Los investigadores de seguridad han descubierto información importante sobre la última versión de Ransomware-as-a-Service (RaaS) conocida como Eldorado. El sofisticado malware, diseñado para atacar tanto a los sistemas operativos Windows como Linux, utiliza el lenguaje de programación Golang para facilitar sus ataques multiplataforma. «La capacidad de infectar más de un sistema operativo siempre es notable, ya que amplía el alcance del ataque. Sin embargo, es la combinación de métodos de cifrado y creación de ransomware desde cero lo que vale la pena destacar», comentó Ngoc Bui, experto en ciberseguridad de Menlo Security. «Esto me indica que es posible que hayan experimentado codificadores de ransomware expertos en sus filas. Es probable que estos individuos hayan pagado un precio, lo que sugiere que esta banda también podría tener buenos recursos detrás», agregó Bui. Según un aviso publicado por Group-IB la semana pasada, el ransomware emplea métodos de cifrado avanzados como Chacha20 para el cifrado de archivos y Rivest Shamir Adleman-Optimal Asymmetry Encryption Padding (RSA-OAEP) para el cifrado de claves. Esto le permite cifrar archivos de manera efectiva a través de redes compartidas utilizando el protocolo Server Message Block (SMB). «El ransomware Eldorado también exhibe capacidades avanzadas para el movimiento lateral, en particular a través de comprobaciones de unidades USB», explicó Jason Soroko, vicepresidente sénior de productos de Sectigo. «Esta característica le permite detectar e infectar medios extraíbles, lo que facilita la propagación del ransomware a otros sistemas cuando la unidad USB infectada está conectada a otro lugar. El malware escanea las unidades USB conectadas y se copia automáticamente en ellas, a menudo utilizando técnicas de ofuscación para evitar la detección por parte del software de seguridad». Lea más sobre el malware dirigido a USB: Unidades USB utilizadas como caballos de Troya por Camaro Dragon Además, la investigación de Group-IB sobre Eldorado reveló un modelo operativo en el que los ciberdelincuentes reclutan afiliados a través de foros clandestinos como RAMP, buscando personas con experiencia técnica para unirse a sus empresas ilícitas. Desde un punto de vista técnico, los desarrolladores del malware ofrecen una gama de características personalizables, lo que permite a los afiliados adaptar los ataques a redes u organizaciones específicas. Cabe destacar que Eldorado ya ha sido víctima de numerosas empresas, y los datos de su sitio de filtraciones muestran 16 casos confirmados a junio de 2024, predominantemente en los EE. UU., pero que también afectan a industrias de todo el mundo, incluidas las inmobiliarias, la atención médica y la educación. Este descubrimiento se produce en medio de una tendencia más amplia identificada por Group-IB, que muestra un fuerte aumento en los anuncios de programas RaaS en foros de la web oscura. Este aumento, que se multiplicó por 1,5 en 2023 en comparación con el año anterior, subraya la creciente sofisticación y alcance de las empresas cibercriminales. «Los defensores deben implementar autenticación multifactor, soluciones de detección y respuesta de endpoints, copias de seguridad periódicas de los datos, parches oportunos y capacitación continua de los empleados», advirtió Callie Guenther, gerente sénior de investigación de amenazas cibernéticas en Critical Start.