新たなランサムウェア「Eldorado」、WindowsやVMWare ESXiの仮想マシンを標的に | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 新たなランサムウェア「Eldorado」、WindowsやVMWare ESXiの仮想マシンを標的に

Threat Report

Eldorado

Fargo

Linux

新たなランサムウェア「Eldorado」、WindowsやVMWare ESXiの仮想マシンを標的に

Yoshida

Yoshida

2024.07.08

7月5~8日:サイバーセキュリティ関連ニュース

新たなランサムウェア「Eldorado」、WindowsやVMWare ESXiの仮想マシンを標的に

BleepingComputer – July 5, 2024

新しいランサムウェア・アズ・ア・サービス(RaaS)「Eldorado」が今年3月に登場し、WindowsとVMWare ESXiを標的に攻撃を実施しているという。

EldoradoはGoベースで、異なる亜種を用いてWindowsとLinux双方のプラットフォームを暗号化できるランサムウェア。

Group-IBの研究者は、開発者からこの暗号化ツールを入手。分析の結果、Eldoradoが独自に開発されたランサムウェアであり、過去に公開されたその他ツールのビルダーソースに依存していないことがわかったという。同ランサムウェアが使用するアルゴリズムはChaCha20で、暗号化されたファイルには「.00000001」という拡張子が追加される。ネットワークシェアがSMBプロトコルを利用して暗号化されることや、復元を防ぐためシャドウコピーが削除されることなども明かされたほか、研究者らは、同ツールが検出や分析を回避するためデフォルトで自己削除する設定になっていることも報告した。またオペレーションに参加したアフィリエイトは攻撃手法もカスタマイズできるようで、例えばWindows上で暗号化するディレクトリを指定したり、ローカルファイルをスキップしたりすることなどができるとのこと。

Group-IBは、Eldoradoがほかのグループのリブランド版ではなく、新しく独立したグループであることを強調。このグループは短期間ですぐにその能力を発揮し、被害者のデータ、評判、事業継続性に大きな損害をもたらしていると述べている。

Malloxランサムウェアの新亜種がLinuxシステムを狙う

Hackread – JULY 6, 2024

Uptycsは、Linuxを標的としたMalloxランサムウェア(別名Fargo、TargetCompany、Mawahelper)の新しい亜種を発見した。同亜種のペイロードは、カスタムのPythonスクリプトを使って標的のシステムに配布されるという。このスクリプトはFlaskフレームワークをベースとしたWebパネルであり、認証情報を得るためにシステムの環境変数を使ってバックエンドデータベースに接続するとされる。

Uptycsの研究者らは、Malloxが特に懸念すべきランサムウェアである理由がこのWebパネルにあると指摘。これは、同パネルを用いることで、攻撃者はMalloxのカスタム亜種の構築や展開の管理に加え、ランサムウェアのダウンロードまでをも行えるようになるため。またUptycsのレポートによると、Malloxが使用する暗号化プロセスには堅牢な暗号化規格であるAES-256-CBCアルゴリズムが採用されており、これにより、攻撃者が持つ復号キーがなければ、被害者がファイルを復号することは非常に困難になるという。幸いにも、同社の研究者はこのランサムウェアの復号ツールを発見したようだが、Malloxの開発者が復号を回避するためにランサムウェアをアップデートする可能性があるため、復号ツールが利用できる期間は短いかもしれない。

このランサムウェアから身を守る方法として、定期的にデータのバックアップをとること、不審な添付ファイルやリンクに注意すること、セキュリティパッチを適用してソフトウェアを最新の状態に保つこと、そして信頼できるセキュリティソリューションを利用することが挙げられる。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ