O cenário global de cibersegurança enfrenta uma nova ameaça com o ransomware Eldorado, que ataca tanto sistemas Windows quanto Linux. Pesquisadores da empresa de cibersegurança Group-IB identificaram que essa operação de ransomware-as-a-service (RaaS) começou a ganhar força em março deste ano, já afetando significativamente diversas indústrias.
Ransomware Eldorado
De acordo com os pesquisadores do Group-IB, a campanha Eldorado é conduzida por novos atores no mundo do cibercrime e não se trata de uma reedição de ameaças antigas. O ransomware foi desenvolvido para atingir aparelhos Windows e Linux, além de hipervisores VMware ESXi.
Nos dispositivos Linux, os criminosos podem escolher quais diretórios criptografar. Nos sistemas Windows, é possível especificar diretórios, excluir arquivos locais, direcionar compartilhamentos de rede em sub-redes específicas e evitar a autodestruição do malware, dificultando as análises pós-ataque pelas equipes de segurança.
O Eldorado utiliza o algoritmo ChaCha20 para criptografar arquivos, gerando uma chave única de 32 bytes para cada arquivo bloqueado. Essas chaves são então criptografadas usando o sistema RSA (Rivest-Shamir-Adleman) e o esquema de preenchimento OAEP (Optimal Asymmetric Encryption Padding). Após a criptografia, os arquivos recebem a extensão “.00000001” e notas de resgate em formato TXT — com o nome “Como recuperar seus dados” — são colocadas nas pastas Documentos e Desktop.
No Windows, o Eldorado também exclui as shadow copies (backup automático) do sistema para evitar a recuperação dos dados e ignora arquivos DLL, LNK, SYS e EXE, além de diretórios críticos para a inicialização e funcionamento básico do sistema, prevenindo a inutilização completa do aparelho infectado.
Impacto e Proteção contra o Ransomware
Apesar de ser um ator recente no mundo do ransomware, o Eldorado rapidamente demonstrou sua capacidade de causar danos significativos aos dados, reputação e continuidade dos negócios de suas vítimas. Segundo o Group-IB, 16 empresas em vários países e setores sofreram ataques do Eldorado até junho de 2024, com os Estados Unidos sendo os mais afetados, representando 81,25% dos incidentes. Houve também evidências de dois ataques na Itália e um na Croácia.
Para se proteger contra o ransomware, a Group-IB enfatiza a importância da educação dos funcionários sobre os perigos de phishing e engenharia social, além de práticas de segurança robustas, como:
Implementação de autenticação multifator e soluções de acesso baseadas em credenciais;
Uso de ferramentas de Detecção e Resposta de Endpoint (EDR) para identificar rapidamente indicadores de ransomware;
Realização regular de backups de dados para minimizar danos e perdas;
Utilização de análises baseadas em IA e detonação avançada de malwares para resposta em tempo real a intrusões;
Aplicação periódica de patches de segurança para corrigir vulnerabilidades;
Treinamento contínuo dos funcionários para reconhecer e relatar ameaças cibernéticas;
Realização de auditorias técnicas e avaliações de segurança anuais;
Evitar o pagamento de resgates, pois isso raramente garante a recuperação dos dados e pode levar a novos ataques.
O Brasil, líder em ataques cibernéticos de ransomware na América Latina, também deve ficar atento à ameaça representada pela campanha Eldorado. As organizações brasileiras precisam adotar medidas preventivas para se proteger contra essa nova ameaça cibernética.
De acordo com os pesquisadores do Group-IB, a campanha Eldorado é conduzida por novos atores no mundo do cibercrime e não se trata de uma reedição de ameaças antigas
O Eldorado utiliza o algoritmo ChaCha20 para criptografar arquivos, gerando uma chave única de 32 bytes para cada arquivo bloqueado
O Brasil, líder em ataques cibernéticos de ransomware na América Latina, também deve ficar atento à ameaça representada pela campanha Eldorado
O ransomware Eldorado surge como uma nova ameaça cibernética, mirando sistemas Windows e Linux e causando prejuízos consideráveis a diversas indústrias
Comentarios