{"id":20240,"date":"2024-07-11T19:20:53","date_gmt":"2024-07-11T22:20:53","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=20240"},"modified":"2024-07-11T19:23:11","modified_gmt":"2024-07-11T22:23:11","slug":"ransomware-as-a-service-eldorado-alvo-de-sistemas-windows-e-linux","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/07\/basico\/ransomware-as-a-service-eldorado-alvo-de-sistemas-windows-e-linux\/","title":{"rendered":"Ransomware-as-a-Service ‘Eldorado’ alvo de sistemas Windows e Linux"},"content":{"rendered":"\n

Uma nova opera\u00e7\u00e3o de ransomware-as-a-service (RaaS) chamada Eldorado surge com variantes de bloqueio para criptografar arquivos em sistemas Windows e Linux.<\/p>\n

\u00a0<\/p>\n

O Eldorado apareceu pela primeira vez em 16 de mar\u00e7o de 2024, quando um an\u00fancio para o programa de afiliados foi postado no f\u00f3rum de ransomware RAMP, conforme relatado pela Group-IB, com sede em Cingapura. A empresa de ciberseguran\u00e7a, que infiltrou o grupo de ransomware, observou que seu representante utiliza idioma russo e que o malware n\u00e3o se sobrep\u00f5e a variantes previamente vazadas, como LockBit ou Babuk.<\/p>\n

\u00a0<\/p>\n

“O ransomware Eldorado usa Golang para capacidades multiplataforma, empregando Chacha20 para criptografia de arquivos e Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding (RSA-OAEP) para criptografia de chaves”, informaram os pesquisadores Nikolay Kichatov e Sharmine Low. “Ele pode criptografar arquivos em redes compartilhadas usando o protocolo Server Message Block (SMB).”<\/p>\n

\u00a0<\/p>\n

O criptografador do Eldorado est\u00e1 dispon\u00edvel em quatro formatos, a saber, esxi, esxi_64, win e win_64, com seu site de vazamento de dados j\u00e1 listando 16 v\u00edtimas em junho de 2024. Treze dos alvos est\u00e3o localizados nos EUA, dois na It\u00e1lia e um na Cro\u00e1cia. Essas empresas abrangem v\u00e1rios setores industriais, como imobili\u00e1rio, educa\u00e7\u00e3o, servi\u00e7os profissionais, sa\u00fade e manufatura, entre outros.<\/p>\n

\u00a0<\/p>\n

Uma an\u00e1lise mais aprofundada dos artefatos da vers\u00e3o para Windows revelou o uso de um comando PowerShell para sobrescrever o locker com bytes aleat\u00f3rios antes de excluir o arquivo, na tentativa de limpar os rastros.<\/p>\n

\u00a0<\/p>\n

O Eldorado \u00e9 o mais recente da lista de novos jogadores de ransomware de dupla extors\u00e3o que surgiram recentemente, incluindo Arcus Media, AzzaSec, Brain Cipher, dan0n, Limpopo (tamb\u00e9m conhecido como SOCOTRA, FORMOSA, SEXi), LukaLocker, Shinra e Space Bears, destacando mais uma vez a natureza duradoura e persistente da amea\u00e7a.<\/p>\n

\u00a0<\/p>\n

\"Ransomware-as-a-Service\"<\/a><\/div>\n

\u00a0<\/p>\n

O LukaLocker, ligado a um operador apelidado de Volcano Demon pela Halcyon, \u00e9 not\u00e1vel pelo fato de n\u00e3o utilizar um site de vazamento de dados e, em vez disso, ligar para a v\u00edtima por telefone para extorquir e negociar o pagamento ap\u00f3s criptografar esta\u00e7\u00f5es de trabalho e servidores Windows. O desenvolvimento coincide com a descoberta de novas variantes Linux do ransomware Mallox (tamb\u00e9m conhecido como Fargo, TargetCompany e Mawahelper), bem como de descriptografadores associados a sete builds diferentes.<\/p>\n

\u00a0<\/p>\n

O Mallox \u00e9 conhecido por ser propagado por for\u00e7a bruta em servidores Microsoft SQL e e-mails de phishing para atacar sistemas Windows, com intrus\u00f5es recentes tamb\u00e9m fazendo uso de um carregador baseado em .NET chamado PureCrypter. “Os atacantes est\u00e3o usando scripts Python personalizados para fins de entrega de payload e exfiltra\u00e7\u00e3o de informa\u00e7\u00f5es da v\u00edtima”, relataram os pesquisadores da Uptycs Tejaswini Sandapolla e Shilpesh Trivedi. “O malware criptografa os dados do usu\u00e1rio e adiciona a extens\u00e3o .locked aos arquivos criptografados.”<\/p>\n

\u00a0<\/p>\n

\"Ransomware-as-a-Service\"<\/a><\/div>\n

\u00a0<\/p>\n

Um descriptografador tamb\u00e9m foi disponibilizado para DoNex e seus predecessores (Muse, fake LockBit 3.0 e DarkRace) pela Avast, aproveitando uma falha no esquema criptogr\u00e1fico. A empresa de ciberseguran\u00e7a tcheca disse que tem “fornecido silenciosamente o descriptografador” \u00e0s v\u00edtimas desde mar\u00e7o de 2024, em parceria com organiza\u00e7\u00f5es de aplica\u00e7\u00e3o da lei.<\/p>\n

\u00a0<\/p>\n

“Apesar dos esfor\u00e7os das autoridades e do aumento das medidas de seguran\u00e7a, os grupos de ransomware continuam a se adaptar e prosperar”, informou a Group-IB. Dados compartilhados pela Malwarebytes e NCC Group, com base nas v\u00edtimas listadas nos sites de vazamento, mostram que 470 ataques de ransomware foram registrados em maio de 2024, acima dos 356 em abril. A maioria dos ataques foi reivindicada por LockBit, Play, Medusa, Akira, 8Base, Qilin e RansomHub.<\/p>\n

\u00a0<\/p>\n

“O desenvolvimento cont\u00ednuo de novas variantes de ransomware e o surgimento de programas de afiliados sofisticados demonstram que a amea\u00e7a est\u00e1 longe de ser contida”, observou a Group-IB. “As organiza\u00e7\u00f5es devem permanecer vigilantes e proativas em seus esfor\u00e7os de ciberseguran\u00e7a para mitigar os riscos representados por essas amea\u00e7as em constante evolu\u00e7\u00e3o.”<\/p>\n

\u00a0<\/p>\n

Fonte: https:\/\/thehackernews.com\/2024\/07\/new-ransomware-as-service-eldorado.html<\/a><\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Uma nova opera\u00e7\u00e3o de ransomware-as-a-service (RaaS) chamada Eldorado surge com variantes de bloqueio para criptografar arquivos em sistemas Windows e Linux. \u00a0 O Eldorado apareceu pela primeira vez em 16 de mar\u00e7o de 2024, quando um an\u00fancio para o programa de afiliados foi postado no f\u00f3rum de ransomware RAMP, conforme relatado pela Group-IB, com sede […]<\/p>\n","protected":false},"author":2,"featured_media":20242,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-20240","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/20240","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=20240"}],"version-history":[{"count":2,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/20240\/revisions"}],"predecessor-version":[{"id":20243,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/20240\/revisions\/20243"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/20242"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=20240"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=20240"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=20240"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}