‘Eldorado’: Nuevo Ransomware Dirigido a Windows y Linux

Un ransomware como servicio (RaaS) conocido como «Eldorado» apareció en marzo y esta basado en Go. Hasta ahora, el grupo ha atacado a 16 víctimas, principalmente en Estados Unidos, en los sectores inmobiliario, educativo, sanitario y manufacturero.

Investigadores de Group-IB han seguido la actividad de este Ransomware, los operadores promueven su servicio malicioso en los foros de RAMP y buscan afiliados calificados para unirse a su programa.

Cifrado en Windows y Linux

«Eldorado» es un desarrollo único y es capaz de cifrar tanto plataformas Windows como Linux mediante dos variantes distintas con características operativas similares. Los investigadores obtuvieron un cifrador del desarrollador, acompañado de un manual de usuario que indicaba la disponibilidad de variantes de 32 y 64 bits para los hipervisores VMware ESXi y Windows.

El malware emplea el algoritmo ChaCha20 para el cifrado, genera una clave única de 32 bytes y un nonce de 12 bytes para cada archivo bloqueado. Luego, las claves y los nonces se cifran utilizando RSA con el esquema de relleno de cifrado asimétrico óptimo (OAEP).

Tras el cifrado, a los archivos se les añade la extensión «.00000001» y se colocan notas de rescate denominadas «HOW_RETURN_YOUR_DATA.TXT» en las carpetas Documentos y Escritorio.

También cifra los recursos compartidos de red mediante el protocolo de comunicación SMB para maximizar su impacto y elimina las instantáneas de volumen en las máquinas Windows comprometidas para impedir la recuperación. Además, está configurado para autodestruirse por defecto, con el objetivo de evadir la detección y el análisis por parte de los equipos de respuesta.

En Windows, pueden especificar qué directorios cifrar, omitir archivos locales, dirigirse a recursos compartidos de red en subredes específicas y desactivar la autodestrucción del malware. En Linux, las opciones de personalización se limitan a la configuración de los directorios a cifrar.

Sugerencias: