Pesquisadores da empresa de segurança Group-IB localizaram uma nova oferta de ransomware como serviço (RaaS ou ransomware as a service) chamada “Eldorado”. O novo ransomware teria surgido em março deste ano. Escrito em Golang, o malware e tem como alvo sistemas Windows e Linux. Os pesquisadores explicam que “existem versões Eldorado para Windows (32 bits e 64 bits) e Linux (32 bits e 64 bits). A escolha de usar a linguagem de programação Go pode ser devido aos seus recursos de plataforma cruzada. código em binários nativos e independentes pode ser a razão pela qual os autores de malware favoreceram o desenvolvimento em Golang”. Há também variantes para VMware ESXi.
Veja isso
Malware para Linux mira servidor em nuvem mal configurado
A cada minuto, um sistema é atingido por ataque, diz relatório
O novo ransomware já teria feito 16 vítimas, a maioria delas nos EUA, nos setores imobiliário, educacional, de saúde e industrial. O grupo que desenvolveu o Eldorado também administra um site de vazamento de dados que lista os nomes de suas vítimas e possivelmente publica documentos roubados. De acordo com pesquisadores do Group-IB, que se infiltraram na operação, os afiliados podem personalizar seus ataques. Por exemplo, no Windows, eles podem especificar quais diretórios criptografar, pular arquivos locais, mirar compartilhamentos de rede em sub-redes específicas e impedir a autoexclusão do malware.
O Group-IB diz que o Eldorado é um empreendimento único “e não depende de fontes de desenvolvedores publicadas anteriormente”. O malware usa o algoritmo ChaCha20 para criptografia e gera uma chave única de 32 bytes e um nonce de 12 bytes para cada um dos arquivos bloqueados. As chaves e nonces são então criptografados usando RSA com o esquema Optimal Asymmetric Encryption Padding (OAEP).
Após o estágio de criptografia, os arquivos recebem a extensão “.00000001” e notas de resgate chamadas “HOW_RETURN_YOUR_DATA.TXT” são colocadas nas pastas Documentos e Área de Trabalho.
