Un nuevo ransomware como servicio (RaaS) llamado Eldorado surgió en marzo y está dirigido a máquinas virtuales VMware ESXi y Windows. Este ransomware ya ha afectado a 16 víctimas, principalmente en Estados Unidos, en sectores como el inmobiliario, educativo, sanitario y manufacturero.
Actividad de Eldorado
Investigadores de la empresa de ciberseguridad Group-IB monitorearon a Eldorado y notaron que sus operadores promovían el servicio en foros como RAMP, buscando afiliados calificados para unirse al programa. Eldorado también administra un sitio de fuga de datos para listar a sus víctimas, aunque estaba inactivo al momento del reporte.
Características del Ransomware
Eldorado es un ransomware basado en Go que puede cifrar plataformas Windows y Linux con dos variantes operativas. Los investigadores obtuvieron un encriptador con un manual de usuario, indicando la disponibilidad de variantes de 32/64 bits para VMware ESXi y Windows. Este ransomware utiliza el algoritmo ChaCha20 para cifrado y RSA con OAEP para claves y nonces.
Proceso de Cifrado
- Cifrado de Archivos: Eldorado agrega la extensión «.00000001» a los archivos cifrados y coloca notas de rescate «HOW_RETURN_YOUR_DATA.TXT» en Documentos y Escritorio.
- Recursos Compartidos: Cifra recursos compartidos de red usando el protocolo SMB y elimina instantáneas de volumen en máquinas Windows para evitar la recuperación.
- Evasión de Detección: Omite archivos DLL, LNK, SYS y EXE, y está configurado para autoeliminarse después de la ejecución.
Personalización de Ataques
Afiliados pueden personalizar sus ataques, especificando directorios para cifrar, omitir archivos locales, dirigirse a recursos compartidos de red y evitar la autoeliminación en Windows. En Linux, la personalización se limita a la configuración de los directorios a cifrar.
La nota de rescate de Eldorado Fuente: Group-IB
Recomendaciones de Defensa
Group-IB resalta la importancia de implementar las siguientes defensas para protegerse contra Eldorado y otros ataques de ransomware:
- Autenticación Multifactor (MFA): Implemente soluciones de autenticación y acceso basado en credenciales.
- Detección y Respuesta de Endpoint (EDR): Utilice EDR para identificar y responder rápidamente a indicadores de ransomware.
- Copias de Seguridad: Realice copias de seguridad regulares para minimizar daños y pérdida de datos.
- Análisis Basado en IA: Utilice análisis avanzados y detección de malware en tiempo real.
- Parches de Seguridad: Priorice y aplique parches de seguridad regularmente.
- Capacitación de Empleados: Eduque a los empleados para que reconozcan y reporten amenazas de ciberseguridad.
- Auditorías de Seguridad: Realice auditorías técnicas anuales y mantenga una higiene digital adecuada.
- No Pagar el Rescate: Absténgase de pagar rescates, ya que no garantiza la recuperación de datos y puede incentivar más ataques.
Eldorado representa una nueva y significativa amenaza en el panorama del ransomware, destacando la necesidad de estrategias de defensa robustas y actualizadas.
Fuente: .BleepingComputer
