Uma operação emergente de ransomware como serviço (RaaS) chamada Eldorado vem com variantes de bloqueio para criptografar arquivos em sistemas Home windows e Linux.
O Eldorado apareceu pela primeira vez em 16 de março de 2024, quando um anúncio do programa de afiliados foi postado no fórum de ransomware RAMP, disse o Group-IB, sediado em Cingapura.
A empresa de segurança cibernética, que se infiltrou no grupo de ransomware, observou que seu representante fala russo e que o malware não se sobrepõe a cepas vazadas anteriormente, como LockBit ou Babuk.
“O ransomware Eldorado usa Golang para capacidades multiplataforma, empregando Chacha20 para criptografia de arquivos e Rivest Shamir Adleman-Optimum Uneven Encryption Padding (RSA-OAEP) para criptografia de chaves”, disseram os pesquisadores Nikolay Kichatov e Sharmine Low. “Ele pode criptografar arquivos em redes compartilhadas usando o protocolo Server Message Block (SMB).”
O criptografador para Eldorado vem em quatro formatos, a saber, esxi, esxi_64, win e win_64, com seu web site de vazamento de dados já listando 16 vítimas de junho de 2024. Treze dos alvos estão localizados nos EUA, dois na Itália e um na Croácia.
Essas empresas abrangem vários setores da indústria, como imobiliário, educação, serviços profissionais, saúde e manufatura, entre outros.
Uma análise mais aprofundada da versão do Home windows dos artefatos revelou o uso de um comando do PowerShell para substituir o armário com bytes aleatórios antes de excluir o arquivo, em uma tentativa de limpar os rastros.
Eldorado é o mais recente na lista de novos ransomwares de dupla extorsão que surgiram nos últimos tempos, incluindo Arcus Media, AzzaSec, dan0n, Limpopo (também conhecido como SOCOTRA, FORMOSA, SEXi), LukaLocker, Shinra e House Bears, destacando mais uma vez a natureza duradoura e persistente da ameaça.
O LukaLocker, vinculado a uma operadora chamada Volcano Demon pela Halcyon, é notável pelo fato de não utilizar um web site de vazamento de dados e, em vez disso, ligar para a vítima por telefone para extorquir e negociar o pagamento após criptografar estações de trabalho e servidores Home windows.
O desenvolvimento coincide com a descoberta de novas variantes Linux do ransomware Mallox (também conhecido como Fargo, TargetCompany, Mawahelper), bem como descriptografadores associados a sete compilações diferentes.
O Mallox é conhecido por ser propagado por força bruta em servidores Microsoft SQL e e-mails de phishing para atingir sistemas Home windows, com invasões recentes também fazendo uso de um carregador baseado em .NET chamado PureCrypter.
“Os atacantes estão usando scripts python personalizados com o propósito de entrega de payload e exfiltração de informações da vítima”, disseram os pesquisadores da Uptycs Tejaswini Sandapolla e Shilpesh Trivedi. “O malware criptografa os dados do usuário e anexa a extensão .locked aos arquivos criptografados.”
Um descriptografador também foi disponibilizado para DoNex e seus predecessores (Muse, falso LockBit 3.0 e DarkRace) pela Avast, aproveitando uma falha no esquema criptográfico. A empresa tcheca de segurança cibernética disse que tem “fornecido silenciosamente o descriptografador” para vítimas desde março de 2024 em parceria com organizações policiais.
“Apesar dos esforços da polícia e do aumento das medidas de segurança, os grupos de ransomware continuam a se adaptar e prosperar”, disse o Group-IB.
Dados compartilhados pela Malwarebytes e NCC Group com base nas vítimas listadas nos websites de vazamento mostram que 470 ataques de ransomware foram registrados em maio de 2024, acima dos 356 em abril. A maioria dos ataques foi reivindicada pela LockBit, Play, Medusa, Akira, 8Base, Qilin e RansomHub.
“O desenvolvimento contínuo de novas cepas de ransomware e o surgimento de programas de afiliados sofisticados demonstram que a ameaça está longe de ser contida”, observou o Group-IB. “As organizações devem permanecer vigilantes e proativas em seus esforços de segurança cibernética para mitigar os riscos apresentados por essas ameaças em constante evolução.”
