Ransomware-as-a-service (RaaS) baru yang disebut Eldorado muncul pada bulan Maret dan hadir dengan varian loker untuk VMware ESXi dan Windows.

Tim ini telah mengklaim 16 korban, kebanyakan dari mereka di AS, di sektor real estat, pendidikan, perawatan kesehatan, dan manufaktur. Para peneliti di perusahaan cybersecurity Group-IB memantau aktivitas Eldorado dan melihat operatornya mempromosikan layanan berbahaya di forum RAMP dan mencari afiliasi yang terampil untuk bergabung dengan program ini. Eldorado juga menjalankan situs kebocoran data yang mencantumkan korban tetapi sedang down pada saat penulisan.

Mengenkripsi Windows dan Linux

Eldorado adalah ransomware berbasis Go yang dapat mengenkripsi platform Windows dan Linux melalui dua varian berbeda dengan kesamaan operasional yang luas.

Para peneliti memperoleh dari pengembang sebuah encryptor, yang datang dengan manual pengguna yang mengatakan bahwa ada varian 32/64-bit yang tersedia untuk hypervisor VMware ESXi dan Windows.

Group-IB mengatakan bahwa Eldorado adalah pengembangan unik "dan tidak bergantung pada sumber pembangun yang diterbitkan sebelumnya."

Malware menggunakan algoritma ChaCha20 untuk enkripsi dan menghasilkan kunci 32-byte unik dan 12-byte nonce untuk setiap file yang terkunci. Kunci dan nonce kemudian dienkripsi menggunakan RSA dengan skema Optimal Asymmetric Encryption Padding (OAEP).

Setelah tahap enkripsi, file ditambahkan ekstensi ".00000001" dan catatan tebusan bernama "HOW_RETURN_YOUR_DATA.TXT" dijatuhkan di folder Dokumen dan Desktop

Para peneliti merekomendasikan pertahanan berikut, yang dapat membantu melindungi terhadap semua serangan ransomware, sampai tingkat tertentu:

• Menerapkan autentikasi multifaktor (MFA) dan solusi akses berbasis kredensial.
• Gunakan Endpoint Detection and Response (EDR) untuk mengidentifikasi dan merespons indikator ransomware dengan cepat.
• Lakukan backup data secara berkala untuk meminimalisir kerusakan dan kehilangan data.
• Manfaatkan analitik berbasis AI dan peledakan malware tingkat lanjut untuk deteksi dan respons intrusi waktu nyata.
• Prioritaskan dan terapkan patch keamanan secara berkala untuk memperbaiki kerentanan.
• Mendidik dan melatih karyawan untuk mengenali dan melaporkan ancaman keamanan siber.
• Melakukan audit teknis tahunan atau penilaian keamanan dan menjaga kebersihan digital.
• Jangan membayar uang tebusan karena jarang memastikan pemulihan data dan dapat menyebabkan lebih banyak serangan.