O Que É Ransomware Eldorado E Como Ele Funciona

ransoware_Eldorado
banner-agendamento-online

O ransomware Eldorado é a mais nova ameaça cibernética, pode ser considerada como um inovadora e importante ameaça para o mundo digital. 

Trata-se de uma operação emergente de ransomware como serviço (RaaS), que inclui variantes projetadas para criptografar arquivos em sistemas, como VMware, Windows e o Linux, um perigo crescente para a segurança cibernética global.

Leia o nosso artigo e entenda o que é ransomware Eldorado, como funciona e como proteger a sua empresa contra esse mais recente risco cibernético. 

O Que É Ransomware Eldorado?

O ransomware Eldorado é uma forma específica de ransomware como serviço, também  conhecido como RaaS (Ransomware as a Service).

Trata-se de crime organizado digital, em que o malware é desenvolvido e distribuído como uma operação de aluguel para potenciais cibercriminosos. 

Como Surgiu O Ransomware Eldorado?

O ransomware Eldorado surgiu no fim de 2023 por meio de um anúncio no fórum de ransomware RAMP, conforme relatado pelo Grupo-IB, uma empresa de segurança cibernética.

Vem sendo usado desde Maio de 2024. Durante algumas investigações, equipes de segurança cibernética observaram que os representantes do grupo falavam russo e que o malware não tinha semelhanças com outras classes vazadas anteriormente, como LockBit ou Babuk.

AD 4nXf3TIVUQOWPSitzye1zjQ9IwaexIvpq3dr4EVGDuSVXR9weRGtVgh Nb5W42Nf6KLKUDZkcoNB6eXpuMihb5KzPdjipTF aNu1FXZim3fcL2Yr nzO35JMQ7ek4V mVsam5UawmH5cXwNyLbyEHcuS2WuE?key=O03v1AK13PbWQ8q7EjRk w

Qual O Cenário De Ataques Do Ransomware Eldorado?

Dados compartilhados pela NCC Group com base nas vítimas listadas nos sites de vazamento mostram que 470 ataques de ransomware foram registrados em maio de 2024, acima dos 356 em abril. A maioria dos ataques foi reivindicada pela LockBit, Play, Medusa, Akira, 8Base, Qilin e RansomHub.

De acordo com um levantamento feito, o ransomware Eldorado já impactou 16 vítimas até junho de 2024, distribuídas entre 13 nos Estados Unidos, 2 na Itália e 1 na Croácia. 

Entre os setores afetados estão as áreas imobiliária, educacional, saúde e industrial.

Como Funciona O Modelo De Serviço Do Ransomware Eldorado?

Ransomware-as-a-Service (RaaS) é um modelo de negócio no qual os desenvolvedores do ransomware Eldorado oferecem seus serviços e ferramentas a outros criminosos em troca de uma parte dos lucros obtidos com os ataques.

Este modelo permite que indivíduos com pouca ou nenhuma habilidade técnica realizem ataques de ransomware, ampliando significativamente o alcance e o impacto desses ataques. Aqui está uma visão detalhada de como o RaaS funciona:

Estrutura do RaaS

  • Desenvolvedores

Descrição: São os criadores do ransomware que desenvolvem o malware, fornecendo todas as ferramentas necessárias para realizar um ataque.

Serviços: Eles oferecem uma plataforma que inclui o ransomware, malware, paineis de controle, suporte técnico e atualizações.

Receita: Recebem uma porcentagem dos resgates pagos pelas vítimas. Em alguns casos, podem cobrar uma taxa de adesão ou aluguel da ferramenta.

  • Afiliados

Descrição: São os usuários do serviço que executam os ataques. Podem ser hackers com diferentes níveis de habilidade.

Métodos de Ataque: Utilizam várias técnicas para infectar as vítimas, incluindo phishing, exploração de vulnerabilidades, entre outras.

Receita: Retém a maior parte dos lucros obtidos com os pagamentos de resgate, compartilhando uma porcentagem com os desenvolvedores.

  • Processo de Ataque

Adesão e Registro: Afiliados se inscrevem na plataforma RaaS, muitas vezes em fóruns da dark web ou outros canais de comunicação clandestinos. Após a inscrição, recebem acesso ao kit de ransomware e às ferramentas necessárias para realizar os ataques.

Configuração do Ataque: Afiliados configuram o ransomware de acordo com suas preferências, como o valor do resgate, personalizar mensagens de resgate e configurar métodos de pagamento. Ferramentas fornecidas pela plataforma incluem scripts de phishing, exploits e guias de uso.

Lançamento do Ataque: Os Afiliados lançam o ataque usando métodos como e-mails de phishing, ataques direcionados a vulnerabilidades de software, ou redes comprometidas.

Uma vez que o ransomware é implantado, ele criptografa os dados das vítimas e exibe uma mensagem de resgate.

Gestão de Pagamentos: A plataforma RaaS geralmente fornece um painel de controle onde os afiliados podem monitorar o status das infecções e pagamentos. Pagamentos de resgate são geralmente exigidos em criptomoedas para manter o anonimato.

Compartilhamento de Lucros: Após o pagamento do resgate pela vítima, os lucros são divididos entre os afiliados e os desenvolvedores de ransomware conforme o acordo estabelecido.

A plataforma pode automatizar o processo de distribuição dos pagamentos, garantindo que ambas as partes recebam suas respectivas porcentagens.

Quando um sistema é afetado pelo ransomware Eldorado, o malware imediatamente faz a criptografa os arquivos do usuário, tornando-os inacessíveis.

A partir disso, os criminosos cibernéticos exigem um resgate em troca da chave de descriptografia necessária para recuperar os arquivos sequestrados. O objetivo é extorquir dinheiro das vítimas.

Quais Os Alvos Do Ransomware Eldorado?

O ransomware Eldorado podem comprometer ambientes diversificados com variantes específicas adaptadas para diferentes sistemas operacionais e arquiteturas:

  • esxi: uma variante  projetada para sistemas VMware ESXi, um hipervisor adotado em ambientes de virtualização de servidores. 
  • esxi_64: esse formato é bem parecido com a variante esxi, porém, é otimizada para arquiteturas de 64 bits, sendo encontradas em servidores modernos e ambientes de virtualização com processadores de alta capacidade.
  • win: uma variante usada para sistemas operacionais Windows, afetando desktops e servidores que executam versões do sistema operacional Windows, criptografando arquivos e dados acessíveis pelo sistema.
  • win_64: essa é uma versão mais otimizada para arquiteturas de 64 bits, usadas em ambientes empresariais e de servidor por conta da sua capacidade de manipular grandes quantidade de dados e operações complexas de software.

Lembrando que cada uma dessas variantes é adaptada para explorar vulnerabilidades específicas e operar em ambientes específicos.

Análise Técnica

O ransomware Eldorado utiliza várias estratégias de ataque para maximizar sua eficácia e disseminação nos sistemas.

Durante a análise do criptografador, os analistas do Group-IB descobriram que o ransomware é escrito na linguagem Golang. Há versões do Eldorado para Windows (32 bits e 64 bits), Linux (32 bits e 64 bits) e esxi64.

A escolha de usar a linguagem de programação Go pode ser devido às suas capacidades multiplataforma.

A capacidade dos programas Golang de compilar códigos em binários nativos e autocontidos pode ser uma razão pela qual os autores de malware têm focado o desenvolvimento em Golang.

Todos os arquivos criptografados tem a extensão similar a “ .00000001 ” durante o processo de criptografia. Sequências numéricas foram observadas para grandes arquivos.

Aqui está um exemplo dos logs de saída quando tentamos criptografar um compartilhamento de rede usando o malware do Eldorado.

AD 4nXceONeTK4osv

Uma nota de resgate intitulada “HOW_RETURN_YOUR_DATA.TXT” será escrita na pasta área de trabalho (Documents and Desktop), contendo instruções para contato com o atacante.

O nome do arquivo e o texto para a nota de resgate podem ser personalizados durante o processo de construção.

Na amostra analisada pelo Group-IB, foram observados logs enviados para 173.44.141.152 via websockets com o cabeçalho Origin definido como “ http://logger ”.

Portanto, convém filtrar este endereço nos firewalls, se bem que em breve este endereço deve mudar.

Além disso, o ransomware Eldorado também explora as vulnerabilidades por meio do protocolo SMB (Server Message Block), que possibilita que o malware se espalhe rapidamente dentro de redes corporativas e afete diversos dispositivos conectados.

Quando fornecido com as credenciais de usuário apropriadas, ele pode criptografar arquivos em redes com o protocolo SMB versão 2 e 3. 

Para remover quaisquer vestígios e possibilidades de restauração por shadow copy, o ransomware Eldorado então executa um comando powershell para sobrescrever o arquivo original com bytes aleatórios antes de excluí-lo.

Na sequência limpa o shadow copy com comando similar a “vssadmin delete shadows /all /quiet”. 

Quais As Principais Características Do Eldorado Ransomware?

O  ransomware Eldorado possui características que fazem dele uma importante ameaça cibernética da atualidade. Confira quais são elas:

Métodos De Criptografia

Uma das principais características do ataque é o uso do Chacha20 para criptografar arquivos e RSA-OAEP para criptografia de chaves, aumentando a segurança das ações. 

Movimentação Lateral E Propagação

Após comprometer um dispositivo inicial, o Eldorado começa a escanear a rede local em busca de outros dispositivos vulneráveis.

Ele procura por portas abertas, compartilhamentos de rede, e outros sinais de sistemas que possam ser acessados.

O ransomware pode usar diversas técnicas para obter credenciais de administrador ou outras credenciais de alto privilégio. Isso pode incluir keyloggers, ataques de força bruta, ou exploração de vulnerabilidades em sistemas de gerenciamento de senhas.

Credenciais roubadas permitem que o ransomware acesse outros dispositivos na rede com mais facilidade.

O Eldorado pode explorar vulnerabilidades conhecidas em sistemas operacionais, softwares ou protocolos de rede para ganhar acesso a outros dispositivos. Ferramentas como EternalBlue são exemplos de explorações que podem ser utilizadas.

O ransomware pode utilizar ferramentas legítimas de administração remota, como PsExec, PowerShell, ou WMI (Windows Management Instrumentation), para se mover lateralmente entre dispositivos.

Essas ferramentas permitem que o malware execute comandos e scripts em outros dispositivos na rede sem levantar suspeitas imediatas.

O Eldorado pode se espalhar através de compartilhamentos de rede usando o protocolo SMB (Server Message Block). Ele procura por compartilhamentos de arquivos e outros recursos de rede que possam ser acessados e criptografados.

Recrutamento De Afiliados e Personalização

Essa nova abordagem usando RaaS faz o recrutamento de afiliados técnicos por meio de fóruns como o RAMP. Isso possibilita a personalização dos ataques para redes específicas.

Fóruns E Comunicação Segura

O ransomware Eldorado utiliza plataformas de mensagens seguras como Tox, Jabber e Session para fazer comunicações discretas e seguras entre recrutadores e afiliados, garantindo maior segurança na execução dos ataques. 

Quais As Recomendações De Segurança?

Para aumentar a segurança contra ameaças como o ransomware Eldorado, é crucial adotar medidas de proteção avançadas. 

O primeiro passo é treinar colaboradores, pessoas ainda são a maior fragilidade das empresas. Através do Phishing, os colaboradores têm possibilitado a ação de cibercriminosos. 

Fazer uma inspeção do tráfego criptografado para detectar e bloquear atividades maliciosas escondidas dentro do tráfego SSL/TLS pode melhorar a proteção das empresas.

Para este fim, são indicados os firewalls de próxima geração (Next Generation Firewall).

Além disso, a análise de vulnerabilidades pode prevenir a propagação de ameaças, podendo identificar e bloquear tentativas de exploração e distribuição de malware, incluindo ransomware.

O uso do conceito Zero Trust, também é importante fazer o controle estrito de aplicações para identificar, controlar e monitorar aplicativos na rede.

Essa medida evita a utilização de aplicações não autorizadas que servem como vetores para ataques de ransomware.

Outras medidas incluem ainda a segmentação baseada em políticas, que faz o isolamento de segmentos críticos da rede, além do uso de ferramentas de análise comportamental para monitorar atividades na rede e identificar comportamentos suspeitos.

Conclusão

Conhecer as ameaças emergentes como o ransomware Eldorado ajuda a fortalecer a segurança cibernética da sua empresa.

Além de buscar informações sobre os potenciais riscos, uma medida essencial para proteger os seus dados é investir em backups, garantindo a capacidade de restaurar dados essenciais em caso de comprometimento.

Se todas as proteções não forem suficientes para proteger a empresa de um ataque, será o backup que irá salvar a organização de um desastre. Portanto, invista em backup, prepare-se para o pior.

Quer investir nas melhores soluções de backup de dados para a sua empresa?

Então conheça a HLTI, uma empresa especialista em infraestrutura de TI, backup e proteção de dados através dos produtos Backup PRO e Veeam Backup & Replication.

As soluções usadas pela HLTI são totalmente compatíveis com os mais diversos sistemas, aplicações, bancos de dados e virtualização, proporcionando, assim, a segurança dos dados da sua empresa.

Acesse o nosso site agora mesmo e encontre as melhores soluções para o backup de dados da sua empresa.

Conheça todos nossos serviços: Proteção de dados | Backup PRO | Veeam Backup | Computação em Nuvem | Firewall | SaaS | Suporte Técnico.

banner-backup-pro