Depuis son apparition début 2024, le ransomware Eldorado se distingue par ses capacités avancées à contourner les défenses traditionnelles et à frapper des infrastructures critiques. Nos experts en cybersécurité vous proposent une analyse technique de son fonctionnement, de ses paramètres, ainsi que des vulnérabilités qu’il exploite, tout en examinant les méthodes de chiffrement sophistiquées qui le rendent difficile à contrer.
Qu’est-ce que le ransomware Eldorado ?
Eldorado est un ransomware de type RaaS (Ransomware-as-a-Service), une variante qui permet à différents groupes de cybercriminels de l’utiliser moyennant un pourcentage des rançons collectées. Construit avec une architecture modulaire, ce ransomware peut être facilement personnalisé pour s’adapter à différents types de cibles et d’environnements, ce qui le rend extrêmement polyvalent et difficile à neutraliser.
L’une des caractéristiques les plus troublantes du ransomware Eldorado est sa capacité à contourner de nombreuses protections traditionnelles, comme les systèmes de détection d’intrusion (IDS) et les antivirus basés sur la signature. Ce ransomware exploite des failles Zero Day, des vulnérabilités non encore corrigées par les fournisseurs de logiciels, permettant une entrée discrète et souvent incontrôlée dans les systèmes cibles.
Méthodologie d’attaque : de l’infiltration au chiffrement
-
Infiltration via des vulnérabilités CVE
Eldorado utilise diverses techniques pour s’introduire dans les systèmes, mais il s’appuie principalement sur l’exploitation de vulnérabilités non corrigées. Certaines des CVE (Common Vulnerabilities and Exposures) récemment associées aux attaques Eldorado incluent :
- CVE-2023-23397 : Une vulnérabilité dans Microsoft Outlook qui permet une élévation de privilège, exploitée pour infiltrer les réseaux d’entreprise via des emails piégés.
- CVE-2023-28252 : Une faille de sécurité dans le Windows Common Log File System (CLFS), exploitée pour exécuter du code à distance après avoir compromis une machine cible.
- CVE-2022-29464 : Vulnérabilité dans le logiciel WSO2 qui permet l’exécution de code à distance. Utilisée pour pénétrer les systèmes critiques exposés sur Internet.
L’exploitation de ces CVE permet à Eldorado de s’installer discrètement dans les réseaux cibles, souvent en contournant les antivirus ou systèmes de détection des intrusions traditionnels.
-
Escalade des privilèges et mouvements latéraux
Une fois à l’intérieur du réseau, Eldorado procède à une escalade des privilèges pour obtenir des accès administratifs. Il utilise des outils comme Mimikatz pour extraire les mots de passe et accéder aux systèmes critiques, et des techniques telles que Pass-the-Hash pour se propager à travers le réseau sans avoir besoin de réauthentification.
Ensuite, Eldorado déploie des techniques de mouvement latéral pour infecter les autres machines sur le réseau, augmentant ainsi la portée de l’attaque.
-
Paramètres de chiffrement des fichiers
Le cœur de l’attaque d’Eldorado repose sur un chiffrement hybride à plusieurs niveaux. Ce ransomware utilise deux algorithmes majeurs pour verrouiller les fichiers :
- RSA-4096 : Un algorithme de chiffrement à clé publique qui permet de sécuriser la clé AES utilisée pour chiffrer les fichiers. Cette clé est ensuite envoyée aux attaquants, rendant le décryptage impossible sans leur assistance.
- AES-256 : Utilisé pour chiffrer les fichiers sur la machine cible, cet algorithme de chiffrement symétrique est extrêmement sécurisé et impossible à casser par force brute.
Les fichiers ciblés par Eldorado sont principalement les documents sensibles, les bases de données, et les fichiers de configuration critiques. Le ransomware utilise des paramètres personnalisés pour exclure certains fichiers ou extensions afin de ne pas altérer le fonctionnement de base du système, garantissant ainsi que la victime puisse encore accéder à l’interface de paiement et aux instructions de rançon.
-
Double extorsion et exfiltration des données
Avant de procéder au chiffrement, Eldorado exfiltre les données sensibles des entreprises. Cela lui permet de menacer les victimes avec une double extorsion : non seulement elles doivent payer pour récupérer leurs fichiers chiffrés, mais elles sont également contraintes de payer pour éviter la publication de leurs données volées sur le dark web.
Les fichiers exfiltrés sont souvent des informations critiques telles que les données financières, les dossiers clients, et les informations commerciales confidentielles. Cette stratégie augmente la pression sur les victimes, même si elles disposent de sauvegardes.
-
Demande de rançon et paiement en cryptomonnaies
Une fois le chiffrement terminé, Eldorado affiche une note de rançon, demandant généralement un paiement en Bitcoin ou Monero. Le choix de ces cryptomonnaies est stratégique : elles sont difficiles à tracer et permettent aux attaquants de recevoir des fonds en toute discrétion.
Les victimes ont également accès à un chat de support avec les cybercriminels, leur permettant de négocier la rançon et d’obtenir des instructions spécifiques pour effectuer le paiement. Les montants demandés varient généralement en fonction de la taille et du secteur de l’entreprise touchée, et peuvent atteindre plusieurs millions de dollars.
Les Fonctionnalités avancées du ransomware Eldorado
Eldorado se distingue par plusieurs fonctionnalités avancées qui le rendent particulièrement redoutable :
- Obfuscation du code : Le ransomware utilise des techniques d’obfuscation pour masquer son code et éviter la détection par les antivirus et autres systèmes de sécurité basés sur des signatures.
- Persistance : Eldorado implante des mécanismes de persistance via des modifications des clés de registre Windows et des tâches planifiées. Même après un redémarrage du système, il est capable de reprendre ses activités.
- Polymorphisme : Ce ransomware modifie ses signatures à chaque nouvelle infection, ce qui rend difficile pour les solutions de sécurité de le reconnaître et de le neutraliser.
- Exclusion sélective des extensions : Pour garantir que le système reste fonctionnel après l’attaque, Eldorado évite de chiffrer certains fichiers critiques du système d’exploitation, comme les fichiers .dll ou .exe, afin de ne pas rendre le système complètement inutilisable.
Qui sont les cibles d’Eldorado ?
Les principales cibles d’Eldorado sont les grandes entreprises, les institutions gouvernementales, et les infrastructures critiques. Les secteurs les plus touchés incluent les hôpitaux, les réseaux d’électricité, les systèmes de transport et les grandes industries. Ces organisations sont particulièrement vulnérables en raison de leur dépendance à des systèmes complexes et de leur besoin de rétablir rapidement leurs opérations.
Cependant, les petites et moyennes entreprises (PME) ne sont pas épargnées. Eldorado est capable d’adapter son attaque à des réseaux plus petits en exploitant les mêmes failles et techniques d’intrusion.
Comment se protéger contre Eldorado en 2024 ?
Étant donné la complexité de ce ransomware, il est essentiel pour les entreprises d’adopter une approche de sécurité multicouche pour se protéger. Voici quelques mesures clés à mettre en place :
- Mise à jour régulière des systèmes : Assurez-vous que tous vos systèmes sont régulièrement mis à jour pour corriger les failles de sécurité exploitées par Eldorado.
- Sauvegardes fréquentes : Des sauvegardes régulières, isolées du réseau principal, sont essentielles pour restaurer les données sans devoir payer la rançon.
- Formation des employés : Les campagnes de phishing sont souvent le point d’entrée des ransomwares. Former les employés à détecter et signaler ces tentatives est crucial.
- Segmentation du réseau : Une segmentation efficace permet de limiter la propagation d’un ransomware dans le réseau et d’isoler les systèmes critiques.
- Solutions de détection des menaces : L’implémentation de solutions de détection de menaces basées sur l’analyse comportementale et l’intelligence artificielle peut permettre de repérer des activités suspectes avant que l’infection ne se propage. La solution Reveelium d’ITrust est une plateforme de détection et de réponse avancée qui utilise ces technologies