Pesquisadores de segurança cibernética descobriram novos detalhes sobre a última iteração do Ransomware-as-a-Service (RaaS), conhecido como Eldorado. Este malware sofisticado, projetado para atacar sistemas operacionais Windows e Linux, utiliza a linguagem de programação Golang para facilitar seus ataques multiplataforma.
VEJA TAMBÉM: Como Escolher o Melhor Firewall para sua Empresa?
Principais Características do Eldorado Ransomware
O Eldorado ransomware se distingue por várias características técnicas que aumentam sua eficácia e capacidade de propagação. Utilizando Golang, uma linguagem de programação conhecida por sua capacidade de compilação cruzada e execução em múltiplas plataformas, o Eldorado é capaz de atacar tanto sistemas Windows quanto Linux com eficiência.
Métodos de Criptografia
O malware utiliza algoritmos avançados de criptografia para proteger os dados que sequestra. Para a criptografia de arquivos, o Eldorado emprega o Chacha20, um algoritmo de cifra de fluxo rápido e seguro. Para a criptografia de chaves, utiliza o Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding (RSA-OAEP), um esquema de criptografia assimétrica que adiciona uma camada adicional de segurança.
Movimentação Lateral e Propagação
Uma das capacidades críticas do Eldorado é sua habilidade de movimentação lateral, facilitada através de verificações de drives USB. Esta funcionalidade permite ao ransomware detectar e infectar mídias removíveis, copiando-se automaticamente para esses dispositivos e usando técnicas de ofuscação para evitar a detecção por softwares de segurança. Quando um drive USB infectado é conectado a outro sistema, o malware se propaga, aumentando seu alcance.
Modelo Operacional e Recrutamento de Afiliados
O Eldorado ransomware opera através de um modelo de afiliação, recrutando indivíduos com habilidades técnicas específicas através de fóruns subterrâneos como o RAMP. Este modelo de Ransomware-as-a-Service (RaaS) permite que os desenvolvedores ofereçam recursos customizáveis aos seus afiliados, que podem adaptar os ataques a redes e organizações específicas. Este modelo inclui a possibilidade de ajustar parâmetros durante a construção do malware, como redes-alvo, nomes de empresas e detalhes da nota de resgate.
Fóruns e Comunicação Segura
Os recrutadores usam fóruns como o RAMP para buscar afiliados, oferecendo detalhes de contato através de mensageiros privados como Tox, Jabber e Session. Estas plataformas garantem uma comunicação segura e discreta entre os potenciais afiliados e os organizadores das redes cibernéticas.
Impacto Global
Desde junho de 2024, o Eldorado ransomware já vitimou várias empresas, com 16 casos confirmados. A maioria das vítimas está localizada nos Estados Unidos, mas o malware também afetou setores globalmente, incluindo imobiliário, saúde e educação. Dados de plataformas de vazamento de dados indicam que os ataques estão se tornando cada vez mais frequentes e sofisticados.
Recomendações de Segurança com NGFW
Para mitigar os riscos associados ao Eldorado ransomware e outras ameaças semelhantes, é essencial implementar uma série de medidas de segurança robustas. As soluções Next-Generation Firewall (NGFW) da Check Point e Fortinet oferecem várias funcionalidades avançadas que podem ajudar a proteger sua organização contra ataques de ransomware:
Inspeção de Tráfego Criptografado: NGFWs podem inspecionar o tráfego criptografado para detectar e bloquear atividades maliciosas ocultas dentro do tráfego SSL/TLS, uma técnica comum usada por ransomware para se esconder das defesas tradicionais.
Prevenção de Ameaças: Utilizando inteligência de ameaças em tempo real, os NGFWs identificam e bloqueiam tentativas de exploração de vulnerabilidades e distribuição de malware, incluindo ransomware.
Controle de Aplicações: A capacidade de identificar, controlar e monitorar o uso de aplicativos na rede ajuda a prevenir o uso de aplicações não autorizadas que podem ser vetores para ataques de ransomware.
Segmentação de Rede: A segmentação baseada em políticas permite isolar segmentos críticos da rede, reduzindo a superfície de ataque e impedindo a movimentação lateral do ransomware dentro da rede.
Análise Comportamental: Ferramentas de análise comportamental monitoram a atividade da rede em busca de comportamentos anômalos que possam indicar a presença de ransomware ou outras atividades maliciosas.
Diante do aumento das ameaças de ransomware, é crucial que as organizações estejam preparadas para se defender contra esses ataques. A International IT oferece soluções avançadas de Next-Generation Firewall (NGFW) da Check Point e Fortinet, projetadas para fornecer uma defesa robusta contra ameaças cibernéticas.
Agende uma apresentação técnica agora para descobrir como nossas soluções NGFW podem proteger sua infraestrutura contra ataques de ransomware e outras ameaças avançadas. Entre em contato conosco e fortaleça sua segurança cibernética hoje mesmo.
