Neuer Ransomware-Service zielt auf Windows- und Linux-Systeme
"Eldorado", ein aktuell verstärkt eingesetzter Ransomware-Dienst (Ransomware-as-a-Service, RaaS), bereitet Sicherheitsexperten Kopfzerbrechen. Der Service bietet unterschiedliche Varianten zur Verschlüsselung von Dateien auf Windows- und Linux-Systemen.
Wie das in Singapur ansässige Unternehmen Group-IB berichtet, tauchte Eldorado erstmals am 16. März 2024 auf, als im Ransomware-Forum RAMP eine Werbung für das Partnerprogramm gepostet wurde. Das Sicherheitsunternehmen hat die Ransomware-Gruppe infiltriert und so nicht nur herausgefunden, dass ihr Vertreter russischsprachig ist, sondern auch, dass die Malware keine Gemeinsamkeiten mit früher durchgesickerten Stämmen wie LockBit oder Babuk aufweist. „Die Eldorado-Ransomware nutzt die Programmiersprache Golang für plattformübergreifende Funktionen und verwendet Chacha20 zur Dateiverschlüsselung sowie RSA-OAEP (Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding) zur Schlüsselverschlüsselung“, erklärten die Security-Experten Nikolay Kichatov und Sharmine Low. „Sie kann Dateien in gemeinsam genutzten Netzwerken mit dem Server Message Block (SMB) Protokoll verschlüsseln.“
Das Verschlüsselungs-Tool für Eldorado gibt es in vier Varianten, die jeweils unterschiedliche Formate unterstützen: esxi, esxi_64, win und win_64. Auf der Website des Datenlecks waren im Juni bereits 16 Opfer aufgeführt. Dreizehn davon befinden sich in den USA, zwei in Italien und eines in Kroatien. Die betroffenen Unternehmen stammen aus verschiedenen Branchen. Mit dabei sind etwa der Immobiliensektor, das Bildungswesen, der Dienstleistungssektor, das Gesundheitswesen und das verarbeitende Gewerbe, um nur einige zu nennen.
Eine weitere Analyse der Windows-Version hat ergeben, dass ein PowerShell-Befehl verwendet wurde, um das Verschlüsselungsprogramm mit zufälligen Bytes zu überschreiben und die Datei anschließend zu löschen, um Spuren zu beseitigen.
Ransomware Double-Dip
Eldorado ist die jüngste in einer Reihe neuer Ransomware-Varianten mit doppelter Erpressung, darunter Arcus Media, AzzaSec, Brain Cipher, dan0n, Limpopo (auch bekannt als SOCOTRA, FORMOSA, SEXi), LukaLocker, Shinra und Space Bears. Dies zeigt erneut, wie beständig und hartnäckig diese Bedrohung ist.
LukaLocker, das mit einem Betreiber in Verbindung gebracht wird, den Halcyon als Volcano Demon bezeichnet, hebt sich dadurch ab, dass keine Datenleck-Website zum Einsatz kommt. Stattdessen rufen die Akteure die Opfer telefonisch an, um sie zu erpressen und eine Zahlung auszuhandeln, nachdem die Ransomware Windows-Arbeitsstationen und -Server verschlüsselt hat.
Die Entwicklung von Eldorado fällt zeitlich mit der Entdeckung neuer Linux-Varianten der Ransomware Mallox (auch bekannt als Fargo, TargetCompany und Mawahelper) und Entschlüsselungsprogramme für sieben verschiedene Versionen zusammen. Mallox verbreitet sich durch Brute-Forcing von Microsoft-SQL-Servern und Phishing-E-Mails, um Windows-Systeme anzugreifen. Neuere Angriffe nutzen auch einen .NET-basierten Loader, der als PureCrypter bekannt ist. „Die Angreifer verwenden benutzerdefinierte Python-Skripte, um die Schadsoftware auszuliefern und Daten der Opfer zu stehlen“, so die Uptycs-Experten Tejaswini Sandapolla und Shilpesh Trivedi. „Die Malware verschlüsselt Benutzerdaten und fügt die Erweiterung .locked an die verschlüsselten Dateien an.“
Avast hat ein Entschlüsselungsprogramm für DoNex und seine Vorgänger (Muse, gefälschtes LockBit 3.0 und DarkRace) bereitgestellt, das eine Schwachstelle im Verschlüsselungsschema ausnutzt. Das tschechische Cybersicherheitsunternehmen erklärte, dass es den Entschlüsseler den Opfern seit März 2024 zur Verfügung gestellt hat – in stillschweigender Zusammenarbeit mit Strafverfolgungsbehörden. „Trotz der Bemühungen der Strafverfolgungsbehörden und verstärkter Sicherheitsmaßnahmen gedeihen Ransomware-Gruppen weiterhin prächtig, denn sie verstehen die Kunst der Anpassung und des Ausweichens“, so Group-IB.
Laut Daten von Malwarebytes und der NCC Group, die auf den Leak-Seiten der Ransomware-Gruppen basieren, gab es im Mai 2024 470 Ransomware-Angriffe, verglichen mit 356 im April. Die meisten Angriffe wurden von LockBit, Play, Medusa, Akira, 8Base, Qilin und RansomHub durchgeführt. „Die fortlaufende Entwicklung neuer Ransomware-Stämme und das Aufkommen ausgeklügelter Partnerprogramme zeigen, dass die Bedrohung noch lange nicht eingedämmt ist“, so Group-IB weiter. „Unternehmen müssen wachsam und proaktiv in ihren Cybersicherheitsbemühungen bleiben, um die Risiken dieser sich ständig weiterentwickelnden Bedrohungen zu mindern.“