Aviso de Ameaça de Cibersegurança: Emergência do Eldorado RaaS

Um novo ransomware como serviço (RaaS), conhecido como Eldorado, surgiu recentemente, introduzindo variantes de bloqueio tanto para sistemas VMware ESXi como para Windows. O Eldorado demonstrou rapidamente a sua capacidade de infligir danos severos aos dados, reputação e continuidade de negócios das vítimas. Reveja este Aviso de Ameaça de Cibersegurança para mitigar o seu risco face a este ransomware.

Qual é a ameaça?

Eldorado permite que afiliados especializados adaptem o seu ataque e promovam o serviço malicioso em fóruns da dark web, incluindo um anúncio notável no fórum de ransomware RAMP. Além disso, Eldorado criou um site para listar as vítimas afetadas pelos seus ataques.

Por que é digno de nota?

Eldorado é considerado um avanço significativo nas estratégias de ransomware, encriptando ficheiros usando o algoritmo ChaCha20 e empregando o esquema RSA-OAEP para a encriptação de chaves. Operando como um RaaS, Eldorado permite que os clientes gerem as suas amostras de malware, descentralizando a implementação. Este modelo aumenta o seu alcance e complica os esforços de mitigação e deteção. Com as suas técnicas avançadas de encriptação, a recuperação de dados torna-se difícil, representando um risco significativo para a integridade dos dados e a continuidade operacional.

Qual é a exposição ou o risco?

O construtor de ransomware do Eldorado é distinto na sua abordagem. Os seus operadores não dependem de ferramentas de ransomware anteriormente divulgadas e publicamente disponíveis, como o LockBit 3.0 ou o código-fonte do ransomware Babuk. Desenvolvido na linguagem Go, o Eldorado possui versões adaptadas tanto para sistemas Windows como Linux, oferecendo um encriptador em quatro formatos: esxi, esxi_64, win e win_64. Durante os ataques, o Eldorado encripta ficheiros com a extensão “.00000001” e deixa uma nota de resgate nas pastas Documentos e Ambiente de Trabalho das vítimas, instruindo-as a contactar o ator da ameaça. O ransomware utiliza ChaCha20 para a encriptação de ficheiros e Rivest-Shamir-Adleman Optimal Asymmetric Encryption Padding (RSA-OAEP) para a encriptação de chaves.

Eldorado também remove cópias de volume sombra dos computadores Windows afetados para dificultar a recuperação e encripta partilhas de rede usando o protocolo SMB para maximizar o seu efeito. Evita encriptar ficheiros e diretórios críticos do sistema para garantir que o sistema permanece inicializável.

Quais são as recomendações?

A Barracuda recomenda as seguintes ações para mitigar o seu risco:

• Implemente autenticação multifator (MFA) e soluções de acesso baseadas em credenciais.
• Utilize a Deteção e Resposta de Endpoint (EDR) para identificar e responder rapidamente a indicadores de ransomware.
• Faça backup regularmente para minimizar os danos e a perda de dados.
• Utilize análises baseadas em IA e detonação avançada de malware para deteção e resposta a intrusões em tempo real.
• Priorize e aplique periodicamente patches de segurança para corrigir vulnerabilidades.
• Educar e formar os colaboradores para reconhecer e reportar ameaças de cibersegurança.
• Conduza auditorias técnicas anuais ou avaliações de segurança e mantenha a higiene digital.
• Abstenha-se de pagar resgates, pois raramente garante a recuperação de dados e pode levar a mais ataques.

Referências

Para obter informações mais detalhadas sobre as recomendações, por favor visite os seguintes links:

• https://duo.com/decipher/new-eldorado-ransomware-group-targets-windows-linux-systems
• https://www.chrisupchurch.net/new-eldorado-ransomware-targets-windows-vmware-esxi-vms/
• https://www.spiceworks.com/it-security/vulnerability-management/news/eldorado-ransomware-affects-vmware-esxi-windows-vms/

Nota: Isto foi originalmente publicado em SmarterMSP.