EldoradoはRaaSです。
RaaSはRansomware-as-a-Serviceです。
この脅威アクターの活動が活発化しはじめています。
- ターゲット環境
ランサムウェアの暗号化のターゲットとなる環境は、WindowsとLinuxです。
多くの環境に対して脅威となります。
加えてVMwareのESXiもターゲットとなります。 - コンピュータ言語
EldoradoはGo言語で開発されています。
Goはコンパイルして動作させる形式で、多くのOSで動作させることができます。 - 暗号化方式はChaCha20
マルウェアは暗号化にChaCha20アルゴリズムを使用し、ロックされたファイルごとに固有の32バイトのキーと12バイトのnonceを生成します。
その後、キーとnonceは、最適非対称暗号化パディング(OAEP)スキームを使用してRSAで暗号化されます。
暗号化が完了すると「.00000001」が拡張子として設定されます。
そして身代金要求メモが配置されます。 - 回復の阻害
対象システムがWindowsの場合、Eldoradoはその活動の中でシャドウボリュームを削除します。
これにより被害者の復旧はより困難なものとなります。 - 自己削除機能
Eldoradoには自己削除機能が搭載されています。
暗号化や身代金要求メモの配置などの予定の仕事を完了すると、自分自身を削除します。
解析を実施しにくくする取り組みなのでしょう。
このEldoradoへの対策としての特効薬はまだわかっていません。
基本的な対策を地道に継続していくことで対応することになりそうです。
多要素認証の利用によってシステムを安全に利用する、バックアップを定期的に取得して復旧を可能にする、脆弱性対策を定期的に実施する、こういった取り組みを実践していくことがよさそうです。
Eldorado Ransomware: The New Golden Empire of Cybercrime?
https://www.group-ib.com/blog/eldorado-ransomware/
| この記事をシェア |
|
|---|
