8 de julho de 2024

Novo ransomware eldorado ataca Windows e VMware ESXi

Compartilhe

Em março, um novo ransomware como serviço (RaaS) chamado Eldorado fez sua aparição, já comprometendo 16 vítimas nos Estados Unidos. Os setores mais afetados incluem o imobiliário, educacional, de saúde e manufatura. Desenvolvido em Go, o Eldorado apresenta versões para Windows e VMware ESXi, permitindo a criptografia de ambos os sistemas operacionais.

Operações e Promoção

Os operadores do Eldorado promovem o serviço em fóruns como o RAMP, visando recrutar afiliados qualificados para ampliar suas operações. Pesquisadores de cibersegurança estão monitorando de perto a atividade do Eldorado e conseguiram obter um criptografador do desenvolvedor.

Técnicas de Criptografia

O Eldorado utiliza o algoritmo ChaCha20 para criptografia, gerando uma chave única de 32 bytes e um nonce de 12 bytes para cada arquivo. Essas chaves são então criptografadas com RSA usando o esquema de preenchimento OAEP. Após a criptografia, os arquivos recebem a extensão “.00000001” e notas de resgate nomeadas “HOW_RETURN_YOUR_DATA.TXT” são deixadas nas pastas Documentos e Desktop.

Maximização do Impacto

Além de criptografar arquivos locais, o Eldorado atinge compartilhamentos de rede usando o protocolo SMB, amplificando seu impacto. Ele também apaga cópias de sombra nos sistemas Windows comprometidos, dificultando ainda mais a recuperação dos dados pelas vítimas.

Evasão de Detecção

Para evitar a detecção, o ransomware Eldorado não criptografa arquivos DLL, LNK, SYS e EXE, além de evitar arquivos e diretórios essenciais para o boot e a funcionalidade básica do sistema. Dessa forma, ele assegura que o sistema não se torne inoperável, evitando chamar a atenção imediata dos administradores de sistemas. Além disso, o Eldorado está configurado para se autodeletar após a execução, ajudando a evadir a análise forense e dificultando a resposta das equipes de segurança.

Conclusão

O surgimento do Eldorado ressalta a necessidade de reforçar medidas de segurança cibernética, especialmente em setores críticos. Manter sistemas atualizados, realizar backups regulares e treinar funcionários para reconhecer ameaças são passos essenciais para mitigar o impacto de ataques de ransomware.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber:

Publicado em: seguro cyber

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria "Funcional".
cookielawinfo-checkbox-necessary	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessário".
cookielawinfo-checkbox-others	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Outros.
cookielawinfo-checkbox-performance	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Desempenho".
viewed_cookie_policy	11 months	O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Manchetes do Mercado

Novo ransomware eldorado ataca Windows e VMware ESXi

Saiba mais sobre o Seguro Cyber:

Veja mais