حمله باج‌افزاری الدورادو به سیستم‌های لینوکس و ویندوز

به گزارش کارگروه امنیت سایبربان؛ یک عملیات باج‌افزار به‌عنوان سرویس به نام الدورادو (Eldorado)، که فایل‌ها را در دستگاه‌های لینوکس و ویندوز رمزگذاری می‌کند، از ماه ژوئن حداقل 16 سازمان، عمدتاً در ایالات متحده، را آلوده کرده است.

فروشگاه امنیتی سنگاپوری «Group-IB» برای اولین بار در مارس 2024 باند تبهکار را رصد و زمانی آن را مشاهده کرد که یک برنامه وابسته و بدافزاری را که در لینوکس و ویندوز نسخه‌های 32 بیتی و 64 بیتی ارائه می‌شود تبلیغ می‌کند. این باند جنایتکار همچنین به دنبال تست کننده‌های نفوذ برای پیوستن به عملیات‌ها و انتشار کد مخرب است.

نیکلای کیچاتوف (Nikolay Kichatov)، تحلیلگر اطلاعاتی Group-IB و شارمین لو (Sharmine Low)، تحلیلگر بدافزار، به الدورادو نفوذ کردند و پس از یافتن اصطلاحات محاوره‌ای در تبلیغات ارسال شده به انجمن باج‌افزار رمپ (RAMP)، به این نتیجه رسیدند که نماینده بدافزار اسلینگر (Slinger) بومی روسی است.

گروه الدورادو یک قفسه و یک لودر را تبلیغ کردند، اما چیزی که در مورد این بدافزار غیرمعمول است این بود که از هیچ منبع سازنده قبلی منتشر شده استفاده نمی‌کند، مانند باج‌افزار «LockBit 3.0» که در سپتامبر 2022 به بیرون درز کرد یا کد منبع «Babuk» که به صورت عمومی سال قبل منتشر شد.

باج‌افزار الدورادو، احتمالاً به دلیل قابلیت‌های چند پلتفرمی آن، در Go نوشته شده است. به گفته شارمین لو، از الگوریتم «Chacha20» برای رمزگذاری فایل و Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding (RSA-OAEP) برای رمزگذاری کلید و از پروتکل مسدود کردن پیام سرور (SMB) برای رمزگذاری فایل‌ها در شبکه‌های مشترک استفاده می‌کند.

هنگامی که شرکت‌های وابسته به عملیات باج‌افزار به‌عنوان سرویس ملحق می‌شوند، فقط به قربانیان اجازه دسترسی به چت می‌دهند و می‌توانند نمونه‌های باج‌افزاری را پس از ارائه پارامترهای سفارشی‌سازی زیر تولید کنند : نام شبکه یا شرکت مورد نظر، نام فایل برای یادداشت باج‌گیری و متن و رمز عبور یا هش مدیر دامنه.

یک رمزگذار که توسط تحلیلگران Group-IB به‌دست آمده، در 4 قالب موجود است : «esxi»، «esxi_64»، «win» و «win_64».

علاوه بر این، نسخه ویندوز از دستور پاورشل (PowerShell) برای بازنویسی رمزگذار با بایت‌های تصادفی قبل از حذف فایل استفاده می‌کند که به حذف هر گونه اثر بدافزار کمک می‌کند.

کیچاتوف و لو نوشتند :

«تا ژوئن سال جاری، 16 شرکت در سراسر کشورها و صنایع مختلف حملات باج‌افزاری الدورادو را متحمل شده‌اند، با شرکت‌هایی در ایالات متحده که 13 بار مورد حمله قرار گرفته‌اند که تا 81.25 درصد از تعداد کل حوادث را شامل می‌شود. 2 قربانی در ایتالیا و یکی در کرواسی مستقر بودند.»

به گفته کارشناسان، شرکت‌های املاک و مستغلات متحمل 3 حمله شدند، در حالیکه آموزش، خدمات حرفه‌ای، مراقبت‌های بهداشتی و تولید هر کدام 2 مورد آلودگی باج‌افزاری را تجربه کردند. سایر صنایع آسیب دیده عبارتند از : مخابرات، خدمات تجاری، خدمات اداری، حمل و نقل، سازمان‌های دولتی و نظامی.

براساس گزارش شرکت امنیتی Group-IB، اگرچه این گروه هکری نسبتاً جدید است و برندی از گروه‌های باج‌افزار شناخته‌شده نیست، اما الدورادو به سرعت توانایی خود را در مدت کوتاهی برای وارد کردن آسیب‌های قابل توجه به داده‌ها، شهرت و تداوم کسب‌وکار قربانیان خود نشان داده است.

کیچاتوف و لو در نوشته‌های خود دامنه باج‌افزار «Onion» الدورادو را به همراه نشانگرهای فایل و شبکه و سایر جزئیات فنی بدافزار فهرست کردند.

در حالیکه الدورادو ممکن است یکی از جدیدترین باج‌افزارها به‌عنوان سرویس باشد، Group-IB بین سال‌های 2022 تا 2023، 27 تبلیغ برای عملیات‌های گروه‌های مشابه در انجمن‌های مختلف جرایم سایبری مشاهده کرد. تنها در سال گذشته، تعداد تبلیغاتی که به دنبال باج‌افزارهای وابسته هستند افزایش یافت و 1.5 برابر نسبت به 12 ماه قبل بود.