全新的RaaS服務Eldorado鎖定Windows/Linux與VMware ESXi平臺發動攻擊

創立於俄羅斯的資安業者Group-IB上周揭露一個新的勒索軟體即服務（RaaS）Eldorado，此一勒索軟體以跨平臺的Golang程式語言撰寫，可用來攻擊Windows/Linux與VMware ESXi平臺。從今年3月現身迄今，至少已有16家企業遭到Eldorado的攻擊。

根據Group-IB對全球RaaS服務的觀察，目前最熱門的勒索軟體集團論壇為RAMP，從2022年至2023年間，有60%的新RaaS服務透過該論壇張貼廣告，同一時期，Group-IB亦於該論壇上發現了27個不同勒索軟體集團招募RaaS合作夥伴的廣告。Group-IB也調查這些勒索軟體集團所使用的各種資料外洩網站（DLS），這類網站主要用來張貼拒絕支付贖金的受害者資料，2022年遭公布的受害者為2,629名，2023年增加了74%，達到4,583名，此一數字並未涵蓋那些因支付贖金而未被揭露的受害對象。

總之，Group-IB在今年3月發現了Eldorado的行銷活動，並企圖滲透該組織，發現Eldorado的負責人說的是俄文，以及使用Golang程式語言來打造可攻擊Windows與Linux的惡意程式，也發現了支援Windows及VMware ESXi的解碼器。

值得注意的是，Eldorado是自行撰寫程式碼，而未依賴先前曾外洩的LockBit或Babuk勒索軟體程式碼。

截至今年6月為止，全球有16家企業遭到Eldorado勒索軟體攻擊，有13家位於美國，2家位於義大利，另一家則是克羅埃西亞的組織，在行業別上，有3家為房地產業者，其它受害者則分布在教育、專業服務、醫療照護、製造業、電信業、商業服務、行政服務、運輸服務、政府及軍方等領域。

圖片來源／Group-IB

Group-IB提出了許多可防範勒索軟體攻擊的建議，包括新增諸如多因素身分驗證等各種安全層，利用早期偵測技術來阻止勒索軟體，制定備份政策，採用先進或整合AI的惡意軟體偵測技術，儘速修補安全漏洞，透過教育來提高員工的安全意識，以及不要急於支付贖金。Group-IB提醒，支付了贖金之後，除了不一定能拿到有效的解密金鑰之外，還可能成為其它勒索軟體集團的攻擊目標。

Group-IB是由俄羅斯安全專家Ilya Sachkov與3名同學在2003年所創立，初期總部設在俄羅斯，於2019年將總部遷移到新加坡，然而，俄羅斯警方在2021年9月逮捕了擔任Group-IB執行長的Sachkov，指控他與國外的情報機構合作，涉嫌叛國，之後被定罪，並於去年被判處14年刑期。

Group-IB的共同創辦人Dmitry Volkov之後接手了執行長位置，卻也在去年4月出脫所持有的10%俄羅斯業務股份，同時宣布Group-IB正式退出俄羅斯市場，不再於當地提供服務。