Un nuovo sistema Ransomware-as-a-service chiamato Eldorado sta prendendo di mira in modo indistinto PC Windows e Linux. Al momento attuale si stimano almeno 16 tra organizzazioni e aziende, perlopiù nel contesto degli Stati Uniti, colpiti da questa forma di minaccia. Tra le vittime risultano anche due casi relativi proprio al nostro paese.
L’operazione è stata individuata per la prima volta a marzo 2024, grazie al lavoro della compagnia specializzata in cybersecurity Group-IB. In quel periodo sui forum del Dark Web sono apparsi i primi annunci da parte dei criminali informatici che stavano cercando colleghi da ingaggiare per testare il proprio strumento.
Proprio attraverso il reclutamento, alcuni esperti di Group-IB sono riusciti ad infiltrarsi nel gruppo che gestisce Eldorado, studiando dunque da vicino il loro operato. A tal proposito, oltre a comprendere che il gruppo è gestito da russofoni, i ricercatori hanno potuto notare come gli stessi utilizzino un loader e un locker originali, che non fanno riferimento ad alcun tipo di ransomware preesistente.
Ransomware Eldorado è una minaccia del tutto nuova nel panorama della cybersecurity
Eldorado è scritto in Go. Proprio questa scelta rende il ransomware così duttile, risultando pericoloso tanto su Windows quanto su dispositivi Linux. Nonostante ciò, va considerato che esiste una differenza tra le due versioni.
Quella per Windows, infatti, utilizza un apposito comando PowerShell per sovrascrivere i file bloccati con byte casuali: una procedura che rende la vita ancora più difficile agli esperti di cybersicurezza. Per quanto riguarda la crittografia, l’agente malevolo utilizzato sfrutta l’algoritmo Chacha20 e, per crittografare file su reti condivise, utilizza il protocollo Server Message Block (SMB).
Secondo quanto sostenuto da Group-IB, la minaccia costituita da Eldorado non va sottovalutata. Per gli esperti infatti, non si tratta di un semplice “cambio di nome” di un ransomware già esistente, ma di una nuova e inedita minaccia.
Aspetto ancora più grave, questo tipo di operazione non è un unicum. I ricercatori, durante le loro indagini sui forum di hacker, hanno individuato 27 annunci riguardanti operazioni simili. Segnale evidente che i ransomware restano uno dei principali pericoli per quanto concerne la sicurezza informatica.