轉載「基於 Golang 的勒索軟體 Eldorado，可跨平台攻擊」訊息

 

基於 Golang 的勒索軟體 Eldorado，可跨平台攻擊

    資安業者 Group-IB Threat Intelligence 發現了一款基於Golang的勒索軟體-Eldorado，勒索軟體專門針對大型企業進行攻擊，並且具有跨平台攻擊能力，可攻擊 VMware ESXi、Windows 和 Linux 等多種系統。Eldorado 屬於勒索軟體即服務(Ransomware-as-a-Service,RaaS)，利用先進的方式加密金鑰及目標檔案，以SMB協定進行橫向擴散，並刪除特定檔案抹除加密痕跡及避免加密檔案被還原。
 
隨著科技的進步，攻擊者不斷探索新的攻擊方式，勒索軟體即服務已經演變成類似於大型企業的運作模式，這些勒索軟體組織持續在暗網論壇招募新的合作夥伴，並讓不同夥伴在團隊中執行特定任務。Eldorado 的相關訊息最初出現在俄羅斯的地下勒索軟體論壇 RAMP，當企業受駭後，Eldorado會透過暗網Onion 網域的聊天平台與受駭者聯繫。截至 2024 年 6 月，全球已有 16 家公司遭到 Eldorado 攻擊，其中大部分位於美國，受影響的行業包括房地產、教育、專業服務、醫療保健和製造業等。
 
為了支援跨平台功能，Eldorado 使用 Golang 程式語言開發，讓其程式可在Windows與Linux的32bit及64bit系統中執行。此勒索軟體使用 Chacha20 演算法快速加密檔案，以Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding(RSA-OAEP)加密金鑰，被加密的檔案其副檔名會被改為”.00000001”，並在「文件」和「桌面」的目錄中建立名為「HOW_RETURN_YOUR_DATA.TXT」的文字檔案，裡面含有攻擊者的聯絡資訊。另Eldorado會透過 SMB 協定（SMB2/3）方式加密共用網路上的文件，且在加密完檔案後，使用 PowerShell 的命令，先以隨機位元的方式覆蓋加密器(encryptor)再刪除該檔案，以抹除相關加密的痕跡，最後也在系統中刪除windows的陰影複製(shadow copy)備份資料，防止受害電腦透過此機制復原被加密的檔案。

 

【資安新聞-TWCERT/CC】

基於 Golang 的勒索軟體 Eldorado，可跨平台攻擊

詳細資訊請參考：https://www.twcert.org.tw/tw/cp-104-7950-61e43-1.html