2024: Атаки на системы VMware
В начале июля 2024 года стало известно о том, что киберпреступники начали использовать новую вредоносную программу для организации атак на среды Windows и VMware ESXi. Вирус-вымогатель, написанный на языке Go, получил название Eldorado.
Специалисты по вопросам информационной безопасности из компании Group-IB сообщают, что операторы Eldorado продвигают вредоносный сервис на форуме RAMP и ищут квалифицированных партнеров для присоединения к киберпрограмме. По состоянию на начало июля 2024-го говорится о 16 жертвах, большинство из которых находятся в США и ведут деятельность в сферах недвижимости, образования, здравоохранения и производства.
Eldorado способен осуществлять шифрование систем под управлением Windows и Linux. Существуют два варианта зловреда, которые имеют значительное сходство в работе. При этом, как подчеркивает Group-IB, Eldorado является уникальной разработкой «и не опирается на ранее опубликованные исходные коды вредоносных программ». Вирус использует для шифрования алгоритм ChaCha20, генерируя уникальный 32-байтовый ключ и 12-байтовый одноразовый номер для каждого кодируемого файла. После шифрования к файлам добавляется расширение «.00000001», а сообщение о выкупе содержится в документе «How_Return_Your_Data.txt».TAdviser выпустил Гид по российским операционным системам
Вымогатель также шифрует общие сетевые ресурсы, используя протокол SMB, и удаляет теневые копии томов на скомпрометированных компьютерах с Windows, чтобы исключить возможность восстановления. При этом вредоносная программа пропускает файлы DLL, LNK, SYS и EXE, а также файлы и каталоги, связанные с загрузкой системы и базовыми функциями: это гарантирует, что атакуемый компьютер останется работоспособным, а его владелец сможет прочитать сообщение о выкупе.[1]