Una operaci\u00f3n emergente de ransomware como servicio (RaaS) llamada Eldorado viene con variantes de bloqueo para cifrar archivos en sistemas Windows y Linux.<\/p>\n
Eldorado apareci\u00f3 por primera vez el 16 de marzo de 2024, cuando se public\u00f3 un anuncio del programa de afiliados en el foro de ransomware RAMP, dijo Group-IB, con sede en Singapur.<\/p>\n
La empresa de ciberseguridad, que se infiltr\u00f3 en el grupo de ransomware, se\u00f1al\u00f3 que su representante habla ruso y que el malware no se superpone con cepas filtradas anteriormente como LockBit o Babuk.<\/p>\n
“El ransomware Eldorado utiliza Golang para capacidades multiplataforma, empleando Chacha20 para el cifrado de archivos y Rivest Shamir Adleman-Optimal Asymmetry Encryption Padding (RSA-OAEP) para el cifrado de claves”, dijeron los investigadores Nikolay Kichatov y Sharmine Low. dicho<\/a>“Puede cifrar archivos en redes compartidas utilizando el protocolo Server Message Block (SMB)”.<\/p>\n El cifrador de Eldorado viene en cuatro formatos, a saber, esxi, esxi_64, win y win_64, y su sitio de filtraci\u00f3n de datos ya enumera 16 v\u00edctimas de junio de 2024. Trece de los objetivos se encuentran en los EE. UU., dos en Italia y uno en Croacia.<\/p>\n Estas empresas abarcan diversos sectores industriales, como bienes ra\u00edces, educaci\u00f3n, servicios profesionales, atenci\u00f3n m\u00e9dica y manufactura, entre otros.<\/p>\n Un an\u00e1lisis m\u00e1s detallado de la versi\u00f3n de Windows de los artefactos revel\u00f3 el uso de un comando de PowerShell para sobrescribir el bloqueador con bytes aleatorios antes de eliminar el archivo en un intento de limpiar los rastros.<\/p>\n Eldorado es el \u00faltimo en la lista de nuevos actores de ransomware de doble extorsi\u00f3n que han surgido en los \u00faltimos tiempos, incluidos Medios de comunicaci\u00f3n Arcus<\/a>, AzzaSec<\/a>, dan0n<\/a>, Limpopo<\/a> (tambi\u00e9n conocidas como SOCOTRA, FORMOSA, SEXi), Casillero Luka<\/a>, Shinra<\/a>y Osos espaciales<\/a> destacando una vez m\u00e1s la naturaleza duradera y persistente de la amenaza.<\/p>\n LukaLocker, vinculado a un operador denominado Volcano Demon por Halcyon, se destaca por el hecho de que no hace uso de un sitio de filtraci\u00f3n de datos y en su lugar llama a la v\u00edctima por tel\u00e9fono para extorsionar y negociar el pago despu\u00e9s de cifrar las estaciones de trabajo y servidores de Windows.<\/p>\n El desarrollo coincide con el descubrimiento de nuevas variantes de Linux del ransomware Mallox (tambi\u00e9n conocido como Fargo, TargetCompany, Mawahelper), as\u00ed como descifradores asociados con siete compilaciones diferentes.<\/p>\n Se sabe que Mallox se propaga mediante ataques de fuerza bruta a servidores Microsoft SQL y correos electr\u00f3nicos de phishing dirigidos a sistemas Windows; en intrusiones recientes tambi\u00e9n se hace uso de un cargador basado en .NET llamado PureCrypter.<\/p>\n “Los atacantes est\u00e1n utilizando scripts de Python personalizados con el prop\u00f3sito de entregar la carga \u00fatil y exfiltrar la informaci\u00f3n de las v\u00edctimas”, dijeron los investigadores de Uptycs Tejaswini Sandapolla y Shilpesh Trivedi. dicho<\/a>“El malware cifra los datos del usuario y a\u00f1ade la extensi\u00f3n .locked a los archivos cifrados”.<\/p>\n Avast tambi\u00e9n ha puesto a disposici\u00f3n un descifrador para DoNex y sus predecesores (Muse, el falso LockBit 3.0 y DarkRace) aprovechando un fallo en el esquema criptogr\u00e1fico. La empresa checa de ciberseguridad dicho<\/a> Ha estado “proporcionando silenciosamente el descifrador” a las v\u00edctimas desde marzo de 2024 en asociaci\u00f3n con organizaciones policiales.<\/p>\n “A pesar de los esfuerzos de aplicaci\u00f3n de la ley y el aumento de las medidas de seguridad, los grupos de ransomware contin\u00faan adapt\u00e1ndose y prosperando”, afirm\u00f3 Group-IB.<\/p>\n Datos compartidos por Bit\u00e1coras de malware<\/a> y Grupo NCC<\/a> Seg\u00fan las v\u00edctimas que figuran en los sitios de filtraci\u00f3n, en mayo de 2024 se registraron 470 ataques de ransomware, frente a los 356 de abril. La mayor\u00eda de los ataques fueron reivindicados por LockBit, Play, Medusa, Akira, 8Base, Qilin y RansomHub.<\/p>\n “El desarrollo continuo de nuevas cepas de ransomware y la aparici\u00f3n de sofisticados programas de afiliados demuestran que la amenaza est\u00e1 lejos de estar contenida”, se\u00f1al\u00f3 Group-IB. “Las organizaciones deben permanecer vigilantes y proactivas en sus esfuerzos de ciberseguridad para mitigar los riesgos que plantean estas amenazas en constante evoluci\u00f3n”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/El-nuevo-ransomware-como-servicio-Eldorado-ataca-sistemas-Windows-y.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n