O ransomware Eldorado surgiu recentemente no cenário cibernético, representando um perigo significativo para empresas que operam em sistemas Windows e Linux. Essa operação de ransomware-as-a-service (RaaS) se destaca por sua rápida proliferação e pelos danos consideráveis que já causou a diversas organizações.
Ataques Direcionados e Criptografia Robusta
O diferencial do Eldorado reside na sua capacidade de atacar tanto sistemas Windows quanto Linux, incluindo hipervisores VMware ESXi. Nos dispositivos Linux, os criminosos podem selecionar os diretórios específicos a serem criptografados, enquanto nos sistemas Windows, é possível configurar diversas opções, como:
- Definição de diretórios e exclusão de arquivos locais: Permite o controle preciso dos dados a serem criptografados.
- Segmentação de compartilhamentos de rede: Ataques direcionados a sub-redes específicas.
- Prevenção de autodestruição do malware: Dificulta a análise forense pelas equipes de segurança.
O Eldorado utiliza o algoritmo ChaCha20 para criptografar cada arquivo com uma chave única de 32 bytes, e posteriormente criptografa essas chaves usando o sistema RSA (Rivest-Shamir-Adleman) com o esquema de preenchimento OAEP (Optimal Asymmetric Encryption Padding). As vítimas são identificadas por meio de uma extensão específica adicionada aos arquivos (.00000001) e recebem notas de resgate em formato TXT intituladas "Como recuperar seus dados".
Impacto Significativo e Prevenção Essencial
Embora seja uma ameaça recente, o Eldorado já causou um impacto significativo em suas vítimas, comprometendo dados, reputação e a continuidade dos negócios. Até junho de 2024, 16 empresas em diversos países e setores foram alvos, com os Estados Unidos sendo o principal alvo (81,25% dos incidentes).
Para se proteger contra essa ameaça, as empresas devem implementar medidas robustas de segurança, como:
- Educação dos funcionários: Conscientizar os colaboradores sobre os perigos do phishing e da engenharia social.
- Autenticação multifator e soluções de acesso baseadas em credenciais: Reforçar o controle de acesso aos sistemas.
- Ferramentas de Detecção e Resposta de Endpoint (EDR): Identificar rapidamente indicadores de ransomware.
- Backups regulares de dados: Minimizar perdas em caso de ataque.
- Análises baseadas em IA e detonação avançada de malwares: Responder a intrusões em tempo real.
- Aplicação de patches de segurança: Corrigir vulnerabilidades e brechas de segurança.
- Treinamento contínuo dos funcionários: Manter a equipe atualizada sobre as últimas ameaças cibernéticas.
- Auditorias técnicas e avaliações de segurança anuais: Garantir a robustez da infraestrutura de TI.
- Evitar o pagamento de resgates: Não há garantia de recuperação dos dados e pode incentivar novos ataques.
Um Alerta para o Brasil
O Brasil se destaca como um dos principais alvos de ataques cibernéticos por ransomware na América Latina, figurando também entre os países mais afetados globalmente. Diante dessa realidade, as empresas brasileiras devem estar ainda mais atentas à ameaça representada pelo Eldorado e tomar as medidas cabíveis para se proteger.
Lembre-se: A segurança cibernética é um processo contínuo que exige investimento constante e medidas proativas para garantir a proteção dos dados e da infraestrutura de TI.
Fonte: Group-IB
%20(1).png)
.jpeg)
