Nuevo Ransomware-as-a-Service ‘Eldorado’ apunta a sistemas Windows y Linux

XPoint
Publicado el 08/07/2024
Versión en Español

Una nueva operación de ransomware-as-a-service (RaaS) llamada Eldorado incluye variantes de cifrado para archivos en sistemas Windows y Linux.

Eldorado apareció por primera vez el 16 de marzo de 2024, cuando se publicó un anuncio para el programa de afiliados en el foro de ransomware RAMP, según informó Group-IB, con sede en Singapur.

La firma de ciberseguridad, que se infiltró en el grupo de ransomware, señaló que su representante habla ruso y que el malware no se superpone con cepas filtradas previamente como LockBit o Babuk.

«El ransomware Eldorado usa Golang para capacidades multiplataforma, empleando Chacha20 para el cifrado de archivos y RSA-OAEP (Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding) para el cifrado de claves», dijeron los investigadores Nikolay Kichatov y Sharmine Low. «Puede cifrar archivos en redes compartidas utilizando el protocolo Server Message Block (SMB)».

El cifrador de Eldorado viene en cuatro formatos: esxi, esxi_64, win y win_64, con su sitio de filtración de datos que ya lista 16 víctimas hasta junio de 2024. Trece de los objetivos están ubicados en los EE. UU., dos en Italia y uno en Croacia.

Estas empresas abarcan diversos sectores industriales como bienes raíces, educación, servicios profesionales, salud y manufactura, entre otros.

Ciberseguridad
Un análisis más detallado de los artefactos de la versión de Windows reveló el uso de un comando de PowerShell para sobrescribir el locker con bytes aleatorios antes de eliminar el archivo en un intento de limpiar los rastros.

Eldorado es el más reciente en la lista de nuevos actores de ransomware de doble extorsión que han surgido en tiempos recientes, incluyendo Arcus Media, AzzaSec, dan0n, Limpopo (también conocido como SOCOTRA, FORMOSA, SEXi), LukaLocker, Shinra y Space Bears, destacando una vez más la naturaleza persistente y duradera de la amenaza.

Ransomware-as-a-Service
LukaLocker, vinculado a un operador apodado Volcano Demon por Halcyon, es notable por el hecho de que no utiliza un sitio de filtración de datos y en su lugar llama a la víctima por teléfono para extorsionar y negociar el pago después de cifrar estaciones de trabajo y servidores Windows.

El desarrollo coincide con el descubrimiento de nuevas variantes de Linux del ransomware Mallox (también conocido como Fargo, TargetCompany, Mawahelper) así como descifradores asociados con siete compilaciones diferentes.

Ransomware-as-a-Service
Se sabe que Mallox se propaga mediante fuerza bruta en servidores Microsoft SQL y correos electrónicos de phishing para atacar sistemas Windows, con intrusiones recientes que también hacen uso de un cargador basado en .NET llamado PureCrypter.

«Los atacantes están utilizando scripts personalizados de Python para la entrega de cargas útiles y la exfiltración de información de la víctima», dijeron los investigadores de Uptycs Tejaswini Sandapolla y Shilpesh Trivedi. «El malware cifra los datos del usuario y añade la extensión .locked a los archivos cifrados».

Ciberseguridad
Avast también ha puesto a disposición un descifrador para DoNex y sus predecesores (Muse, falso LockBit 3.0 y DarkRace) aprovechando una falla en el esquema criptográfico. La empresa de ciberseguridad checa dijo que ha estado «proporcionando silenciosamente el descifrador» a las víctimas desde marzo de 2024 en asociación con organizaciones policiales.

«A pesar de los esfuerzos policiales y las medidas de seguridad incrementadas, los grupos de ransomware continúan adaptándose y prosperando», dijo Group-IB.

Datos compartidos por Malwarebytes y NCC Group basados en víctimas listadas en los sitios de filtración muestran que se registraron 470 ataques de ransomware en mayo de 2024, frente a 356 en abril. La mayoría de los ataques fueron reclamados por LockBit, Play, Medusa, Akira, 8Base, Qilin y RansomHub.

«El desarrollo continuo de nuevas cepas de ransomware y la aparición de programas de afiliados sofisticados demuestran que la amenaza está lejos de ser contenida», señaló Group-IB. «Las organizaciones deben mantenerse vigilantes y proactivas en sus esfuerzos de ciberseguridad para mitigar los riesgos que representan estas amenazas en constante evolución».

 


English Version

A new ransomware-as-a-service (RaaS) operation called Eldorado includes encryption variants for files on Windows and Linux systems.

 

Eldorado first appeared on March 16, 2024, when an advertisement for the affiliate program was posted on the ransomware forum RAMP, according to Singapore-headquartered Group-IB.

The cybersecurity firm, which infiltrated the ransomware group, noted that its representative is a Russian speaker and that the malware does not overlap with previously leaked strains such as LockBit or Babuk.

«The Eldorado ransomware uses Golang for cross-platform capabilities, employing Chacha20 for file encryption and RSA-OAEP (Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding) for key encryption,» researchers Nikolay Kichatov and Sharmine Low said. «It can encrypt files on shared networks using the Server Message Block (SMB) protocol.»

The encryptor for Eldorado comes in four formats: esxi, esxi_64, win, and win_64, with its data leak site already listing 16 victims as of June 2024. Thirteen of the targets are located in the U.S., two in Italy, and one in Croatia.

These companies span various industry sectors such as real estate, education, professional services, healthcare, and manufacturing, among others.

Cybersecurity
Further analysis of the Windows version artifacts revealed the use of a PowerShell command to overwrite the locker with random bytes before deleting the file in an attempt to clean up traces.

Eldorado is the latest in the list of new double-extortion ransomware players that have sprung up in recent times, including Arcus Media, AzzaSec, dan0n, Limpopo (also known as SOCOTRA, FORMOSA, SEXi), LukaLocker, Shinra, and Space Bears, once again highlighting the persistent and enduring nature of the threat.

Ransomware-as-a-Service
LukaLocker, linked to an operator dubbed Volcano Demon by Halcyon, is notable for the fact that it does not use a data leak site and instead calls the victim over the phone to extort and negotiate payment after encrypting Windows workstations and servers.

The development coincides with the discovery of new Linux variants of the Mallox (also known as Fargo, TargetCompany, Mawahelper) ransomware as well as decryptors associated with seven different builds.

Ransomware-as-a-Service
Mallox is known to propagate by brute-forcing Microsoft SQL servers and phishing emails to target Windows systems, with recent intrusions also making use of a .NET-based loader named PureCrypter.

«The attackers are using custom Python scripts for the purpose of payload delivery and victim information exfiltration,» Uptycs researchers Tejaswini Sandapolla and Shilpesh Trivedi said. «The malware encrypts user data and appends a .locked extension to the encrypted files.»

Cybersecurity
Avast has also made available a decryptor for DoNex and its predecessors (Muse, fake LockBit 3.0, and DarkRace) by exploiting a flaw in the cryptographic scheme. The Czech cybersecurity company said it has been «silently providing the decryptor» to victims since March 2024 in partnership with law enforcement organizations.

«Despite law enforcement efforts and increased security measures, ransomware groups continue to adapt and thrive,» Group-IB said.

Data shared by Malwarebytes and NCC Group based on victims listed on the leak sites show that 470 ransomware attacks were recorded in May 2024, up from 356 in April. The majority of the attacks were claimed by LockBit, Play, Medusa, Akira, 8Base, Qilin, and RansomHub.

«The ongoing development of new ransomware strains and the emergence of sophisticated affiliate programs demonstrate that the threat is far from being contained,» Group-IB noted. «Organizations must remain vigilant and proactive in their cybersecurity efforts to mitigate the risks posed by these ever-evolving threats.»

Preguntas frecuentes

¿Qué es y para qué sirve un Hacking Ético?

+

El Ethical Hacking, también conocido como hacking ético, implica el uso de habilidades y técnicas similares a las de los hackers maliciosos, pero de manera legal y ética. Los profesionales de la ciberseguridad, conocidos como hackers éticos, utilizan estas habilidades para identificar y resolver vulnerabilidades en sistemas informáticos, redes y aplicaciones de una organización. El objetivo es mejorar la seguridad y proteger los activos digitales al encontrar y corregir fallos de seguridad antes de que sean explotados por ciberdelincuentes. Esta práctica ayuda a fortalecer las defensas cibernéticas, proteger la confidencialidad de la información y cumplir con requisitos regulatorios, además de prevenir pérdidas financieras y daños a la reputación. En resumen, el Ethical Hacking es una herramienta esencial para mitigar los riesgos de seguridad en un entorno digital cada vez más amenazante.

¿Qué es y para qué sirve un Pentesting?

+

El Pentesting, o pruebas de penetración, es una evaluación de seguridad que simula ciberataques controlados contra sistemas y redes de una organización. Realizado por profesionales de seguridad, busca identificar y explotar vulnerabilidades para evaluar la efectividad de las defensas y proporcionar recomendaciones de mejora. Ayuda a prevenir ataques, mejorar la seguridad y cumplir con requisitos normativos. En resumen, es una herramienta vital para fortalecer la seguridad informática de una organización.

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos