Eldorado: Ransomware-as-a-Service yang Menargetkan Windows dan VMWare ESXi
July 6, 2024Deskripsi
Para peneliti dari perusahaan cyber security Group-IB menemukan adanya Ransomware-as-a-Service (RaaS) Eldorado yang telah beroperasi sejak Maret 2024 melalui forum dark web berbahasa Russia bernama RAMP. Dari hasil pemantauan mereka, Eldorado telah menyerang setidaknya 16 perusahaan dari berbagai negara yang bergerak di berbagai bidang termasuk telekomunikasi. Ransomware ini menargetkan sistem operasi Windows dan hypervisor VMWare ESXi.
Indicator of Compromise (IoC)
| No | Jenis | IoC | Varian |
| 1 | File Hash SHA256 | 1375e5d7f672bfd43ff7c3e4a145a96b75b66d8040a5c5f98838f6eb0ab9f27b | 32-bit Windows |
| 2 | File Hash SHA256 | 7f21d5c966f4fd1a042dad5051dfd9d4e7dfed58ca7b78596012f3f122ae66dd | 64-bit Windows |
| 3 | File Hash SHA256 | cb0b9e509a0f16eb864277cd76c4dcaa5016a356dd62c04dff8f8d96736174a7 | 64-bit Windows |
| 4 | File Hash SHA256 | b2266ee3c678091874efc3877e1800a500d47582e9d35225c44ad379f12c70de | 32-bit Linux |
| 5 | File Hash SHA256 | dc4092a476c29b855a9e5d7211f7272f04f7b4fca22c8ce4c5e4a01f22258c33 | 64-bit Linux |
| 6 | IP Address | 173.44.141[.]152 |
Rekomendasi
3
- Meningkatkan cyber security awareness seluruh pihak.
- Lakukan backup sistem dan pengujian restore backup secara rutin.
- Bagi pengelola security perimeter dapat menambahkan IoC pada mekanisme deteksi dan proteksi yang dimiliki perusahaan.
- Konfirmasi kepada pihak principal produk security perimeter yang digunakan perusahaan apakah sudah dapat mendeteksi ransomware jenis ini.
Source:
1. https://www.bleepingcomputer.com/news/security/new-eldoradoransomware-targets-windows-vmware-esxi-vms/
2. https://www.group-ib.com/blog/eldorado-ransomware/
