背景图片来源/Group-IB
创立于俄罗斯的资安业者Group-IB上周揭露一个新的勒索软体即服务(RaaS)Eldorado,此一勒索软体以跨平台的Golang程式语言撰写,可用来攻击Windows/Linux与VMware ESXi平台。从今年3月现身迄今,至少已有16家企业遭到Eldorado的攻击。
根据Group-IB对全球RaaS服务的观察,目前最热门的勒索软体集团论坛为RAMP,从2022年至2023年间,有60%的新RaaS服务透过该论坛张贴广告,同一时期,Group-IB亦于该论坛上发现了27个不同勒索软体集团招募RaaS合作伙伴的广告。Group-IB也调查这些勒索软体集团所使用的各种资料外泄网站(DLS),这类网站主要用来张贴拒绝支付赎金的受害者资料,2022年遭公布的受害者为2,629名,2023年增加了74%,达到4,583名,此一数字并未涵盖那些因支付赎金而未被揭露的受害对象。
总之,Group-IB在今年3月发现了Eldorado的行销活动,并企图渗透该组织,发现Eldorado的负责人说的是俄文,以及使用Golang程式语言来打造可攻击Windows与Linux的恶意程式,也发现了支援Windows及VMware ESXi的解码器。
值得注意的是,Eldorado是自行撰写程式码,而未依赖先前曾外泄的LockBit或Babuk勒索软体程式码。
截至今年6月为止,全球有16家企业遭到Eldorado勒索软体攻击,有13家位于美国,2家位于义大利,另一家则是克罗埃西亚的组织,在行业别上,有3家为房地产业者,其它受害者则分布在教育、专业服务、医疗照护、制造业、电信业、商业服务、行政服务、运输服务、政府及军方等领域。
Group-IB提出了许多可防范勒索软体攻击的建议,包括新增诸如多因素身分验证等各种安全层,利用早期侦测技术来阻止勒索软体,制定备份政策,采用先进或整合AI的恶意软体侦测技术,尽速修补安全漏洞,透过教育来提高员工的安全意识,以及不要急于支付赎金。Group-IB提醒,支付了赎金之后,除了不一定能拿到有效的解密金钥之外,还可能成为其它勒索软体集团的攻击目标。
Group-IB是由俄罗斯安全专家Ilya Sachkov与3名同学在2003年所创立,初期总部设在俄罗斯,于2019年将总部迁移到新加坡,然而,俄罗斯警方在2021年9月逮捕了担任Group-IB执行长的Sachkov,指控他与国外的情报机构合作,涉嫌叛国,之后被定罪,并于去年被判处14年刑期。
Group-IB的共同创办人Dmitry Volkov之后接手了执行长位置,却也在去年4月出脱所持有的10%俄罗斯业务股份,同时宣布Group-IB正式退出俄罗斯市场,不再于当地提供服务。