Last Updated on 2024-07-10 04:43 by 門倉 朋宏
EldoradoというGo言語ベースのランサムウェア・アズ・ア・サービス(RaaS)が、2023年3月からWindowsとVMware ESXi環境を標的にしている。このランサムウェアは、教育、不動産、医療分野を中心に米国で活動しており、RAMPフォーラムで初めて登場した。Eldoradoは、攻撃をカスタマイズする機能を提供し、Windowsではネットワーク共有のターゲット指定、Linuxでは暗号化するディレクトリの設定が可能である。
Group-IBの報告によると、EldoradoはChacha20をファイル暗号化に、RSA-OAEPを鍵暗号化に使用し、SMBプロトコルを利用して共有ネットワーク上のファイルを暗号化する。また、シャドウボリュームコピーを削除し、システム機能を維持するために重要なシステムファイルを避け、検出を回避するために自己削除する機能を持つ。
Sectigoの製品担当シニアバイスプレジデントであるJason Sorokoは、Eldoradoが「土地からの生活」戦略を採用しており、感染したシステムに既に存在する正当なツールを利用することで回避性を高めていると説明する。Windows WMIとPowerShellがその例である。
Critical Startのサイバー脅威研究シニアマネージャー、Callie Guentherは、EldoradoがVMをシャットダウンして暗号化する能力がビジネス継続性とデータ可用性に大きな影響を与える可能性があると指摘する。Menlo Securityのサイバーセキュリティ専門家、Ngoc Buiは、複数のOSに感染できる能力と、ランサムウェアを一から作成したことが注目に値すると述べている。
【ニュース解説】
Eldoradoという新しいランサムウェアが、2023年3月から特にアメリカ合衆国内の教育、不動産、医療分野を中心に活動しています。このランサムウェアは、WindowsとVMware ESXi環境を標的にしており、ランサムウェア・アズ・ア・サービス(RaaS)の形態を取っています。Go言語を使用しており、そのクロスプラットフォーム機能を活かしています。
Eldoradoは、攻撃者が攻撃をカスタマイズできるように設計されています。例えば、Windows環境では特定のネットワーク共有をターゲットにし、Linux環境では暗号化するディレクトリを指定できます。ファイル暗号化にはChacha20を、鍵暗号化にはRSA-OAEPを使用し、共有ネットワーク上のファイルを暗号化するためにSMBプロトコルを利用します。さらに、シャドウボリュームコピーを削除し、システム機能を維持するために重要なシステムファイルを避け、検出を回避するために自己削除する機能も備えています。
このランサムウェアの特徴の一つは、感染したシステムに既に存在する正当なツールを利用する「土地からの生活」戦略を採用している点です。Windows WMIとPowerShellがその例で、これらを利用して横断的な移動やリソースの暗号化を行います。
Eldoradoの影響は、ビジネス継続性とデータ可用性に大きな影響を与える可能性があります。特に、VMware ESXi環境を標的にすることで、仮想化された環境におけるデータやサービスの提供を停止させることができます。これは、攻撃者がより大きなダメージを与えるために、仮想化技術を標的にする傾向があることを示しています。
Eldoradoの出現は、ランサムウェア攻撃の進化を示しており、攻撃者がより巧妙で、カスタマイズ可能なツールを開発していることを示しています。このような攻撃に対抗するためには、組織は定期的なパッチ適用、強力な認証方法の使用、マルウェアの兆候を監視するなど、プロアクティブな防御策を講じる必要があります。
長期的に見ると、Eldoradoのようなランサムウェアの出現は、セキュリティ対策の強化と、攻撃者との間の絶え間ない「武器競争」を促進することになります。また、攻撃者が新しい技術や戦略を採用するにつれて、セキュリティ専門家や組織は常に警戒を怠らず、最新の脅威情報を共有し、対策を更新し続ける必要があります。
from Eldorado Ransomware Cruises Onto the Scene to Target VMware ESXi.
