El proveedor de seguridad cibernética Group-IB Threat Intelligence ha descubierto un nuevo ransomware llamado Eldorado, basado en Golang, que está dirigido específicamente a grandes empresas y tiene la capacidad de atacar en diferentes plataformas, incluyendo VMware ESXi, Windows y Linux. Eldorado es un ransomware como servicio (Ransomware-as-a-Service, RaaS) que utiliza técnicas avanzadas para cifrar claves y archivos objetivo, propagarse lateralmente a través del protocolo SMB y borrar archivos específicos para borrar cualquier rastro de encriptación y evitar la recuperación de archivos.
Con el avance de la tecnología, los atacantes están explorando constantemente nuevas formas de atacar. El ransomware como servicio ha evolucionado para operar de manera similar a las grandes empresas, reclutando constantemente nuevos socios en foros de ransomware en la dark web y asignándoles tareas específicas en el equipo. La información sobre Eldorado apareció por primera vez en el foro ruso de ransomware RAMP. Una vez que una empresa es atacada, Eldorado se comunica con la víctima a través de una plataforma de chat en la dark web con un dominio Onion. Hasta junio de 2024, se han registrado 16 empresas en todo el mundo que han sido víctimas de Eldorado, la mayoría en los Estados Unidos. Los sectores afectados incluyen bienes raíces, educación, servicios profesionales, atención médica y fabricación, entre otros.
Para poder atacar en diferentes plataformas, Eldorado está desarrollado en el lenguaje de programación Golang, lo que permite que su código se ejecute en sistemas Windows y Linux de 32 y 64 bits. Este ransomware utiliza el algoritmo Chacha20 para cifrar rápidamente los archivos y el cifrado de clave asimétrico óptimo de Rivest Shamir Adleman (RSA-OAEP) para encriptar la clave. Los archivos encriptados tienen una extensión “.00000001” y se crea un archivo de texto llamado “HOW_RETURN_YOUR_DATA.TXT” en los directorios “documentos” y “escritorio” con información de contacto del atacante. Eldorado también utiliza el protocolo SMB (SMB2/3) para cifrar archivos compartidos en la red y luego utiliza comandos de PowerShell para sobrescribir el encriptador con bits aleatorios y eliminar el archivo original, borrando cualquier rastro de encriptación. Finalmente, también elimina las copias de seguridad de sombra de Windows para evitar que los archivos cifrados se puedan recuperar a través de este mecanismo.
En general, a pesar de que la conciencia de seguridad en línea de las empresas está mejorando, siempre hay nuevas formas de ataques cibernéticos que están evolucionando y mejorando. Group-IB recomienda tomar las siguientes medidas de defensa:
– Implementar la autenticación de múltiples factores (Multi-factor authentication, MFA)
– Tener una detección y respuesta de punto final (Endpoint Detection and Response, EDR) para ayudar a identificar signos de actividad de ransomware
– Realizar copias de seguridad de datos periódicas
– Utilizar inteligencia artificial para una detección de intrusos en tiempo real
– Actualizar constantemente los sistemas y aplicar parches de seguridad
– Proporcionar capacitación y educación para ayudar a los empleados a identificar ataques en línea (como correos electrónicos de phishing)
– Realizar una auditoría técnica o evaluación de seguridad anual en los sistemas
– Nunca pagar el rescate exigido
– Buscar ayuda de expertos en caso de un ataque
Group-IB enfatiza que las empresas deben estar siempre alerta y ser proactivas en su seguridad en línea para mitigar los riesgos de estas amenazas en constante evolución.