08 de julio de 2024Sala de prensaRansomware / Cifrado Una operación emergente de ransomware como servicio (RaaS) llamada Eldorado viene con variantes de bloqueo para cifrar archivos en sistemas Windows y Linux. Eldorado apareció por primera vez el 16 de marzo de 2024, cuando se publicó un anuncio del programa de afiliados en el foro de ransomware RAMP, dijo Group-IB, con sede en Singapur. La empresa de ciberseguridad, que se infiltró en el grupo de ransomware, señaló que su representante habla ruso y que el malware no se superpone con cepas filtradas anteriormente como LockBit o Babuk. «El ransomware Eldorado usa Golang para capacidades multiplataforma, empleando Chacha20 para el cifrado de archivos y Rivest Shamir Adleman-Optimal Asymmetry Encryption Padding (RSA-OAEP) para el cifrado de claves», dijeron los investigadores Nikolay Kichatov y Sharmine Low. «Puede cifrar archivos en redes compartidas mediante el protocolo Server Message Block (SMB)». El cifrador de Eldorado viene en cuatro formatos, a saber, esxi, esxi_64, win y win_64, y su sitio de filtración de datos ya enumera 16 víctimas de junio de 2024. Trece de los objetivos se encuentran en los EE. UU., Dos en Italia y uno en Croacia. Estas empresas abarcan varios sectores industriales, como bienes raíces, educación, servicios profesionales, atención médica y fabricación, entre otros. Un análisis más detallado de la versión de Windows de los artefactos ha revelado el uso de un comando de PowerShell para sobrescribir el locker con bytes aleatorios antes de eliminar el archivo en un intento de limpiar los rastros. Eldorado es el último de una lista de nuevos actores de ransomware de doble extorsión que han surgido en los últimos tiempos, entre los que se incluyen Arcus Media, AzzaSec, dan0n, Limpopo (también conocido como SOCOTRA, FORMOSA, SEXi), LukaLocker, Shinra y Space Bears, lo que pone de relieve una vez más la naturaleza duradera y persistente de la amenaza. LukaLocker, vinculado a un operador al que Halcyon llama Volcano Demon, se destaca por el hecho de que no utiliza un sitio de filtración de datos y, en su lugar, llama a la víctima por teléfono para extorsionar y negociar el pago después de cifrar las estaciones de trabajo y servidores de Windows. El desarrollo coincide con el descubrimiento de nuevas variantes de Linux del ransomware Mallox (también conocido como Fargo, TargetCompany, Mawahelper), así como de descifradores asociados con siete compilaciones diferentes. Se sabe que Mallox se propaga mediante ataques de fuerza bruta a servidores Microsoft SQL y correos electrónicos de phishing dirigidos a sistemas Windows, y en intrusiones recientes también se ha utilizado un cargador basado en .NET llamado PureCrypter. «Los atacantes están utilizando scripts de Python personalizados con el fin de entregar la carga útil y exfiltrar la información de las víctimas», dijeron los investigadores de Uptycs Tejaswini Sandapolla y Shilpesh Trivedi. «El malware encripta los datos del usuario y añade la extensión .locked a los archivos encriptados». Avast también ha puesto a disposición un descifrador para DoNex y sus predecesores (Muse, el falso LockBit 3.0 y DarkRace) aprovechando una falla en el esquema criptográfico. La empresa checa de ciberseguridad dijo que ha estado «proporcionando silenciosamente el descifrador» a las víctimas desde marzo de 2024 en asociación con organizaciones policiales. «A pesar de los esfuerzos de las fuerzas del orden y el aumento de las medidas de seguridad, los grupos de ransomware continúan adaptándose y prosperando», dijo Group-IB. Los datos compartidos por Malwarebytes y NCC Group basados ​​en las víctimas enumeradas en los sitios de filtración muestran que se registraron 470 ataques de ransomware en mayo de 2024, frente a los 356 de abril. La mayoría de los ataques fueron reivindicados por LockBit, Play, Medusa, Akira, 8Base, Qilin y RansomHub. «El desarrollo continuo de nuevas cepas de ransomware y la aparición de sofisticados programas de afiliados demuestran que la amenaza está lejos de ser contenida», señaló Group-IB. «Las organizaciones deben permanecer vigilantes y proactivas en sus esfuerzos de ciberseguridad para mitigar los riesgos que plantean estas amenazas en constante evolución». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.