Eldorado, un nuovo ransomware-as-a-service che colpisce Windows e Linux

Lug 08, 2024 Marina Londei Attacchi, Hacking, In evidenza, Malware, Minacce, News, RSS 0

I ricercatori di Group-IB hanno scoperto Eldorado, un ransomware-as-a-service presente da marzo in grado di cifrare file sui sistemi Windows e Linux.

Il servizio è stato pubblicizzato su RAMP, uno dei forum di ransomware più noti e frequentati sul dark web. I ricercatori di Group-IB si sono infiltrati nel gruppo come pentesters e hanno scoperto che la gang era composta da individui russofoni.

Pixabay

Eldorado usa Golang per abilitare l’operatività cross-platform, usa Chacha20 per la cifratura dei file e RSA-OAEP per la cifratura delle chiavi. Il ransomware è in grado di cifrare file su reti condivise usando il protocollo SMB e usa il nome della compagnia target, i dettagli della nota di riscatto e le credenziali di admin come parametri per ciascuna build del malware.

Dopo aver fatto richiesta di affiliazione al gruppo, gli attaccanti generano la build del ransomware specifica per l’affiliato sulla base dei parametri da lui specificati. L’encryptor viene condiviso in quattro formati: esxi, esxi_64, win e win_64. Insieme al malware viene fornito un manuale per l’uso che include, tra le altre cose, una serie di comandi e parametri da specificare per definire il perimetro della cifratura.

I file cifrati hanno estensione “.00000001” e durante il processo di cifratura viene loggato in console il progresso del ransomware. Al termine dell’operazione, il malware crea una nota di riscatto in .txt intitolata “HOW_RETURN_YOUR_DATA” sia sul Desktop che nella cartella Documents con le istruzioni su come contattare l’affiliato dietro l’attacco. Il testo della nota viene personalizzato in fase di build del ransomware.

L’impatto di Eldorado

Il ransomware, spiegano i ricercatori di sicurezza, non è basato sul codice sorgente di altri ransomware: il gruppo ha creato il servizio da zero. “Sebbene sia relativamente nuovo e non sia un rebrand di gruppi di ransomware ben noti, Eldorado ha dimostrato in breve tempo la sua capacità di infliggere danni significativi ai dati, alla reputazione e alla continuità aziendale delle sue vittime” si legge sul blog di Group-IB.

A giugno 2024 si contano sedici compagnie appartenenti a diversi Paesi e di diversi settori vittime di Eldorado. Tredici incidenti si sono verificati solo negli Stati Uniti, due in Italia e uno in Croazia. Il settore più colpito è quello dell’immobiliare (tre attacchi), seguito dall’educativo, dai servizi professionali, dal sanitario e dal manifatturiero, ognuno con due attacchi, e dalle telecomunicazioni, dai servizi per il business, dai servizi amministrativi, dai trasporti e dalle realtà governative e militari con un attacco ciascuno.

Numero di attacchi di Eldorado per Paesi e industrie

Credits: Group-IB

Come sottolinea Group-IB, Eldorado è l’ennesima conferma che il panorama dei ransomware è in continua evoluzione e sta mettendo a serio rischio la sicurezza delle aziende. “Il continuo sviluppo di nuovi ceppi di ransomware e l’emergere di sofisticati programmi di affiliazione dimostrano che la minaccia è lungi dall’essere contenuta. Le organizzazioni devono rimanere vigili e proattive nei loro sforzi di cybersecurity per mitigare i rischi posti da queste minacce in continua evoluzione” affermano i ricercatori.

Per rafforzare le difese, le imprese sono invitate a implementare l’autenticazione multi-fattore e scegliere soluzioni EDR per il monitoraggio degli endpoint e l’identificazione di attività sospette con approccio proattivo, permettendo ai team di sicurezza di agire non appena si presenta il problema.

In caso di successo degli attacchi, le aziende devono avere una strategia di backup solida che permetta di ripristinare in maniera efficiente i file cifrati, riducendo al minimo la perdita di dati.

Infine, non può mancare un processo di patching per mantenere i software aggiornati e ridurre il numero di vulnerabilità e la definizione di programmi di training per i dipendenti, aiutandoli a identificare attività sospette e tentativi di phishing.

Condividi l'articolo