En marzo de 2024, un nuevo ransomware-as-a-service (RaaS) conocido como Eldorado surgió, apuntando principalmente a sistemas Windows y VMware ESXi. Hasta la fecha, ha afectado a 16 víctimas, centradas principalmente en los sectores de bienes raíces, educación, salud y manufactura en EE.UU. La empresa de ciberseguridad Group-IB ha estado monitoreando de cerca las actividades de Eldorado, observando su promoción en foros y la búsqueda activa de afiliados calificados.
Características Técnicas
Eldorado es un ransomware basado en el lenguaje de programación Go, que dispone de variantes para cifrar tanto plataformas Windows como Linux. Utiliza el algoritmo de encriptación ChaCha20, generando una clave única de 32 bytes y un nonce de 12 bytes para cada archivo cifrado. Las claves y nonces se cifran utilizando RSA con el esquema OAEP.
Proceso de Encriptación
- Extensión de archivos cifrados: .00000001
- Notas de rescate: HOW_RETURN_YOUR_DATA.TXT, generadas en las carpetas de Documentos y Escritorio.
- Cifrado de recursos compartidos: Utiliza el protocolo SMB para cifrar recursos compartidos en red.
- Eliminación de copias de seguridad: Borra las copias de volumen sombra en sistemas Windows comprometidos para evitar la recuperación de datos.
Especificaciones y Comportamiento
- Exclusiones de cifrado: Archivos DLL, LNK, SYS y EXE, así como directorios críticos del sistema para evitar dejar el sistema inservible.
- Autodestrucción: Configurado para autodestruirse por defecto, evadiendo así la detección y análisis.
Personalización por Afiliados
- Windows: Permite especificar directorios a cifrar, omitir archivos locales, atacar recursos compartidos en red en subredes específicas y prevenir la autodestrucción del malware.
- Linux: La personalización se limita a establecer los directorios a cifrar.
Observaciones de Group-IB
Investigadores de Group-IB han seguido de cerca el avance de Eldorado, destacando su promoción activa en foros de ciberdelincuentes y la búsqueda de afiliados con habilidades específicas para maximizar la efectividad de los ataques.
Productos afectados
- Sistemas operativos Windows y Linux.
- Vmware ESXi.
Solución
- Actualmente, no existe una solución definitiva para el ransomware Eldorado. Sin embargo, es crucial mantenerse actualizado y aplicar las mejores prácticas de ciberseguridad para reducir el riesgo de infección.
Recomendaciones
- Autenticación Multifactor (MFA): Implementar MFA y soluciones de acceso basadas en credenciales para añadir una capa adicional de protección contra accesos no autorizados.
- Endpoint Detection and Response (EDR): Utilizar herramientas EDR para detectar y responder rápidamente a indicadores de ransomware y otras amenazas en los puntos finales.
- Copias de Seguridad: Realizar copias de seguridad periódicas de los datos para minimizar el impacto de posibles ataques y asegurar la recuperación de información crítica.
- Gestión de Parches: Priorizar y aplicar regularmente parches de seguridad para corregir vulnerabilidades y fortalecer la postura de seguridad.
- Educación y Capacitación: Instruir y capacitar a los empleados sobre cómo identificar y reportar amenazas de ciberseguridad para reducir el riesgo de ataques exitosos.
- Auditorías y Evaluaciones: Realizar auditorías técnicas anuales o evaluaciones de seguridad para mantener una buena higiene digital y detectar posibles fallos en la seguridad.
- No Pagar Rescates: Abstenerse de pagar rescates, ya que esto raramente garantiza la recuperación de datos y puede incentivar futuros ataques.
- Estas prácticas son fundamentales para desarrollar una estrategia robusta de defensa contra el ransomware y proteger los activos digitales de la organización.
Referencias
- https://www.broadcom.com/support/security-center/protection-bulletin/el-dorado-ransomware-increased-attacks
- https://blog.segu-info.com.ar/2024/07/ransomware-eldorado-apunta-maquinas.html
- https://www.group-ib.com/blog/eldorado-ransomware/