Um novo ransomware-as-a-service (RaaS) chamado Eldorado surgiu em março e vem com variantes de bloqueio para VMware ESXi e Windows.
Já reivindicou 16 vítimas, a maioria nos EUA, nos setores imobiliário, educacional, de saúde e de manufatura.
Pesquisadores da empresa de cibersegurança Group-IB monitoraram a atividade do Eldorado e notaram que seus operadores estão promovendo o serviço malicioso nos fóruns RAMP e buscando afiliados qualificados para se juntar ao programa.
Eldorado também opera um site de vazamento de dados que lista as vítimas, mas estava fora do ar no momento desta redação.
Eldorado é um ransomware baseado em Go que pode criptografar plataformas Windows e Linux por meio de duas variantes distintas com amplas semelhanças operacionais.
Os pesquisadores obtiveram do desenvolvedor um criptografador, que veio com um manual do usuário dizendo que há variantes de 32/64 bits disponíveis para hipervisores VMware ESXi e Windows.
O Group-IB diz que o Eldorado é um desenvolvimento único “e não depende de fontes de construtor publicadas anteriormente”.
O malware usa o algoritmo ChaCha20 para criptografia e gera uma chave única de 32 bytes e um nonce de 12 bytes para cada arquivo bloqueado.
As chaves e nonces são então criptografadas usando RSA com o esquema Optimal Asymmetric Encryption Padding (OAEP).
Após a etapa de criptografia, os arquivos recebem a extensão “.00000001” e notas de resgate nomeadas “HOW_RETURN_YOUR_DATA.TXT” são deixadas nas pastas Documentos e Desktop.
Eldorado também criptografa compartilhamentos de rede utilizando o protocolo de comunicação SMB para maximizar seu impacto e deleta cópias de sombra de volume nos computadores Windows comprometidos para impedir a recuperação.
O ransomware ignora arquivos DLL, LNK, SYS e EXE, bem como arquivos e diretórios relacionados ao boot do sistema e funcionalidade básica para evitar tornar o sistema inoperante/inutilizável.
Por fim, é configurado por padrão para autoexcluir-se para evitar detecção e análise por equipes de resposta.
De acordo com os pesquisadores do Group-IB, que infiltraram a operação, afiliados podem personalizar seus ataques.
Por exemplo, no Windows eles podem especificar quais diretórios criptografar, pular arquivos locais, mirar em compartilhamentos de rede em sub-redes específicas e impedir a auto-deleção do malware.
No Linux, contudo, os parâmetros de personalização se limitam a definir os diretórios a criptografar.
O Group-IB destaca que a ameaça do ransomware Eldorado é uma nova operação autônoma que não surgiu como um rebrand de outro grupo.
Os pesquisadores recomendam as seguintes defesas, que podem ajudar a proteger contra todos os ataques de ransomware, até certo ponto:
-Implementar autenticação multifator (MFA) e soluções de acesso baseadas em credenciais.
-Usar Endpoint Detection and Response (EDR) para identificar rapidamente e responder a indicadores de ransomware.
-Realizar backups de dados regularmente para minimizar danos e perda de dados.
-Utilizar análises baseadas em IA e detonação avançada de malware para detecção e resposta a intrusões em tempo real.
-Priorizar e aplicar periodicamente patches de segurança para corrigir vulnerabilidades.
-Educar e treinar funcionários para reconhecer e reportar ameaças de cibersegurança.
-Conduzir auditorias técnicas anuais ou avaliações de segurança e manter a higiene digital.
-Evitar pagar resgates, pois raramente garante a recuperação de dados e pode levar a mais ataques.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...