網路犯罪分子的合作夥伴計劃，亦稱勒索軟體即服務（RaaS，Ransomware-as-a-Service），已發展成為類似於複雜營運的大型組織。這類合作夥伴計劃招募在網路執行特定角色，特別關注、交付並執行對企業組織的勒索攻擊。這些年來，已從關注個人、網路存取轉向更有系統化的攻擊方法。

創立於俄羅斯的資安業者Group-IB揭露一個新的勒索軟體即服務（RaaS）Eldorado，此一勒索軟體以跨平臺的Golang程式語言撰寫，可用來攻擊Windows/Linux與VMware ESXi平臺。截至2024年6月為止，全球計有16家企業遭到Eldorado勒索軟體攻擊（13家位於美國、2家位於義大利，1家是克羅埃西亞），在行業別上，有3家為房地產業者，其它受害者則分為教育、專業服務、醫療照護、製造業、電信業、商業服務、行政服務、運輸服務、政府及軍方等領域。

2022年至2023年間，Group-IB 威脅情報分析師在暗網論壇上發現27個RaaS程式廣告。這些廣告提到了Yanluowang、Qilin、Knight、qBit等著名程式，以及已在網路攻擊中尚未發覺且鮮為人知的工具。光是2023年，在暗網論壇上發布尋求RaaS計畫合作夥伴廣告數量就比2022年增加1.5倍，突顯需求在不斷增長。

網路犯罪分子通常透過暗網論壇上的廣告招募合作夥伴計劃，提供Tox、Jabber以及最近Session等私密通訊工具的聯絡資訊。這些私密訊息傳遞平臺為潛在駭客組織提供了一種安全並謹慎的聯絡方式來與這些網路犯罪組織者取得聯繫。RAMP勒索軟體論壇已成為勒索軟體犯罪組織最受歡迎的群組，2022年至2023年間約60%的新RaaS程式在該論壇上廣告，導致勒索軟體攻擊大幅增加。

Group-IB威脅情報分析師分析各種勒索軟體組織所使用專用洩漏站點(DLS)（發布在拒絕支付贖金公司竊取的資料平臺），發現2023 年在DLS上公布大約4,583起攻擊，增加74%，2022年共公布2,629 起攻擊事件。考慮到被勒索的公司通常是被迫支付贖金，而非冒著聲譽受損的風險，並且被盜的資料在DLS上己被洩露，這些統計數據已收集公布在Group-IB 的2023-2024年高科技犯罪趨勢的報告中。

2024年3月，勒索軟體論壇「RAMP」上發布了新聯盟計畫廣告。Group-IB分析師滲透到Eldorado組織中，勒索軟體建構者要求網域管理員密碼或NTLM（Windows新技術LAN管理器）雜湊值等其他參數來產生勒索軟體樣本。Eldorado惡意軟體有同時適用於Windows和 Linux的兩個版本，使用Golan達成跨平臺功能，使用Chacha20進行檔案加密，使用Rivest Shamir Adleman最優非對稱加密填充（Optimal Asymmetric Encryption Padding， OAEP） (RSA-OAEP) 進行金鑰加密，可使用伺服器訊息區塊（SMB）協定加密共享網路上的檔案，建置期間自訂關鍵參數包括目標網路或公司名稱、勒索資訊詳細資訊和管理憑證等。

本文參考自：https://www.group-ib.com/blog/eldorado-ransomware/