Un recente rapporto di Group-IB ha rivelato l’emergere di un nuovo ransomware altamente sofisticato, noto come Eldorado, che sta seminando il panico negli ambienti Windows e VMware ESXi, principalmente negli Stati Uniti, colpendo settori come l’istruzione, il settore immobiliare e la sanità.
Apparso per la prima volta nel marzo scorso sul forum RAMP, Eldorado ha immediatamente attirato l’attenzione per la sua versatilità e per la sua capacità di colpire piattaforme diverse.
Indice degli argomenti
Il nuovo malware Eldorado
Eldorado ha fatto il suo debutto distribuendo versioni per Windows e Linux, promuovendo il proprio programma di affiliazione (ransomware-as-a-service) con l’intento di attirare partner esperti.
Group-IB, che è riuscita a infiltrarsi nell’operazione, ha sottolineato come Eldorado permetta agli affiliati di personalizzare gli attacchi, specificando directory da criptare e bersagliando le condivisioni di rete su Windows.
La personalizzazione su Linux è attualmente limitata alla definizione delle directory per la criptazione.
Il ransomware sfrutta le capacità di cross-compiling dei programmi scritti in Go, permettendo la creazione di binari nativi auto-contenuti. “Eldorado utilizza Golang per le capacità cross-platform, impiegando Chacha20 per la crittografia dei file e RSA-OAEP per la crittografia delle chiavi,” hanno scritto i ricercatori di Group-IB.
È in grado di criptare i file su reti condivise utilizzando il protocollo Server Message Block (SMB).
Un’altra caratteristica devastante di Eldorado è la capacità di cancellare le copie shadow volume, rendendo difficile il recupero dei dati criptati. Per evitare di compromettere la funzionalità del sistema, il ransomware evita di criptare file di sistema critici e si autodistrugge dopo l’attacco per eludere la rilevazione.
Jason Soroko, vicepresidente senior di prodotto presso Sectigo, sottolinea che Eldorado sfrutta tattiche di “living off the land”, utilizzando strumenti nativi e legittimi già presenti sui sistemi infetti. “Windows WMI e PowerShell sono esempi”, spiega. “Questi strumenti possono essere usati per muoversi lateralmente o criptare risorse.” Soroko aggiunge che Eldorado può essere configurato per non colpire file essenziali per il normale funzionamento di Windows, come le DLL, il che rende questo malware altamente configurabile e pericoloso.
Impatto sui sistemi virtualizzati
Callie Guenther, senior manager della ricerca sulle minacce informatiche presso Critical Start, osserva che la capacità di Eldorado di spegnere e criptare le macchine virtuali (VM) prima di criptare i file potrebbe avere un impatto significativo sulla continuità operativa e sulla disponibilità dei dati. “L’attenzione su VMware ESXi sottolinea l’evoluzione del panorama delle minacce, dove gli attaccanti puntano sempre più spesso agli ambienti virtualizzati per massimizzare i danni”, aggiunge.
Ngoc Bui, esperto di cybersecurity presso Menlo Security, evidenzia che la capacità di infettare più sistemi operativi è particolarmente preoccupante, in quanto espande la portata dell’attacco. “Tuttavia, è la combinazione dei metodi di crittografia e la creazione del ransomware da zero che merita attenzione,” spiega. “Questo indica la presenza di coder di ransomware esperti nelle loro fila, il che implica risorse significative dietro il gruppo”.
Alcune raccomandazioni utili
Bui consiglia alle organizzazioni di garantire che i loro analisti di intelligence sulle minacce monitorino attentamente questo gruppo e condividano informazioni utili con altre unità aziendali per prevenire possibili infezioni.
Per una difesa proattiva, Soroko suggerisce di mantenere i sistemi aggiornati con le patch più recenti, utilizzare forme di autenticazione più robuste e continuare a monitorare i segni di questo malware.
Eldorado rappresenta una nuova e seria minaccia nel panorama della cybersecurity. Con la sua capacità di attaccare ambienti diversi e di evitare la rilevazione tramite tecniche avanzate, le organizzazioni devono rimanere vigili e adottare misure preventive per proteggersi.
Seguendo un attivo monitoraggio da questo punto di vista, delle rivendicazioni in atto, il prossimo futuro dirà se Eldorado riuscirà a consolidare la sua posizione tra i ransomware più pericolosi, ma le prime indicazioni suggeriscono che potrebbe diventare un attore significativo nel mondo del crimine informatico.
