Uma nova operação de ransomware como serviço (RaaS) chamada Eldorado está ganhando fama, oferecendo variantes de ransomware para criptografar arquivos em sistemas Windows e Linux.
O Eldorado apareceu pela primeira vez em 16 de março de 2024, quando um anúncio do programa de afiliados foi publicado no fórum de ransomware RAMP, informou a Group-IB, uma empresa de segurança cibernética com sede em Cingapura.
A Group-IB, que se infiltrou no grupo de ransomware, observou que o representante do Eldorado fala russo e que o malware não possui semelhanças com variantes vazadas anteriormente, como LockBit ou Babuk.
"O ransomware Eldorado usa Golang para recursos multiplataforma, empregando Chacha20 para criptografia de arquivos e Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding (RSA-OAEP) para criptografia de chaves", disseram os pesquisadores Nikolay Kichatov e Sharmine Low. "Ele pode criptografar arquivos em redes compartilhadas usando o protocolo Server Message Block (SMB)."
O criptografador do Eldorado vem em quatro formatos: esxi, esxi_64, win e win_64, com seu site de vazamento de dados já listando 16 vítimas em junho de 2024. Treze dessas vítimas estão localizadas nos EUA, duas na Itália e uma na Croácia.
Essas empresas abrangem diversos setores, como imóveis, educação, serviços profissionais, saúde e manufatura, entre outros.
Uma análise mais aprofundada dos sitemas afetados na versão Windows revelou o uso de um comando do PowerShell para sobrescrever o locker com bytes aleatórios antes de excluir o arquivo, numa tentativa de limpar os rastros.
O Eldorado é o mais recente na lista de novos ransomwares de dupla extorsão que surgiram recentemente, incluindo Arcus Media, AzzaSec, dan0n, Limpopo (também conhecido como SOCOTRA, FORMOSA, SEXi), LukaLocker, Shinra e Space Bears, destacando mais uma vez a persistência da ameaça.
O LukaLocker, associado a um operador apelidado de Volcano Demon pela Halcyon, é conhecido por não usar um site de vazamento de dados, preferindo ligar para a vítima por telefone para extorquir e negociar o pagamento após criptografar estações de trabalho e servidores Windows.
Esse desenvolvimento coincide com a descoberta de novas variantes Linux do ransomware Mallox (também conhecido como Fargo, TargetCompany, Mawahelper), bem como de decodificadores associados a sete compilações diferentes.
O Mallox é conhecido por se propagar por meio de servidores Microsoft SQL de força bruta e e-mails de phishing para atingir sistemas Windows, com intrusões recentes utilizando um carregador baseado em .NET chamado PureCrypter.
"Os atacantes estão usando scripts Python personalizados para entregar os executáveis e roubar as informações da vítima", disseram os pesquisadores da Uptycs, Tejaswini Sandapolla e Shilpesh Trivedi. "O malware criptografa os dados do usuário e anexa a extensão .locked aos arquivos criptografados."
Um descriptografador também foi disponibilizado para o DoNex e seus predecessores (Muse, falso LockBit 3.0 e DarkRace) pela Avast, aproveitando uma falha no esquema criptográfico. A empresa tcheca de segurança cibernética informou que tem "fornecido silenciosamente o decodificador" às vítimas desde março de 2024, em parceria com organizações de aplicação da lei.
"Apesar dos esforços das autoridades e do aumento das medidas de segurança, os grupos de ransomware continuam a se adaptar e prosperar", disse a Group-IB.
Dados compartilhados pela Malwarebytes e pelo NCC Group mostram que 470 ataques de ransomware foram registrados em maio de 2024, contra 356 em abril. A maioria dos ataques foi reivindicada por LockBit, Play, Medusa, Akira, 8Base, Qilin e RansomHub.
"O desenvolvimento contínuo de novas linhagens de ransomware e o surgimento de programas de afiliados sofisticados demonstram que a ameaça está longe de ser contida", observou a Group-IB. "As organizações devem permanecer vigilantes e proativas em seus esforços de segurança cibernética para mitigar os riscos apresentados por essas ameaças em constante evolução."
Via - THN
Comments