範圍。然而，從頭開始結合加密方法和勒索軟體建立才值得注意。”

“這表明，他們隊伍中可能有一些技術嫻熟的勒索軟體程式設計師。這些人很可能是付費的，這表明這個團伙背後可能也有很好的資源，”Bui 補充道。 

根據 Group-IB 上週釋出的一份諮詢報告，該勒索軟體採用了先進的加密方法，例如用於檔案加密的 Chacha20 和用於金鑰加密的 Rivest Shamir Adleman-Optimal 非對稱加密填充 (RSA-OAEP)。這使得它能夠利用伺服器訊息塊 (SMB) 協議有效地加密共享網路上的檔案。

Sectigo 產品高階副總裁 Jason Soroko 解釋說：“Eldorado 勒索軟體還表現出了先進的橫向移動能力，尤其是透過 USB 驅動器檢查。”

“此功能使其能夠檢測和感染可移動媒體，當受感染的 USB 驅動器連線到其他地方時，有助於將勒索軟體傳播到其他系統。該惡意軟體會掃描連線的 USB 驅動器並自動將自身複製到它們上，通常使用混淆技術來避免被安全軟體檢測到。”

此外，Group-IB 對 Eldorado 的調查揭示了一種運營模式，網路犯罪分子透過 RAMP 等地下論壇招募會員，尋求具有技術專長的個人加入他們的非法活動。 

從技術角度來看，該惡意軟體的開發人員提供了一系列可定製的功能，允許關聯公司針對特定目標網路或組織定製攻擊。 

值得注意的是，Eldorado 已經損害了眾多公司，其洩漏網站的資料顯示，截至 2024 年 6 月已確診 16 例，主要發生在美國，但也影響到全球各個行業，包括房地產、醫療保健和教育。

這一發現出現在 Group-IB 發現的一個更廣泛的趨勢中，該趨勢顯示暗網論壇上 RaaS 程式的廣告急劇增加。與上一年相比，2023 年的這一激增增長了 1.5 倍，凸顯了網路犯罪企業的日益複雜和覆蓋範圍。

Critical Start 網路威脅研究高階經理 Callie Guenther 警告說：“防禦者應該實施多因素身份驗證、端點檢測和響應解決方案、定期資料備份、及時修補和持續的員工培訓。”