Ransomware-as-a-service (RaaS) baru bernama Eldorado muncul pada bulan Maret dan hadir dengan varian loker untuk VMware ESXi dan Windows.
Geng tersebut telah memakan korban sebanyak 16 orang, sebagian besar di AS, yang bekerja di sektor real estat, pendidikan, perawatan kesehatan, dan manufaktur.
Para peneliti di perusahaan keamanan siber Group-IB memantau aktivitas Eldorado dan memperhatikan operatornya mempromosikan layanan berbahaya di forum RAMP dan mencari afiliasi terampil untuk bergabung dengan program tersebut.
Eldorado juga mengelola situs kebocoran data yang memuat daftar korban, tetapi situs tersebut sedang tidak aktif saat artikel ini ditulis.
Sumber: Group-IB
Mengenkripsi Windows dan Linux
Eldorado adalah ransomware berbasis Go yang dapat mengenkripsi platform Windows dan Linux melalui dua varian berbeda dengan kesamaan operasional yang luas.
Para peneliti memperoleh enkripsi dari pengembang, yang disertai dengan panduan pengguna yang menyatakan bahwa ada varian 32/64-bit yang tersedia untuk hypervisor VMware ESXi dan Windows.
Group-IB mengatakan bahwa Eldorado adalah pengembangan yang unik “dan tidak bergantung pada sumber pembangun yang diterbitkan sebelumnya.”
Malware tersebut menggunakan algoritma ChaCha20 untuk enkripsi dan menghasilkan kunci 32-byte dan nonce 12-byte yang unik untuk setiap file yang terkunci. Kunci dan nonce tersebut kemudian dienkripsi menggunakan RSA dengan skema Optimal Asymmetric Encryption Padding (OAEP).
Setelah tahap enkripsi, file akan ditambahkan ekstensi “.00000001” dan catatan tebusan bernama “HOW_RETURN_YOUR_DATA.TXT” akan dimasukkan ke dalam folder Dokumen dan Desktop.
Sumber: Group-IB
Eldorado juga mengenkripsi pembagian jaringan yang memanfaatkan protokol komunikasi SMB untuk memaksimalkan dampaknya dan menghapus salinan volume bayangan pada mesin Windows yang disusupi untuk mencegah pemulihan.
Ransomware tersebut melewati file-file DLL, LNK, SYS, dan EXE, serta file-file dan direktori yang terkait dengan boot sistem dan fungsionalitas dasar untuk mencegah sistem tidak dapat di-boot/tidak dapat digunakan.
Terakhir, pengaturan default-nya adalah menghapus sendiri untuk menghindari deteksi dan analisis oleh tim respons.
Menurut peneliti Group-IB, yang menyusup ke dalam operasi tersebut, afiliasi dapat menyesuaikan serangan mereka. Misalnya, pada Windows mereka dapat menentukan direktori mana yang akan dienkripsi, melewati berkas lokal, menargetkan berbagi jaringan pada subnet tertentu, dan mencegah penghapusan sendiri malware tersebut.
Namun, pada Linux, parameter penyesuaian berhenti pada pengaturan direktori yang akan dienkripsi.
Rekomendasi pertahanan
Group-IB menyoroti bahwa ancaman ransomware Eldorado adalah operasi mandiri baru yang tidak muncul sebagai perubahan nama kelompok lain.
“Meskipun tergolong baru dan bukan merupakan merek baru dari kelompok ransomware yang sudah dikenal, Eldorado telah dengan cepat menunjukkan kemampuannya dalam waktu singkat untuk menimbulkan kerusakan yang signifikan terhadap data, reputasi, dan kelangsungan bisnis korbannya.” – Grup-IB
Para peneliti merekomendasikan pertahanan berikut, yang dapat membantu melindungi terhadap semua serangan ransomware, sampai pada tingkat tertentu:
- Terapkan autentikasi multifaktor (MFA) dan solusi akses berbasis kredensial.
- Gunakan Deteksi dan Respons Titik Akhir (EDR) untuk mengidentifikasi dan merespons indikator ransomware dengan cepat.
- Lakukan pencadangan data secara berkala untuk meminimalkan kerusakan dan kehilangan data.
- Memanfaatkan analisis berbasis AI dan penangkalan malware canggih untuk deteksi dan respons intrusi secara real-time.
- Prioritaskan dan terapkan patch keamanan secara berkala untuk memperbaiki kerentanan.
- Mendidik dan melatih karyawan untuk mengenali dan melaporkan ancaman keamanan siber.
- Melakukan audit teknis tahunan atau penilaian keamanan dan menjaga kebersihan digital.
- Hindari membayar tebusan karena hal itu jarang menjamin pemulihan data dan dapat menyebabkan lebih banyak serangan.
