Así opera Eldorado, un nuevo grupo de ransomware que ataca a organizaciones de EE.UU.

En los últimos meses ha llevado a cabo 16 ataques, con 13 centrados en compañías del país norteamericano.

Alberto Payo

Periodista

Guardar

eldorado grupo ransomware
eldorado grupo ransomware

En el panorama del ransomware es común que haya bandas que desaparezcan o se generen nuevas cuando las autoridades lleven a cabo operaciones y desarticulen toda su infraestructura y se hagan con sus códigos de descifrado. 

Pero también es frecuente que, cada cierto tiempo, surjan otras de forma espontánea o con ciertos objetivos concretos. 

Los investigadores de Group-IB han advertido de la existencia de un nuevo grupo de ransomware como servicio (Raas) denominado Eldorado, que parece tener su punto de mira en EE.UU. 

Se trata de un actor de amenazas que habla ruso, con lo que su procedencia podría ser este país. Que tenga al país norteamericano en su diana también es una evidencia de este supuesto origen.

La banda ha estado vinculada con 16 ataques de ransomware hasta junio, con 13 de los cuales relacionados con víctimas estadounidenses. 

El ransomware se focaliza en sectores como la educación, el real estate, los servicios profesionales, la atención médica y el manufacturero

El origen

Esta amenaza fue publicada por primera vez en el foro RAMP en marzo de este año, donde se comunica con sus afiliados. 

"En marzo se publicó un anuncio de un nuevo programa de afiliados en el foro de ransomware “RAMP. El post anunciaba la disponibilidad de un locker y un loader, al tiempo que buscaba pentesters para unirse al equipo", señalan desde Group-IB.

Nuestros analistas se infiltraron en el grupo Eldorado y descubrieron que el representante del grupo hablaba ruso. El creador del ransomware pidió la contraseña del administrador del dominio o el hash NTLM (Windows New Technology LAN Manager ) y otros parámetros para generar muestras de ransomware", añaden. 

Eldorado apunta a servidores VMware ESXi y tiene capacidad para apagar y cifrar las máquinas virtuales antes de cifrar los archivos. 

Esta amenaza encripta archivos en sistemas Windows y Linux y, para ello, utiliza Chacha20 y RSA-OAEP.

Callie Guenther, directora sénior de investigación de amenazas en Critical Start y columnista de SC Media subraya que el enfoque en VMware ESXi subraya el panorama de amenazas en evolución, donde los atacantes apuntan cada vez más a los entornos virtualizados para maximizar el daño.