Alerte de menace pour la cybersécurité : émergence du RaaS Eldorado

Un nouveau ransomware-as-a-service (RaaS), connu sous le nom Eldorado, est récemment apparu, introduisant des variantes de verrouillage pour les systèmes VMware ESXi et Windows. Eldorado a rapidement démontré sa capacité à infliger de graves dommages aux données, à la réputation et à la continuité des activités des victimes. Consultez la présente Alerte de menace pour la cybersécurité et découvrez de quelle manière atténuer les risques liés à ce ransomware.

Nature de la menace

Eldorado permet à des affiliés compétents d’adapter leurs attaques et de promouvoir le service malicieux sur des forums du dark Web, notamment une publicité considérable sur le forum RAMP consacré aux ransomwares. De plus, Eldorado a créé un site Web répertoriant les victimes touchées par leurs attaques.

Pourquoi est-ce important ?

Eldorado est désigné comme une avancée significative en matière de stratégies de ransomware, en chiffrant les fichiers à l’aide de l’algorithme ChaCha20 et en utilisant le schéma RSA-OAEP pour le chiffrement des clés. Au même titre qu’un RaaS, Eldorado permet aux clients de générer leurs échantillons de malware, décentralisant ainsi le déploiement. Ce type de modèle renforce sa portée et complique les efforts d’atténuation et de détection. Ses techniques de chiffrement avancées rendent la récupération des données très difficile, ce qui représente un risque important pour l’intégrité des données et la continuité des opérations.

Quel est le risque ou le degré d'exposition ?

Le générateur du ransomware Eldorado se distingue par son approche. Ses opérateurs ne s’appuient pas sur des outils de ransomware précédemment divulgués et accessibles au public, tels que LockBit 3.0 ou le code source du ransomware Babuk. Développé en langage Go, Eldorado dispose de versions adaptées aux systèmes Windows et Linux, et propose un chiffreur en quatre formats : esxi, esxi_64, win et win_64. Lors d’attaques, Eldorado chiffre les fichiers avec l’extension « .00000001 » et laisse une demande de rançon dans les dossiers Documents et Bureau des victimes, leur demandant de contacter le pirate. Le ransomware utilise ChaCha20 pour le chiffrement des fichiers et Rivest-Shamir-Adleman Optimal Asymmetric Encryption Padding (RSA-OAEP) pour le chiffrement des clés.

Eldorado supprime également les "shadow copies" des ordinateurs Windows concernés afin d’entraver la récupération et chiffre les partages réseau à l’aide du protocole SMB afin de maximiser son effet. Il veille à ne pas chiffrer les fichiers et les répertoires critiques du système pour garantir un redémarrage du système.

Quelles sont les recommandations ?

Barracuda recommande les mesures suivantes pour atténuer les risques auxquels vous pouvez être confrontés :

• Mettre en œuvre des solutions d’authentification multifacteur (MFA) et d’accès par identifiants.
• Utiliser la détection et la réponse des points de terminaison (EDR) pour identifier et répondre rapidement aux indicateurs de ransomware.
• Effectuer des sauvegardes régulières pour minimiser les dommages et les pertes de données.
• Utiliser l’analyse basée sur l’IA et la détonation avancée des malwares pour la détection et la réponse aux intrusions en temps réel.
• Prioriser et appliquer périodiquement des correctifs de sécurité pour corriger les vulnérabilités.
• Éduquer et former les employés à reconnaître et à signaler les menaces de cybersécurité.
• Mener des audits techniques annuels ou des évaluations de sécurité et maintenir une bonne hygiène numérique.
• Éviter de payer une rançon car cela garantit rarement la récupération des données et peut entraîner davantage d’attaques.

RÉFÉRENCES

Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :

• https://duo.com/decipher/new-eldorado-ransomware-group-targets-windows-linux-systems
• https://www.chrisupchurch.net/new-eldorado-ransomware-targets-windows-vmware-esxi-vms/
• https://www.spiceworks.com/it-security/vulnerability-management/news/eldorado-ransomware-affects-vmware-esxi-windows-vms/

Remarque : cet article a été initialement publié sur SmarterMSP.