En el panorama cibernético actual, un nuevo ransomware como servicio (RaaS) llamado Eldorado ha emergido, causando estragos en diversas industrias. Desde su aparición, Eldorado ha afectado a 16 víctimas, principalmente en Estados Unidos, abarcando sectores como el inmobiliario, educativo, sanitario y manufacturero.
Características del Ransomware Eldorado
Investigadores de la empresa de ciberseguridad Group-IB han estado monitorizando la actividad de Eldorado. Según sus informes, los operadores de Eldorado han estado promoviendo este servicio malicioso en foros como RAMP, buscando afiliados capacitados para unirse al programa.
Eldorado, basado en el lenguaje de programación Go, tiene la capacidad de cifrar tanto plataformas Windows como Linux a través de dos variantes distintas pero operativamente similares. Los investigadores han obtenido un cifrador del desarrollador, el cual incluye un manual de usuario indicando que hay variantes disponibles de 32/64 bits para los hipervisores VMware ESXi y Windows.
El ransomware utiliza el algoritmo de cifrado ChaCha20, generando una clave única de 32 bytes y un nonce de 12 bytes para cada archivo cifrado. Estas claves y nonces se cifran posteriormente mediante RSA con el esquema de relleno de cifrado asimétrico óptimo (OAEP).
Modus Operandi del Ransomware
Después de cifrar los archivos, Eldorado añade la extensión «.00000001» a los mismos y deja notas de rescate tituladas «HOW_RETURN_YOUR_DATA.TXT» en las carpetas Documentos y Escritorio. Además, cifra los recursos compartidos de red utilizando el protocolo de comunicación SMB y elimina instantáneas de volumen en las máquinas Windows comprometidas para dificultar la recuperación de datos.
El malware está diseñado para omitir ciertos archivos críticos del sistema (DLL, LNK, SYS y EXE) para evitar que el sistema quede inutilizado. Por defecto, Eldorado se autodestruye para evadir la detección y el análisis por parte de los equipos de respuesta.
Flexibilidad y Personalización
Una de las características destacadas de Eldorado es la capacidad de los afiliados para personalizar sus ataques. En sistemas Windows, pueden especificar qué directorios cifrar, omitir ciertos archivos locales, apuntar a recursos compartidos de red en subredes específicas y evitar la autoeliminación del malware. En sistemas Linux, los parámetros de personalización se limitan a la configuración de los directorios a cifrar.
Recomendaciones de Defensa
Group-IB subraya que Eldorado es una amenaza nueva e independiente, y no un cambio de marca de otro grupo de ransomware conocido. A pesar de ser relativamente nuevo, Eldorado ha demostrado su capacidad para infligir daños significativos en los datos, la reputación y la continuidad del negocio de sus víctimas en un corto período.
Para protegerse contra Eldorado y otros ataques de ransomware, Group-IB recomienda:
- Implementar autenticación multifactor (MFA) y soluciones de acceso basadas en credenciales.
- Utilizar herramientas de Detección y Respuesta de Endpoints (EDR) para identificar y responder rápidamente a indicadores de ransomware.
- Realizar copias de seguridad de los datos regularmente para minimizar los daños y la pérdida de información.
- Aplicar parches de seguridad de manera prioritaria y regular para corregir vulnerabilidades.
- Capacitar a los empleados en la identificación y reporte de amenazas de ciberseguridad.
- Realizar auditorías técnicas anuales o evaluaciones de seguridad y mantener una higiene digital adecuada.
- Abstenerse de pagar rescates, ya que esto rara vez garantiza la recuperación de datos y puede incentivar más ataques.
Eldorado representa una evolución significativa en las tácticas de ransomware, subrayando la necesidad de que las organizaciones mantengan medidas de ciberseguridad robustas y actualizadas para protegerse contra amenazas emergentes.
