Ransomware Eldorado

Publicado hace 6 meses 08-07-2024

Un nuevo ransomware como servicio (RaaS) denominado “Eldorado” fue descubierto en marzo teniendo variantes de lockers para VMware, ESXi, Windows y Linux, dicho ransomware ha estado bajo vigilancia de la compañía de ciberseguridad Group-IB, quien ha estado monitoreando los ataques, así como investigando su trasfondo. [2]

Los operadores del grupo promueven este RaaS mediante el foro RAMP y buscan activamente más personal con buen nivel de habilidades para sumarse al programa, los posts del foro están en ruso y usan expresiones nativas de Rusia por lo que se sospecha que son originarios de dicho país. [2][3]


Figura 1. Imagen del foro, un usuario menciona un programa de afiliados para el ransomware Eldorado junto con su contacto. [3]

Para junio de 2024, 16 compañías a lo largo del mundo se han visto afectadas por ataques de este ransomware siendo mayormente afectado el país de Estados Unidos con un total de 13 víctimas. Los ataques no van dirigidos a una industria en específico, pero las víctimas de las que se tiene registro son lideradas por el sector inmobiliario. [3]


Figura 2. Imagen de las victimas registradas por país e industria. [2]

El ransomware está escrito en Golang. Teniendo versiones de Windows tanto de 32 bits, como también de 64 bits, y Linux de 32 bits o 64 bits.[3]

Todos los archivos encriptados tendrán la extensión “.00000001” es decir si un archivo es encriptado se vera de la siguiente forma: 1.jpg.00000001. Mientras se lleva a cabo el proceso de encriptación ciertos logs son mostrados en la consola.[3]


Figura 3. Logs de la consola durante la encriptación. [3]

Una vez los archivos estén encriptados se creará una nota de rescate titulada “HOW_RETURN_YOUR_DATA.TXT” en la carpeta de documentos, así como también en la carpeta escritorio, conteniendo las instrucciones para contactar a los atacantes mediante un chat en vivo. El nombre y el contenido del TXT puede ser personalizado por los atacantes antes de crearse por lo que puede haber variaciones.[3]


Figura 4. Imagen de la nota de rescate [3]

Método de encriptación:

El ransomware Eldorado usa el método de encriptación Chacha20 para encriptar los archivos y usará el método de encriptación RSA-OAEP para encriptar la llave generada. Para cada archivo se generará una llave de 32 bits y un nonce de 12 bits y se encriptara dicho archivo usando el método Chacha20 mientras que la llave y el nonce serán encriptados con RSA-OAEP utilizando la clave publica que está en la configuración y se agregarán al final de cada archivo.[3]

Eldorado también puede cifrar recursos compartidos de red utilizando el protocolo de comunicación SMB para tener un mayor alcance y también maximizar su impacto, también elimina copias de volumen en sombra en las máquinas que funcionan con Windows que han sido comprometidas para evitar que sea posible la recuperación.[2]

El ransomware omite archivos DLL, LNK, SYS y EXE, también omite archivos y directorios que están relacionados con el arranque del sistema para evitar que este se vuelva inarrancable o inutilizable. [2]

En Windows se puede especificar que directorios cifrar, omitir archivos locales, apuntar a recursos compartidos de red en subredes específicas, así como también evitar la autodestrucción del malware que se tiene configurado por defecto. En Linux solo es personalizable eligiendo qué directorios encriptar. [2]

Indicadores de compromiso:
 

Tipo ID
MD5 9d1fd92ea00c6eef88076dd55cad611e
SHA-1 a108c142dba8c9af5236ec64fe5a1ce04c54a3fb
SHA-256 599c48ddf6f8b7fa4564c26977db3ed931c4b14093674d071a4b77523fb56969
SHA-257 4252fbc2706e9f8bbcb19be38dd0db73dda870411add5477717b2865fd484242
SHA-258 7936deb5e6a236e8dce91352d0617e3db3bbe0fbaeba5fb08bbeac7590338c4d
SHA-259 85772b8ab400e26de47ca174d6b85dc9bc8cd936ae5b2a4ba3cc4c1a855fe6de
SHA-260 8badf1274da7c2bd1416e2ff8c384348fc42e7d1600bf826c9ad695fb5192c74
SHA-261 be5406f71dc950022955d5ed8ed6877a25f3f318e15b74d092516a51de3591ce
SHA-262 f7b9599f6c3793b43300909e1589654002eb96d0799d731f2507475e48862352
SHA-263 599c48ddf6f8b7fa4564c26977db3ed931c4b14093674d071a4b77523fb56969
SHA-264 cdc509cd5807b2fadafc1628a9cd4cfc93f0120d60c1b0446327bf65de68b9d9
SHA-265 8badf1274da7c2bd1416e2ff8c384348fc42e7d1600bf826c9ad695fb5192c74
SHA-266 1375e5d7f672bfd43ff7c3e4a145a96b75b66d8040a5c5f98838f6eb0ab9f27b
SHA-267 7f21d5c966f4fd1a042dad5051dfd9d4e7dfed58ca7b78596012f3f122ae66dd
SHA-268 b2266ee3c678091874efc3877e1800a500d47582e9d35225c44ad379f12c70de
SHA-269 cb0b9e509a0f16eb864277cd76c4dcaa5016a356dd62c04dff8f8d96736174a7
SHA-270 dc4092a476c29b855a9e5d7211f7272f04f7b4fca22c8ce4c5e4a01f22258c33
IPv4 173.44.141.152
Email russoschwartz@onionmail[.]org




 

Recomendaciones

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.

Referencias

  1. NIST CFS. (2024, febrero 26). NIST Releases Version 2.0 of Landmark Cybersecurity Framework. NIST. Recuperado el 2 de mayo de 2024 en: https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework
  2. Toulas B. (2024, julio 5) New Eldorado ransomware targets Windows, VMware ESXi VMs. Recuperado el 5 de Julio de 2024 en: https://www.bleepingcomputer.com/news/security/new-eldorado-ransomware-targets-windows-vmware-esxi-vms/
  3. Kichatov, N. Low, S. (2024, Julio 3) Eldorado Ransomware: The New Golden Empire of Cybercrime?. Recuperado el 5 de Julio de 2024 en: https://www.group-ib.com/blog/eldorado-ransomware/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025

El pasado 10 de diciembre, Microsoft publicó su lista de vulnerabilidades en su denominado “Patch Tuesday”. En este se abordaban diferentes vulnerabilidades de diversas criticidades; algunas destacaban más que otras debido a su impacto y probabilidad de......

Ransomware Funksec
Publicado hace 2 semanas 26-12-2024

Se ha identificado un nuevo ransomware denominado Funksec, detectado en diciembre de 2024. En tan solo los primeros 10 días del mes, ya ha afectado a 31 víctimas.  El primer ataque registrado de Funksec ocurrió el 4 de diciembre del mismo año,......

Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024

Las familias de ransomware tienden a mejorar sus capacidades con el tiempo y están en constante evolución para evadir métodos de detección o generar un mayor impacto, por lo que pueden surgir variaciones del ransomware principal o nuevas versiones.......

BOLETINES RECIENTES

...
Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025
Leer más
...
Ransomware Funksec
Publicado hace 2 semanas 26-12-2024
Leer más
...
Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024
Leer más