Foi identificada uma operação emergente de ransomware-as-a-service (RaaS) chamada “Eldorado”, que visa sistemas Windows e Linux. O malware foi detectado pela primeira vez em 16 de março de 2024, quando uma propaganda para o programa hacker de afiliados foi postada no fórum de ransomware “RAMP”.
As informações são da firma de cibersegurança Group-IB, baseada em Singapura. Os pesquisadores infiltraram o grupo de ransomware e descobriram que o representante do Eldorado é um porta-voz russo – e que o malware não se sobrepõe a outras variantes detectadas no passado, como Lockbit ou Babuk.
“O ransomware Eldorado usa Golang para seus recursos de plataforma cruzada, aplicando o Chacha20 para criptografar arquivos e o Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding (RSA-OAEP) para criptografar chaves”, afirmam os pesquisadores. “Ele é capaz de criptografar arquivos ou redes compartilhadas com o uso do protocolo Server Message Block (SMB).”
Eldorado já teria feito 16 vítimas
De acordo com o site de vazamento de dados do grupo hacker, o Eldorado já fez 16 vítimas até junho de 2024, sendo que 13 delas estão localizadas nos EUA, 2 na Itália e 1 na Croácia. Os alvos são dos setores imobiliário, educacional, de saúde e industrial.
➡️ O criptografador para Eldorado vem em 4 formatos: esxi, esxi_64, win e win_64.
Segundo o Group-IB, os afiliados do RaaS podem personalizar seus ataques, definindo quais diretórios criptografar, pulando arquivos locais e impedindo a autoexclusão do malware, entre outras ações.
Com informações de: The Hacker News
