Kürzlich ist eine neue Ransomware-as-a-Service (RaaS) unter dem Namen Eldorado auf den Markt gekommen, die Locker-Varianten für VMware ESXi- und Windows-Systeme einführt. Eldorado hat schnell bewiesen, dass es in der Lage ist, den Daten, dem Ruf und der Geschäftskontinuität der Opfer schweren Schaden zuzufügen. Lesen Sie diesen Cybersecurity-Bedrohungshinweis, um Ihr Risiko durch diese Ransomware zu mindern.
Welcher Art ist die Bedrohung?
Eldorado ermöglicht es geschickten Partnern, ihre Angriffe zu personalisieren und in Dark-Web-Foren für den bösartigen Dienst zu werben, einschließlich einer bemerkenswerten Anzeige im Ransomware-Forum RAMP. Darüber hinaus hat Eldorado eine Website eingerichtet, auf der die von ihren Angriffen betroffenen Opfer aufgelistet werden.
Warum sollte man aufmerksam sein?
Eldorado gilt als bedeutender Fortschritt bei Ransomware-Strategien. Es verschlüsselt Dateien mit dem ChaCha20-Algorithmus und verwendet das RSA-OAEP-Schema für die Schlüsselverschlüsselung. Eldorado wird als RaaS betrieben und ermöglicht es Clients, ihre Malware-Samples zu generieren und dezentral einzusetzen. Dieses Modell vergrößert seine Reichweite und erschwert die Bemühungen zur Eindämmung und Aufdeckung. Aufgrund der fortschrittlichen Verschlüsselungstechniken wird die Wiederherstellung von Daten zu einer Herausforderung und stellt ein erhebliches Risiko für die Datenintegrität und Betriebskontinuität dar.
Wie hoch ist Risiko einer Exposition?
Der Ransomware-Entwickler von Eldorado weist einen unverwechselbaren Ansatz auf. Seine Betreiber verlassen sich nicht auf zuvor durchgesickerte, öffentlich verfügbare Ransomware-Tools wie LockBit 3.0 oder den Quellcode der Babuk-Ransomware. Eldorado wurde in der Go-Sprache entwickelt und bietet Versionen, die sowohl auf Windows- als auch auf Linux-Systeme zugeschnitten sind und einen Verschlüsseler in vier Formaten vorsehen: esxi, esxi_64, win und win_64. Bei Angriffen verschlüsselt Eldorado Dateien mit der Erweiterung „.00000001“ und hinterlässt in den Dokumenten- und Desktop-Ordnern der Opfer eine Lösegeldforderung, in der sie aufgefordert werden, sich mit dem Cyberkriminellen in Verbindung zu setzen. Die Ransomware verwendet ChaCha20 zur Dateiverschlüsselung und Rivest-Shamir-Adleman Optimal Asymmetric Encryption Padding (RSA-OAEP) zur Schlüsselverschlüsselung.
Eldorado entfernt außerdem Schattenvolumenkopien von den betroffenen Windows-Computern, um die Wiederherstellung zu erschweren, und verschlüsselt Netzwerkfreigaben über das SMB-Protokoll, um seine Wirkung zu maximieren. Es vermeidet die Verschlüsselung kritischer Systemdateien und -verzeichnisse, damit das System weiterhin gebootet werden kann.
Welche Empfehlungen haben Sie?
Barracuda empfiehlt die folgenden Maßnahmen, um Ihr Risiko zu mindern:
- Implementieren Sie Multi-Faktor-Authentifizierung (MFA) und auf Zugangsdaten beruhende Zugangslösungen.
- Verwenden Sie Endpoint Detection and Response (EDR), um Anzeichen von Ransomware schnell zu erkennen und darauf zu reagieren.
- Erstellen Sie regelmäßig Backups, um Schäden und Datenverluste zu minimieren.
- Nutzen Sie KI-basierte Analysen und fortschrittliche Malware-Detonation für die Erkennung von und Reaktion auf Angriffe in Echtzeit.
- Setzen Sie Prioritäten und wenden Sie regelmäßig Security-Patches an, um Schwachstellen zu beheben.
- Schulen und trainieren Sie Ihre Mitarbeiter, damit sie Cybersecurity-Bedrohungen erkennen und melden.
- Führen Sie jährliche technische Audits oder Securitybewertungen durch und sorgen Sie für digitale Hygiene.
- Nehmen Sie von Lösegeldzahlungen Abstand, da dies selten die Wiederherstellung von Daten gewährleistet und zu weiteren Angriffen führen kann.
Referenzen
Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:
- https://duo.com/decipher/new-eldorado-ransomware-group-targets-windows-linux-systems
- https://www.chrisupchurch.net/new-eldorado-ransomware-targets-windows-vmware-esxi-vms/
- https://www.spiceworks.com/it-security/vulnerability-management/news/eldorado-ransomware-affects-vmware-esxi-windows-vms/
Hinweis: Dieser Beitrag wurde ursprünglich auf SmarterMSP veröffentlicht.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
