notícia Criminosos atacam Windows e Linux em nova campanha de ransomware

[Claudsoon Ribeiro]

Uma nova ameaça cibernética surge no cenário global com o ransomware Eldorado, que mira tanto sistema Windows quanto Linux. De acordo com pesquisadores da empresa de cibersegurança Group-IB, essa operação de ransomware-as-a-service (RaaS) começou a ganhar força em março deste ano e já causou prejuízos consideráveis a diversas indústrias.

 

A operação começou a ser divulgada em fóruns da dark web, como o RAMP, onde os criminosos buscaram afiliados com habilidades específicas para aderir ao programa. Desde então, a Eldorado conseguiu vitimar 16 organizações, principalmente nos setores de imóveis, educação, saúde e manufatura.

 

Segundo os pesquisadores do Group-IB, a campanha Eldorado não é uma reedição de ameaças antigas e é conduzida por novos atores no mundo do cibercrime. O ransomware foi desenvolvido para atingir aparelhos Windows e Linux, além de hipervisores VMware ESXi.

 

Em dispositivo Linux, os criminosos podem escolher quais diretórios criptografar. Em sistema Windows, é possível especificar diretórios, excluir arquivos locais, direcionar compartilhamentos de rede em sub-redes específicas e evitar a autodestruição do malware. Esta última configuração é padrão, dificultando análises pós-ataque pelas equipes de segurança.

 

O Eldorado utiliza o algoritmo ChaCha20 para criptografar arquivos e gerar uma chave única de 32 bytes para cada arquivo bloqueado. Essas chaves são então criptografadas usando o sistema RSA (Rivest-Shamir-Adleman) e o esquema de preenchimento OAEP (Optimal Asymmetric Encryption Padding).

Após a criptografia, os arquivos recebem a extensão “.00000001” e notas de resgate em formato TXT — com o nome “Como recuperar seus dados” — são colocadas nas pastas Documentos e Desktop.

 

Em Windows, o Eldorado também exclui as shadow copies (backup automático) do sistema para evitar a recuperação dos dados e ignora arquivos DLL, LNK, SYS e EXE, além de diretórios críticos para a inicialização e funcionamento básico do sistema, como forma de prevenir a inutilização completa do aparelho infectado.

 

Apesar de ser um ator recente no mundo do ransomware, o Eldorado rapidamente demonstrou sua capacidade de causar danos significativos aos dados, reputação e continuidade dos negócios das suas vítimas.

 

Conforme o Group-IB, 16 empresas em vários países e setores sofreram os ataques do Eldorado até junho de 2024. Os Estados Unidos foram mais afetados, com 13 organizações atacadas — o que representa 81,25% do número total de incidentes. Houve também evidências de dois ataques na Itália e um único na Croácia.

 

Na página em que relata a descoberta do Eldorado, a Group-IB enfatiza que a proteção contra o ransomware deve incluir a educação dos funcionários sobre os perigos de phishing e engenharia social, além de práticas de segurança robustas, como:

- Implementação de autenticação multifator e soluções de acesso baseadas em credenciais;

- Uso de ferramentas de Detecção e Resposta de Endpoint (EDR) para identificar rapidamente indicadores de ransomware;

- Realização regular de backups de dados para minimizar danos e perdas;

- Utilização de análises baseadas em IA e detonação avançada de malware para resposta em tempo real as intrusões;

- Aplicação periódica de patches de segurança para corrigir vulnerabilidades;

- Treinamento contínuo dos funcionários para reconhecer e relatar ameaças cibernéticas;

- Realização de auditorias técnicas e avaliações de segurança anuais;

- Evitar o pagamento de resgates, pois isso raramente garante a recuperação dos dados e pode levar a novos ataques.

 

Vale lembrar que o Brasil lidera o ranking de ataques cibernéticos de ransomware na América Latina e segue entre os países mais atingidos em escala global. Por essa razão, as organizações brasileiras devem ficar atentas à ameaça representada pela campanha Eldorado.

 

 

Fonte: Group-IB

 

 

[infotecinformat]

Sabe eu fico despreocupado com isso pois acho que ninguém vai vir e invadir conta de pessoas de classe normal mais fico me perguntando como eles fazem para invadir sistemas muito impossíveis de se acessar, já pararam para pensar sobre isso ?

[Claudsoon Ribeiro]

@infotecinformat  Eu já perdi redes sociais e arquivos, logo após instalar programas craqueados vindo de sites classificados como confiança, então sempre fico com pé atrás.