据bleepingcomputer网7月5日报道,一种名为Eldorado的新勒索软件即服务(RaaS)被发现,为VMware ESXi和Windows提供了locker变体。
网络安全公司Group IB的研究人员监测了Eldorado活动。Eldorado 可以通过两种具有广泛操作相似性的不同变体来加密 Windows 和 Linux 平台。
该恶意软件使用 ChaCha20 算法进行加密,并为每个锁定文件生成唯一的 字节密钥和 字节随机数。然后,使用具有最佳非对称加密填充 (OAEP) 方案的 RSA 对密钥和随机数进行加密。
Eldorado 还利用 SMB 通信协议对网络共享进行加密,以最大限度地发挥其影响,并删除受感染的 Windows 计算机上的卷影副本以防止恢复。
Group-IB 强调,Eldorado 勒索软件威胁是一种新的独立操作,并非作为另一个组织的更名而出现。研究人员推荐了这些防御措施,可以在一定程度上帮助抵御所有勒索软件攻击,包括:
1)实施多重身份验证 (MFA) 和基于凭据的访问解决方案。
2)使用端点检测和响应 (EDR) 快速识别和响应勒索软件指标。
3)定期进行数据备份,以最大程度地减少损坏和数据丢失。
4)利用基于 AI 的分析和高级恶意软件引爆进行实时入侵检测和响应。
5)确定优先级并定期应用安全补丁以修复漏洞。
6)教育和培训员工识别和报告网络安全威胁。
7)进行年度技术审核或安全评估,并保持数字卫生。
8)不要支付赎金,因为它很少能确保数据恢复,并可能导致更多攻击。
(编译:康朝)
链接:
https://www.bleepingcomputer.com/news/security/new-eldorado-ransomware-targets-windows-vmware-esxi-vms/