Um novo ransomware como serviço (RaaS) chamado Eldorado surgiu em março e já atacou 16 vítimas nos Estados Unidos, principalmente nos setores imobiliário, educacional, de saúde e manufatura. Desenvolvido em Go, o Eldorado possui variantes para Windows e VMware ESXi, conseguindo criptografar ambos os sistemas operacionais. Os operadores do Eldorado promovem o serviço malicioso em fóruns como o RAMP, buscando recrutar afiliados qualificados para expandir suas operações.
Pesquisadores de cibersegurança estão monitorando a atividade do Eldorado e obtiveram um criptografador do desenvolvedor. Eles descobriram que o Eldorado utiliza o algoritmo ChaCha20 para criptografia, gerando uma chave única de 32 bytes e um nonce de 12 bytes para cada arquivo criptografado. Essas chaves são então criptografadas usando RSA com o esquema de preenchimento OAEP. Após a criptografia, os arquivos recebem a extensão “.00000001” e notas de resgate nomeadas “HOW_RETURN_YOUR_DATA.TXT” são deixadas nas pastas Documentos e Desktop.
Além de criptografar arquivos locais, o Eldorado também atinge compartilhamentos de rede utilizando o protocolo de comunicação SMB, maximizando seu impacto. Ele também apaga cópias de sombra nos sistemas Windows comprometidos para impedir a recuperação dos dados, tornando a recuperação dos arquivos ainda mais difícil para as vítimas.
Para evitar a detecção, o ransomware Eldorado não criptografa arquivos DLL, LNK, SYS e EXE, além de evitar arquivos e diretórios essenciais para o boot e a funcionalidade básica do sistema. Dessa forma, ele assegura que o sistema não se torne inoperável, o que poderia atrair a atenção imediata dos administradores de sistemas. O Eldorado está configurado para se autodeletar após a execução, ajudando a evadir a análise forense e dificultando a resposta das equipes de segurança.