Nieuwe Ransomware-as-a-Service ‘Eldorado’ richt zich op Windows- en Linux-systemen

Eldorado, een opkomende ransomware-as-a-service (RaaS), bevat lockervarianten om bestanden op Windows- en Linux-systemen te versleutelen.

Eldorado verscheen voor het eerst op 16 maart 2024, toen een advertentie voor het affiliateprogramma werd geplaatst op het ransomwareforum RAMP, aldus Group-IB, gevestigd in Singapore.

Het cybersecuritybedrijf dat de ransomwaregroep infiltreerde, merkte op dat zijn vertegenwoordiger Russischtalig is en dat de malware geen overeenkomsten vertoont met eerder gelekte varianten zoals LockBit of Babuk.

“De Eldorado-ransomware gebruikt Golang voor cross-platform-mogelijkheden, met Chacha20 voor bestandsversleuteling en Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding (RSA-OAEP) voor sleutelversleuteling,” aldus onderzoekers Nikolay Kichatov en Sharmine Low. “Het kan bestanden op gedeelde netwerken versleutelen met behulp van het Server Message Block (SMB)-protocol.”

De encryptietool voor Eldorado is beschikbaar in vier formaten, namelijk esxi, esxi_64, win en win_64. Op de site over datalekken staan ​​al 16 slachtoffers van juni 2024. Dertien van de doelwitten bevinden zich in de VS, twee in Italië en één in Kroatië.

Deze bedrijven zijn actief in verschillende sectoren, zoals vastgoed, onderwijs, professionele dienstverlening, gezondheidszorg en productie.

Uit nadere analyse van de Windows-versie van de artefacten is gebleken dat er een PowerShell-opdracht is gebruikt om de locker te overschrijven met willekeurige bytes voordat het bestand werd verwijderd, in een poging de sporen op te schonen.

Eldorado is de nieuwste toevoeging aan de lijst van nieuwe ransomware-bedrijven die zich richten op dubbele afpersing en die de laatste tijd zijn opgedoken. Voorbeelden hiervan zijn Arcus Media, AzzaSec, dan0n, Limpopo (ook bekend als SOCOTRA, FORMOSA, SEXi), LukaLocker, Shinra en Space Bears. Dit onderstreept nog maar eens hoe hardnekkig en hardnekkig deze dreiging is.

Ransomware als een service

LukaLocker, dat in verband wordt gebracht met een operator die door Halcyon Volcano Demon wordt genoemd, valt op door het feit dat het geen gebruikmaakt van een site met datalekken. In plaats daarvan belt het slachtoffer op om hem af te persen en over betaling te onderhandelen nadat Windows-werkstations en -servers zijn versleuteld.

De ontwikkeling valt samen met de ontdekking van nieuwe Linux-varianten van Mallox (ook bekend als Fargo, TargetCompany, Mawahelper) ransomware en decryptors die gekoppeld zijn aan zeven verschillende builds.

Ransomware als een service

Het is bekend dat Mallox zich verspreidt via brute force-aanvallen op Microsoft SQL-servers en phishing-e-mails die gericht zijn op Windows-systemen. Bij recente inbraken wordt ook gebruikgemaakt van een op .NET gebaseerde loader met de naam PureCrypter.

“De aanvallers gebruiken aangepaste python-scripts om payloads te leveren en informatie van slachtoffers te smokkelen”, aldus Uptycs-onderzoekers Tejaswini Sandapolla en Shilpesh Trivedi. “De malware versleutelt gebruikersgegevens en voegt de extensie .locked toe aan de versleutelde bestanden.”

Een decryptor is ook beschikbaar gesteld voor DoNex en zijn voorgangers (Muse, nep LockBit 3.0 en DarkRace) door Avast door te profiteren van een fout in het cryptografische schema. Het Tsjechische cybersecuritybedrijf zei dat het sinds maart 2024 “in stilte de decryptor” aan slachtoffers heeft verstrekt in samenwerking met rechtshandhavingsorganisaties.

“Ondanks inspanningen van wetshandhaving en verhoogde veiligheidsmaatregelen blijven ransomware-groepen zich aanpassen en floreren”, aldus Group-IB.

Gegevens die Malwarebytes en NCC Group delen op basis van slachtoffers die op de leksites staan, tonen aan dat er in mei 2024 470 ransomware-aanvallen zijn geregistreerd, vergeleken met 356 in april. De meeste aanvallen werden geclaimd door LockBit, Play, Medusa, Akira, 8Base, Qilin en RansomHub.

“De voortdurende ontwikkeling van nieuwe ransomware-stammen en de opkomst van geavanceerde partnerprogramma’s tonen aan dat de dreiging nog lang niet onder controle is”, merkte Group-IB op. “Organisaties moeten waakzaam en proactief blijven in hun cybersecurity-inspanningen om de risico’s van deze voortdurend evoluerende dreigingen te beperken.”

Thijs Van der Does