Recientemente, se ha detectado una nueva amenaza cibernética que pone en riesgo tanto a sistemas operativos Windows como a entornos virtuales VMware ESXi. Se trata del ransomware Eldorado, una sofisticada variante de malware diseñada para cifrar datos críticos y exigir un rescate por su liberación. A medida que las organizaciones dependen cada vez más de las infraestructuras virtuales, es crucial comprender cómo funciona esta amenaza y qué medidas se pueden tomar para protegerse eficazmente.
En marzo apareció un nuevo ransomware como servicio (RaaS) denominado Eldorado, que incluye variantes de bloqueo para VMware ESXi y Windows. Hasta ahora, el grupo detrás de Eldorado ha atacado a 16 víctimas, principalmente en Estados Unidos, afectando sectores como el inmobiliario, educativo, sanitario y manufacturero.
Investigadores de ciberseguridad han seguido de cerca la actividad de Eldorado y han observado que sus operadores están promocionando el servicio malicioso en los foros de RAMP, buscando atraer afiliados calificados para unirse al programa.
Conoce más sobre: Detección de Ataques de Ransomware con Wazuh
Eldorado es un ransomware desarrollado en Go, capaz de cifrar tanto plataformas Windows como Linux mediante dos variantes diferentes que comparten amplias similitudes operativas. Los investigadores obtuvieron un cifrador del desarrollador, acompañado de un manual de usuario que indicaba la disponibilidad de variantes de 32/64 bits para hipervisores VMware ESXi y Windows.
Este ransomware se destaca como un desarrollo único, no dependiendo de fuentes de construcción previamente publicadas. Utiliza el algoritmo ChaCha20 para el cifrado, generando una clave única de 32 bytes y un nonce de 12 bytes para cada archivo bloqueado. Estas claves y nonces se cifran con RSA utilizando el esquema Optimal Asymmetry Encryption Padding (OAEP).
Después de cifrar los archivos, se les añade la extensión ".00000001" y se colocan notas de rescate tituladas "HOW_RETURN_YOUR_DATA.TXT" en las carpetas Documentos y Escritorio.
Eldorado también cifra los recursos compartidos de red utilizando el protocolo SMB para maximizar su impacto y elimina las copias de volumen de sombra en las máquinas Windows comprometidas, evitando así la recuperación de datos.
El ransomware omite archivos DLL, LNK, SYS y EXE, además de archivos y directorios relacionados con el arranque del sistema y la funcionalidad básica, para garantizar que el sistema aún pueda arrancar y funcionar.
Por último, está configurado por defecto para autoeliminarse, lo que le permite evadir la detección y el análisis por parte de los equipos de respuesta.
Los investigadores descubrieron que los afiliados pueden personalizar sus ataques de diversas maneras. En Windows, pueden especificar qué directorios cifrar, omitir archivos locales, apuntar a recursos compartidos de red en subredes específicas y desactivar la autoeliminación del malware. En Linux, la personalización se limita a la configuración de los directorios que se van a cifrar.
Podría interesarte leer: Nuevo Ransomware SEXi: Amenaza para los Servidores VMware ESXi
El ransomware Eldorado es una operación nueva e independiente que no se originó como una nueva marca de otro grupo conocido. La protección contra el ransomware Eldorado requiere un enfoque multifacético que incluya tanto medidas preventivas como reactivas. A continuación te presentamos algunas recomendaciones clave para protegerse contra esta amenaza.
Conoce más sobre: Evita el Pago de Ransomware: Riesgos del Rescate
Implementar estas defensas puede ayudar a mitigar el riesgo y proteger a tu organización contra el ransomware Eldorado y otras amenazas similares. Es crucial mantenerse informado sobre las últimas tendencias en ciberseguridad y adaptar las estrategias de defensa en consecuencia. La educación continua, la actualización de software y la realización de copias de seguridad regulares son pasos fundamentales para minimizar el riesgo de infección por ransomware y garantizar la continuidad del negocio en caso de un ataque.