Nuo birželio mėnesio išpirkos reikalaujančia programine įranga kaip paslauga, pavadinta „Eldorado“, kuria užšifruojami „Linux“ ir „Windows“ kompiuteriuose esantys failai, užkrėsta mažiausiai 16 organizacijų, daugiausia JAV.
Singapūro saugumo tarnyba „Group-IB“ šią nusikalstamą grupuotę pastebėjo dar šių metų kovą, kai pastebėjo ją reklamuojančią partnerių programą ir kenkėjišką programinę įrangą, kuri pateikiama „Linux“ ir „Windows“ platformoms. Nusikaltėliai taip pat ieško įsiskverbimo testuotojų, kurie prisijungtų prie operacijos ir platintų kenkėjišką kodą.
„Group-IB“ žvalgybos analitikas Nikolajus Kichatovas ir kenkėjiškų programų analitikė Sharmine Low, išnagrinėję „Eldorado“ kenkėjišką kodą, padarė išvadą, kad platintojas yra rusakalbis, ką rodo viešoje erdvėje aptikti kūrėjo skelbimai su naudojamais rusiškais terminais.
Išpirkos reikalaujanti programinė įranga „Eldorado“ parašyta „Go“ kalba, greičiausiai dėl jos tarpplatforminių galimybių. Ji naudoja „Chacha20“ algoritmą failams šifruoti ir „Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding“ (RSA-OAEP) raktams šifruoti. Be to, jis naudoja serverio pranešimų bloko (SMB) protokolą bendrinamuose tinkluose esantiems failams šifruoti.
Kai filialai prisijungia prie išpirkos reikalaujančios programinės įrangos kaip paslaugos operacijos, jiems suteikiama tik pokalbių prieiga prie aukų ir jie gali generuoti išpirkos reikalaujančios programinės įrangos pavyzdžius, pateikę šiuos pritaikymo parametrus: tikslinio tinklo ar įmonės pavadinimą, išpirkos pranešimo failo pavadinimą ir tekstą bei domeno administratoriaus slaptažodį arba hash.
Be to, „Windows“ versijoje prieš ištrinant failą naudojama „PowerShell“ komanda šifratoriui perrašyti atsitiktiniais baitais, o tai taip pat padeda pašalinti bet kokius kenkėjiškos programos pėdsakus.
„Birželio mėnesio duomenimis, „Eldorado“ išpirkos reikalaujančios programinės įrangos atakas patyrė 16 bendrovių įvairiose šalyse ir pramonės šakose, iš kurių 13 kartų buvo užpultos JAV bendrovės, o tai sudaro net 81,25 proc. visų incidentų”, – atskleidė „Group-IB“ specialistai.
Nekilnojamojo turto bendrovės patyrė tris atakas, o švietimo, profesinių paslaugų, sveikatos priežiūros ir gamybos įmonės – po dvi išpirkos reikalaujančios programinės įrangos atakas. Kitos nukentėjusios pramonės šakos: telekomunikacijos, verslo paslaugos, administracinės paslaugos, transportas, vyriausybė ir karinės organizacijos.
„Nors „Eldorado“ yra sąlyginai nauja ir nėra tarp gerai žinomų išpirkos reikalaujančių programų grupių, ji greitai įrodė, kad per trumpą laiką gali padaryti didelę žalą aukų duomenims, reputacijai ir verslo tęstinumui“, – teigia „Group-IB“ atstovai.
