En marzo apareció un nuevo ransomware como servicio (RaaS) llamado Eldorado y viene con variantes de casilleros para VMware ESXi y Windows.
La pandilla ya se ha cobrado 16 víctimas, la mayoría de ellas en Estados Unidos, en los sectores inmobiliario, educativo, sanitario y manufacturero.
Los investigadores de la firma de ciberseguridad Group-IB monitorearon la actividad de Eldorado y notaron que sus operadores estaban promocionando el servicio malicioso en los foros RAMP y buscando afiliados calificados para unirse al programa.
Eldorado también administra un sitio de filtración de datos que enumera a las víctimas, pero estaba inactivo al momento de escribir este artículo.
Fuente: Grupo-IB
Cifrado de Windows y Linux
Eldorado es un ransomware basado en Go que puede cifrar plataformas Windows y Linux a través de dos variantes distintas con muchas similitudes operativas.
Los investigadores obtuvieron un cifrado del desarrollador, junto con un manual de usuario que indica que hay variantes de 32/64 bits disponibles para los hipervisores VMware ESXi y Windows.
Group-IB dice que Eldorado es un desarrollo único “y no se basa en fuentes de fabricantes publicadas previamente”.
El malware utiliza el algoritmo ChaCha20 para el cifrado y genera una clave única de 32 bytes y un nonce de 12 bytes para cada uno de los archivos bloqueados. Luego, las claves y los nonces se cifran mediante RSA con el esquema de relleno de cifrado asimétrico óptimo (OAEP).
Después del paso de cifrado, los archivos reciben la extensión “.00000001” y las notas de rescate denominadas “COMMENT_RETOURNER_VOS_DONNEES.TXT” se colocan en las carpetas Documentos y Escritorio.
Fuente: Grupo-IB
Eldorado también cifra los recursos compartidos de red utilizando el protocolo de comunicaciones SMB para maximizar su impacto y elimina instantáneas de volumen en máquinas Windows comprometidas para evitar la recuperación.
El ransomware ignora los archivos DLL, LNK, SYS y EXE, así como los archivos y directorios relacionados con el inicio del sistema y la funcionalidad básica para evitar que el sistema no se pueda arrancar o sea inutilizable.
Finalmente, está configurado de forma predeterminada para autoeliminarse con el fin de escapar a la detección y análisis por parte de los equipos de respuesta.
Según los investigadores del Group-IB que se infiltraron en la operación, los afiliados pueden personalizar sus ataques. Por ejemplo, en Windows, pueden especificar qué directorios cifrar, ignorar archivos locales, apuntar a recursos compartidos de red en subredes específicas y evitar que el malware se elimine automáticamente.
En Linux, sin embargo, la configuración de personalización se limita a definir qué directorios cifrar.
Recomendaciones de defensa
IB Group enfatiza que la amenaza del ransomware Eldorado es una operación nueva e independiente que no surgió del cambio de marca de otro grupo.
Los investigadores recomiendan las siguientes defensas, que pueden ayudar a proteger contra todos los ataques de ransomware, hasta cierto punto:
- Implemente autenticación multifactor (MFA) y soluciones de acceso basadas en credenciales.
- Utilice la detección y respuesta de endpoints (EDR) para identificar y responder rápidamente a los indicadores de ransomware.
- Realice copias de seguridad de datos periódicamente para minimizar el daño y la pérdida de datos.
- Utilice análisis basados en IA y detección avanzada de malware para detectar y responder a intrusiones en tiempo real.
- Priorice y aplique periódicamente parches de seguridad para abordar las vulnerabilidades.
- Sensibilizar y formar a los empleados para que reconozcan y denuncien las amenazas a la ciberseguridad.
- Realizar auditorías técnicas anuales o evaluaciones de seguridad y mantener la higiene digital.
- Evite pagar un rescate, ya que esto rara vez garantiza la recuperación de datos y puede provocar más ataques.