I ricercatori di Group-IB hanno scoperto Eldorado, un nuovo ransomware-as-a-service (RaaS) che è attivo da marzo e in grado di cifrare file sui sistemi operativi Windows e Linux. Questo servizio è stato pubblicizzato su RAMP, uno dei forum di ransomware più noti e frequentati sul dark web.
Eldorado dispone di due versioni del malware, una per Windows e una per Linux. Utilizza il linguaggio di programmazione Golang per abilitare l’operatività cross-platform. Per la cifratura dei file e RSA-OAEP per la cifratura delle chiavi, impiega l’algoritmo Chacha20. Questo ransomware è in grado di cifrare file su reti condivise tramite il protocollo SMB e usa il nome della compagnia target, i dettagli della nota di riscatto e le credenziali di amministratore come parametri per ciascuna build del malware.
Modalità operativa del Ransomware
Dopo aver fatto richiesta di affiliazione al gruppo, gli attaccanti generano una build del ransomware specifica per l’affiliato, basandosi sui parametri forniti. L’encryptor viene condiviso in quattro formati: esxi, esxi_64, win e win_64. Insieme al malware viene fornito un manuale d’uso che include una serie di comandi e parametri per definire il perimetro della cifratura.
I file cifrati dal ransomware ricevono l’estensione “.00000001” e durante il processo di cifratura viene loggato il progresso del ransomware nella console. Al termine dell’operazione, il malware crea una nota di riscatto in formato .txt intitolata “HOW_RETURN_YOUR_DATA” sia sul Desktop che nella cartella Documents con le istruzioni su come contattare l’affiliato responsabile dell’attacco. Il testo della nota viene personalizzato durante la fase di build del ransomware.
L’impatto di Eldorado
Eldorado non è basato sul codice sorgente di altri ransomware: il gruppo ha creato il servizio da zero. “Nonostante sia relativamente nuovo e non sia un rebrand di gruppi di ransomware già noti, Eldorado ha dimostrato in breve tempo la sua capacità di infliggere danni significativi ai dati, alla reputazione e alla continuità aziendale delle sue vittime”, spiegano i ricercatori di sicurezza di Group-IB.
A giugno 2024, sedici compagnie di diversi Paesi e settori sono state vittime di Eldorado. Tredici incidenti si sono verificati negli Stati Uniti, due in Italia e uno in Croazia. Il settore più colpito è quello immobiliare (tre attacchi), seguito da quello educativo, dei servizi professionali, sanitario e manifatturiero, ciascuno con due attacchi. Anche le telecomunicazioni, i servizi per il business, i servizi amministrativi, i trasporti e le realtà governative e militari sono stati colpiti con un attacco ciascuno.
Misure di sicurezza raccomandate
Group-IB sottolinea che Eldorado è un’ulteriore conferma che il panorama dei ransomware è in continua evoluzione e rappresenta una seria minaccia per la sicurezza delle aziende. “Il continuo sviluppo di nuovi ceppi di ransomware e l’emergere di sofisticati programmi di affiliazione dimostrano che la minaccia è lungi dall’essere contenuta. Le organizzazioni devono rimanere vigili e proattive nei loro sforzi di cybersecurity per mitigare i rischi posti da queste minacce in continua evoluzione,” affermano i ricercatori.
Per rafforzare le difese, le aziende sono invitate a implementare l’autenticazione multi-fattore e adottare soluzioni EDR per il monitoraggio degli endpoint e l’identificazione di attività sospette con un approccio proattivo, permettendo ai team di sicurezza di agire immediatamente in caso di problemi.
In caso di successo degli attacchi, le aziende devono avere una strategia di backup solida che permetta di ripristinare efficientemente i file cifrati, riducendo al minimo la perdita di dati. Infine, è fondamentale mantenere i software aggiornati per ridurre il numero di vulnerabilità e definire programmi di formazione per i dipendenti, aiutandoli a riconoscere attività sospette e tentativi di phishing.
https://www.group-ib.com/blog/eldorado-ransomware/
