セキュリティ研究者らは、Eldoradoとして知られる最新のRansomware-as-a-Service(RaaS)の反復版について、重要な知見を明らかにしました。
WindowsとLinuxの両オペレーティングシステムを標的とするよう設計されたこの高度なマルウェアは、クロスプラットフォーム攻撃を可能にするためにプログラミング言語Golangを利用しています。
「複数のOSに感染できる能力は攻撃範囲を広げるため、常に注目に値します。しかし、注目すべきは暗号化手法の組み合わせと、ランサムウェアをゼロから作り上げている点です」と、Menlo Securityのサイバーセキュリティ専門家であるNgoc Bui氏はコメントしました。
「これは、彼らの陣営に熟練したランサムウェア開発者がいた可能性を示しています。そうした人材にはおそらく相応の対価が必要であり、このギャングの背後には十分な資金力があることも示唆されます」とBui氏は付け加えました。
先週Group-IBが公開した勧告によると、このランサムウェアはファイル暗号化にChacha20、鍵暗号化にRivest Shamir Adleman-Optimal Asymmetric Encryption Padding(RSA-OAEP)といった高度な暗号化手法を採用しています。これにより、Server Message Block(SMB)プロトコルを利用して共有ネットワーク上のファイルを効果的に暗号化できます。
「Eldoradoランサムウェアは、特にUSBドライブのチェックを通じて、横方向の移動に関する高度な機能も示しています」と、Sectigoのプロダクト担当シニア・バイスプレジデントであるJason Soroko氏は説明しました
「この機能により、リムーバブルメディアを検出して感染させることができ、感染したUSBドライブが別の場所で接続された際に、他のシステムへランサムウェアを拡散させることが可能になります。マルウェアは接続されたUSBドライブをスキャンし、自動的に自身をコピーします。多くの場合、セキュリティソフトによる検知を回避するために難読化技術が用いられます。」
USBを標的とするマルウェアについて詳しく読む:Camaro Dragonがトロイの木馬としてUSBドライブを使用
さらに、Group-IBによるEldoradoの調査では、サイバー犯罪者がRAMPのようなアンダーグラウンドフォーラムを通じてアフィリエイトを募集し、技術的専門知識を持つ人物に違法な企てへの参加を求めるという運用モデルが明らかになりました。
技術面では、マルウェアの開発者が幅広いカスタマイズ可能な機能を提供しており、アフィリエイトが特定の標的ネットワークや組織に合わせて攻撃を調整できるようになっています。
注目すべきことに、Eldoradoはすでに多数の企業を被害に遭わせており、リークサイトのデータによれば、2024年6月時点で確認済みの事例は16件で、主に米国に集中しているものの、不動産、医療、教育など世界各地の業界にも影響が及んでいます。
この発見は、Group-IBが特定したより広範な傾向の中でのもので、ダークウェブのフォーラムにおけるRaaSプログラムの広告が急増していることを示しています。この急増は、前年と比べて2023年に1.5倍の増加を記録しており、サイバー犯罪組織の高度化と影響範囲の拡大を浮き彫りにしています。
「防御側は、多要素認証、エンドポイント検知・対応(EDR)ソリューション、定期的なデータバックアップ、迅速なパッチ適用、そして継続的な従業員トレーニングを実施すべきです」と、Critical Startのサイバー脅威リサーチ担当シニアマネージャーであるCallie Guenther氏は警告しました。
翻訳元: https://www.infosecurity-magazine.com/news/eldorado-ransomware-hits-windows/
