Uma nova operação de ransomware-as-a-service (RaaS) chamada Eldorado surge com variantes de bloqueio para criptografar arquivos em sistemas Windows e Linux.
O Eldorado apareceu pela primeira vez em 16 de março de 2024, quando um anúncio para o programa de afiliados foi postado no fórum de ransomware RAMP, conforme relatado pela Group-IB, com sede em Cingapura. A empresa de cibersegurança, que infiltrou o grupo de ransomware, observou que seu representante utiliza idioma russo e que o malware não se sobrepõe a variantes previamente vazadas, como LockBit ou Babuk.
“O ransomware Eldorado usa Golang para capacidades multiplataforma, empregando Chacha20 para criptografia de arquivos e Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding (RSA-OAEP) para criptografia de chaves”, informaram os pesquisadores Nikolay Kichatov e Sharmine Low. “Ele pode criptografar arquivos em redes compartilhadas usando o protocolo Server Message Block (SMB).”
O criptografador do Eldorado está disponível em quatro formatos, a saber, esxi, esxi_64, win e win_64, com seu site de vazamento de dados já listando 16 vítimas em junho de 2024. Treze dos alvos estão localizados nos EUA, dois na Itália e um na Croácia. Essas empresas abrangem vários setores industriais, como imobiliário, educação, serviços profissionais, saúde e manufatura, entre outros.
Uma análise mais aprofundada dos artefatos da versão para Windows revelou o uso de um comando PowerShell para sobrescrever o locker com bytes aleatórios antes de excluir o arquivo, na tentativa de limpar os rastros.
O Eldorado é o mais recente da lista de novos jogadores de ransomware de dupla extorsão que surgiram recentemente, incluindo Arcus Media, AzzaSec, Brain Cipher, dan0n, Limpopo (também conhecido como SOCOTRA, FORMOSA, SEXi), LukaLocker, Shinra e Space Bears, destacando mais uma vez a natureza duradoura e persistente da ameaça.
O LukaLocker, ligado a um operador apelidado de Volcano Demon pela Halcyon, é notável pelo fato de não utilizar um site de vazamento de dados e, em vez disso, ligar para a vítima por telefone para extorquir e negociar o pagamento após criptografar estações de trabalho e servidores Windows. O desenvolvimento coincide com a descoberta de novas variantes Linux do ransomware Mallox (também conhecido como Fargo, TargetCompany e Mawahelper), bem como de descriptografadores associados a sete builds diferentes.
O Mallox é conhecido por ser propagado por força bruta em servidores Microsoft SQL e e-mails de phishing para atacar sistemas Windows, com intrusões recentes também fazendo uso de um carregador baseado em .NET chamado PureCrypter. “Os atacantes estão usando scripts Python personalizados para fins de entrega de payload e exfiltração de informações da vítima”, relataram os pesquisadores da Uptycs Tejaswini Sandapolla e Shilpesh Trivedi. “O malware criptografa os dados do usuário e adiciona a extensão .locked aos arquivos criptografados.”
Um descriptografador também foi disponibilizado para DoNex e seus predecessores (Muse, fake LockBit 3.0 e DarkRace) pela Avast, aproveitando uma falha no esquema criptográfico. A empresa de cibersegurança tcheca disse que tem “fornecido silenciosamente o descriptografador” às vítimas desde março de 2024, em parceria com organizações de aplicação da lei.
“Apesar dos esforços das autoridades e do aumento das medidas de segurança, os grupos de ransomware continuam a se adaptar e prosperar”, informou a Group-IB. Dados compartilhados pela Malwarebytes e NCC Group, com base nas vítimas listadas nos sites de vazamento, mostram que 470 ataques de ransomware foram registrados em maio de 2024, acima dos 356 em abril. A maioria dos ataques foi reivindicada por LockBit, Play, Medusa, Akira, 8Base, Qilin e RansomHub.
“O desenvolvimento contínuo de novas variantes de ransomware e o surgimento de programas de afiliados sofisticados demonstram que a ameaça está longe de ser contida”, observou a Group-IB. “As organizações devem permanecer vigilantes e proativas em seus esforços de cibersegurança para mitigar os riscos representados por essas ameaças em constante evolução.”
Fonte: https://thehackernews.com/2024/07/new-ransomware-as-service-eldorado.html