innovaTopia

Tech for Human Evolution

新登場「Eldorado」ランサムウェア、WindowsとLinuxを狙う

新登場「Eldorado」ランサムウェア、WindowsとLinuxを狙う - innovaTopia - (イノベトピア)

Last Updated on 2024-07-09 07:29 by admin

新たに登場したランサムウェア・アズ・ア・サービス(RaaS)Eldorado」は、WindowsおよびLinuxシステムを標的としています。

Eldoradoは2024年3月16日にランサムウェアフォーラムRAMPにアフィリエイトプログラムの広告が掲載されたことで初めて現れました。

シンガポールに本社を置くセキュリティ企業Group-IBによると、このランサムウェアの代表者はロシア語を話す人物であり、LockBitやBabukなど以前に流出したマルウェアとは重複していないとのことです。

Eldoradoランサムウェアは、クロスプラットフォーム機能のためにGolangを使用し、ファイル暗号化にはChacha20、キー暗号化にはRivest Shamir Adleman-Optimal Asymmetric Encryption Padding (RSA-OAEP)を採用しています。

また、Server Message Block (SMB)プロトコルを使用して共有ネットワーク上のファイルを暗号化することが可能です。

Eldoradoの暗号化ツールは、esxi、esxi_64、win、win_64の4形式で提供され、2024年6月時点で16の犠牲者がデータ漏洩サイトに掲載されています。

これらの犠牲者企業は、不動産、教育、専門サービス、医療、製造業など様々な業界にまたがり、13社がアメリカ、2社がイタリア、1社がクロアチアに所在しています。

Windows版のアーティファクト分析では、ランサムウェアの痕跡を消去するためにPowerShellコマンドを使用してランサムウェアをランダムバイトで上書きし、その後ファイルを削除する試みが明らかにされました。

Eldoradoは、Arcus Media、AzzaSec、dan0n、Limpopo(別名SOCOTRA、FORMOSA、SEXi)、LukaLocker、Shinra、Space Bearsなど、最近登場した新しい二重脅迫型ランサムウェアのリストに加わりました。

特にLukaLockerは、データ漏洩サイトを使用せず、Windowsのワークステーションとサーバーを暗号化した後に被害者に電話をかけて身代金の支払いを交渉するという手法で知られています。

また、Linux向けの新しいMallox(別名Fargo、TargetCompany、Mawahelper)ランサムウェアのバリアントと、7つの異なるビルドに関連する復号化ツールが発見されました。Malloxは、Microsoft SQLサーバーへのブルートフォース攻撃やフィッシングメールを通じてWindowsシステムを標的としていますが、最近の侵入では.NETベースのローダーであるPureCrypterも使用されています。

Avastは、DoNexおよびその前身(Muse、偽のLockBit 3.0、DarkRace)の暗号化スキームにおける欠陥を利用して復号化ツールを提供しており、2024年3月以降、法執行機関との協力のもと被害者に「静かに」復号化ツールを提供しています。

Group-IBによると、2024年5月には470件のランサムウェア攻撃が記録され、4月の356件から増加しています。これらの攻撃の大半はLockBit、Play、Medusa、Akira、8Base、Qilin、RansomHubによって主張されています。

新しいランサムウェアの系統の開発と洗練されたアフィリエイトプログラムの出現は、この脅威が収束していないことを示しています。組織は、これらの絶えず進化する脅威に対処するために、警戒を怠らず、積極的なサイバーセキュリティ対策を講じる必要があります。

【編集者追記】用語解説

  • ランサムウェア・アズ・ア・サービス (RaaS):
    これは、ランサムウェア攻撃をサービスとして提供するビジネスモデルです。通常のソフトウェア・アズ・ア・サービス(SaaS)と同様に、攻撃ツールをレンタルして使用できます。
  • Golang:
    Google社が開発したプログラミング言語で、シンプルで効率的なコードを書くことができます。多くのサイバー攻撃ツールの開発に使用されています。
  • ChaCha20アルゴリズム:
    高速で安全な暗号化アルゴリズムの一つです。特に、モバイルデバイスなどの低性能な環境でも効率的に動作します。
  • RSA-OAEP:
    RSA暗号化アルゴリズムに最適パディング(データの隙間を埋める処理)を加えた方式です。より安全な暗号化を実現します。
  • SMBプロトコル:
    Server Message Blockの略で、主にWindowsネットワークでファイル共有やプリンター共有に使用されるプロトコルです。

【参考リンク】
Group-IBオフィシャルサイト(外部)

【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む

【ニュース解説】

新たに登場したランサムウェア・アズ・ア・サービス(RaaS)「Eldorado」は、WindowsおよびLinuxシステムを標的にしたサイバー攻撃を提供することが明らかになりました。このサービスは、2024年3月16日にランサムウェアフォーラムRAMPにてその存在が初めて報告され、ロシア語を話す代表者によって運営されていることが判明しています。Eldoradoは、Golangを使用したクロスプラットフォーム機能、Chacha20によるファイル暗号化、RSA-OAEPによるキー暗号化を特徴とし、共有ネットワーク上のファイルを暗号化する能力を持っています。

このランサムウェアは、不動産、教育、専門サービス、医療、製造業など多岐にわたる業界の企業を標的にしており、特にアメリカ、イタリア、クロアチアの企業が被害を受けています。Eldoradoは、二重脅迫型ランサムウェアの新たなプレイヤーとして、他のランサムウェアとは異なる手法を採用していることが特徴です。例えば、LukaLockerのようにデータ漏洩サイトを使用せず、直接被害者に電話をかけて身代金の支払いを交渉する手法があります。

さらに、Linuxシステムを標的とする新たなランサムウェアバリアントの発見や、複数のランサムウェアに対する復号化ツールの提供など、ランサムウェアの脅威は進化し続けています。これらの動向は、ランサムウェア攻撃が増加傾向にあることを示しており、特に2024年5月には前月比で攻撃件数が増加しています。

このような状況は、ランサムウェアの脅威が収束していないことを示しており、組織はこれらの脅威に対して常に警戒し、適切なサイバーセキュリティ対策を講じる必要があります。ランサムウェア攻撃は、企業の重要なデータを暗号化し、業務を停止させるだけでなく、企業の信頼性やブランドイメージにも深刻な影響を与える可能性があります。そのため、定期的なセキュリティチェック、従業員へのセキュリティ教育、バックアップの実施など、予防策を講じることが重要です。

また、ランサムウェア攻撃の増加は、法執行機関やセキュリティ企業による対策や取り組みを促進することにもつながります。これらの取り組みにより、ランサムウェアの拡散を防ぎ、被害を最小限に抑えることが期待されます。しかし、攻撃者は常に新しい手法を開発しており、サイバーセキュリティの脅威は絶えず進化しています。そのため、最新の脅威に対応するための継続的な研究と技術開発が不可欠です。

from New Ransomware-as-a-Service ‘Eldorado’ Targets Windows and Linux Systems.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 新登場「Eldorado」ランサムウェア、WindowsとLinuxを狙う