Главная страница » IOC
0
9 месяцев
IOC

Eldorado Ransomware IOCs

ransomware

Аналитики Group-IB Threat Intelligence обнаружили 27 объявлений о продаже RaaS-программ на форумах темной паутины в период с 2022 по 2023 год. В этих объявлениях упоминались известные программы, такие как Yanluowang, Qilin, Knight и qBit, а также менее известные инструменты, которые еще не использовались в атаках. Количество объявлений о поиске партнеров для RaaS-программ выросло на 1,5 раза в 2023 году по сравнению с предыдущим годом, что указывает на растущий спрос на квалифицированных партнеров.

Eldorado Ransomware

Привлечение партнеров для партнерских программ происходит через объявления на форумах темной паутины, предоставляя контактные данные для частных мессенджеров, таких как Tox, Jabber и Session. Эти платформы обеспечивают безопасную и незаметную связь с организаторами киберпреступных сетей. Форум RAMP стал самым популярным сообществом для банды вымогателей: около 60% новых RaaS-программ будут рекламироваться на этом форуме. Другие крупные сообщества избегают обсуждения вымогательского ПО, чтобы не привлекать внимание правоохранительных органов.

Количество атак с использованием вымогательского ПО значительно выросло. Аналитики Group-IB Threat Intelligence проанализировали специализированные сайты утечки, где публикуются украденные данные от компаний, отказывающихся платить выкуп. В 2023 году было опубликовано около 4583 атак на таких сайтах, что на 74% больше, чем в предыдущем году. Однако общее количество атак скорее всего гораздо больше, так как многие компании предпочитают платить выкуп, чтобы избежать репутационного ущерба и утечки данных.

В марте 2024 года на форуме RAMP появилось объявление о новой партнерской программе для Eldorado Ransomware. Создатель программы запрашивает доступные пароли и ключи администратора домена для генерации образцов вымогательского ПО. В арсенале Eldorado есть версии программы для Windows и Linux, которые не основаны на ранее опубликованных источниках. Она использует Golang для кроссплатформенности, а также Chacha20 и RSA-OAEP для шифрования файлов и ключей. Программа может шифровать файлы через протокол SMB в сетях общего доступа.

Indicators of Compromise

IPv4

  • 173.44.141.152

SHA256

  • 1375e5d7f672bfd43ff7c3e4a145a96b75b66d8040a5c5f98838f6eb0ab9f27b
  • 7f21d5c966f4fd1a042dad5051dfd9d4e7dfed58ca7b78596012f3f122ae66dd
  • b2266ee3c678091874efc3877e1800a500d47582e9d35225c44ad379f12c70de
  • cb0b9e509a0f16eb864277cd76c4dcaa5016a356dd62c04dff8f8d96736174a7
  • dc4092a476c29b855a9e5d7211f7272f04f7b4fca22c8ce4c5e4a01f22258c33
Комментарии: 0
Похожие записи
0
3 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
4 дня
IOC

EDRKillShifter от RansomHub

security
Исследователи ESET отметили существенные изменения в экосистеме вымогательского ПО в 2024 году, особенно в отношении банды RansomHub, которая стала одной из ведущих на данный момент.