Eldorado 锁定 VMware 服务器，最新勒索病毒集团概述

关键要点

Eldorado 是一个新兴的勒索病毒即服务RaaS集团，自2024年春季出现以来，已与16起勒索攻击相关，其中13起发生在美国。该集团主要针对房地产、教育、专业服务、医疗保健和制造行业。Eldorado 利用 Golang 开发，使用 ChaCha20 加密文件，并采用 RSAOAEP 进行密钥加密。攻击者的策略使其能在加密文件前先关闭和加密虚拟机，从而极大影响商业连续性。防御措施包括多因素认证、端点检测与响应、定期备份、及时打补丁以及持续的员工培训。

Eldorado，最近出现的勒索病毒即服务RaaS集团，自2024年春季以来已与16起勒索攻击相关，其中13起发生在美国。这些信息在关于 Eldorado 的 7月3日博客文章 中披露，研究人员指出该勒索病毒主要攻击房地产、教育、专业服务、医疗保健和制造行业。

Eldorado 的恶意软件首次出现在 2024 年 3 月的 “RAMP” 论坛上，支持 Windows 和 Linux 平台。研究人员还指出，Eldorado 使用 Golang (Go) 实现跨平台能力，采用 ChaCha20 对文件进行加密，并使用 RSAOAEP 进行密钥加密。

“Go 程序能够将代码交叉编译为原生的自包含二进制文件，这可能是恶意软件作者选择 Golang 的原因之一，”研究人员指出。

Eldorado 在加密文件之前，首先关闭和加密虚拟机，这一能力对商业连续性和数据可用性产生了重大影响。Critical Start 的威胁研究高级经理 Callie Guenther 表示，Eldorado 针对 VMware ESXi 的重点说明了攻击者越来越多地瞄准虚拟化环境以最大化造成的损害。

Guenther 说：“防御者应实施多因素认证、端点检测与响应解决方案、定期数据备份、及时打补丁和持续的员工培训。”

shadowrocket小火箭节点

Sectigo 的产品高级副总裁 Jason Soroko 补充说，Eldorado 的隐蔽性增强了它的“利用已有资源”的策略，也就是说，它使用已在感染系统上可用的工具。Soroko 解释说，攻击者可以利用 Windows 的 WMI 和 PowerShell 来横向移动或加密资源。

“有趣的是，Eldorado 可以在 Windows 中配置为不影响某些对正常操作至关重要的文件，如 DLL 文件，”Soroko 说。“这种恶意软件的 Windows 版本似乎高度可配置，这就是我们看到同一恶意软件不同攻击方式的原因。”