Aggiornamenti recenti Dicembre 3rd, 2025 7:01 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- PickleScan, scoperti tre bug 0-day che permettono di iniettare payload malevoli nei modelli ML
- ShadyPanda: oltre 4 milioni di browser infetti in una campagna durata 7 anni
- Coupang conferma il data breach: esposti i dati di oltre 30 milioni di utenti
- CERT-AGID 22–28 novembre: boom di phishing PagoPA e nuovi malware via SMS
- Ecco il tool gratuito per verificare se un IP fa parte di un botnet
Eldorado, un nuovo ransomware-as-a-service che colpisce Windows e Linux
I ricercatori di Group-IB hanno scoperto Eldorado, un ransomware-as-a-service presente da marzo in grado di cifrare file sui sistemi Windows e Linux.
Il servizio è stato pubblicizzato su RAMP, uno dei forum di ransomware più noti e frequentati sul dark web. I ricercatori di Group-IB si sono infiltrati nel gruppo come pentesters e hanno scoperto che la gang era composta da individui russofoni.
Pixabay
Eldorado usa Golang per abilitare l’operatività cross-platform, usa Chacha20 per la cifratura dei file e RSA-OAEP per la cifratura delle chiavi. Il ransomware è in grado di cifrare file su reti condivise usando il protocollo SMB e usa il nome della compagnia target, i dettagli della nota di riscatto e le credenziali di admin come parametri per ciascuna build del malware.
Dopo aver fatto richiesta di affiliazione al gruppo, gli attaccanti generano la build del ransomware specifica per l’affiliato sulla base dei parametri da lui specificati. L’encryptor viene condiviso in quattro formati: esxi, esxi_64, win e win_64. Insieme al malware viene fornito un manuale per l’uso che include, tra le altre cose, una serie di comandi e parametri da specificare per definire il perimetro della cifratura.
I file cifrati hanno estensione “.00000001” e durante il processo di cifratura viene loggato in console il progresso del ransomware. Al termine dell’operazione, il malware crea una nota di riscatto in .txt intitolata “HOW_RETURN_YOUR_DATA” sia sul Desktop che nella cartella Documents con le istruzioni su come contattare l’affiliato dietro l’attacco. Il testo della nota viene personalizzato in fase di build del ransomware.
L’impatto di Eldorado
Il ransomware, spiegano i ricercatori di sicurezza, non è basato sul codice sorgente di altri ransomware: il gruppo ha creato il servizio da zero. “Sebbene sia relativamente nuovo e non sia un rebrand di gruppi di ransomware ben noti, Eldorado ha dimostrato in breve tempo la sua capacità di infliggere danni significativi ai dati, alla reputazione e alla continuità aziendale delle sue vittime” si legge sul blog di Group-IB.
A giugno 2024 si contano sedici compagnie appartenenti a diversi Paesi e di diversi settori vittime di Eldorado. Tredici incidenti si sono verificati solo negli Stati Uniti, due in Italia e uno in Croazia. Il settore più colpito è quello dell’immobiliare (tre attacchi), seguito dall’educativo, dai servizi professionali, dal sanitario e dal manifatturiero, ognuno con due attacchi, e dalle telecomunicazioni, dai servizi per il business, dai servizi amministrativi, dai trasporti e dalle realtà governative e militari con un attacco ciascuno.
Credits: Group-IB
Come sottolinea Group-IB, Eldorado è l’ennesima conferma che il panorama dei ransomware è in continua evoluzione e sta mettendo a serio rischio la sicurezza delle aziende. “Il continuo sviluppo di nuovi ceppi di ransomware e l’emergere di sofisticati programmi di affiliazione dimostrano che la minaccia è lungi dall’essere contenuta. Le organizzazioni devono rimanere vigili e proattive nei loro sforzi di cybersecurity per mitigare i rischi posti da queste minacce in continua evoluzione” affermano i ricercatori.
Per rafforzare le difese, le imprese sono invitate a implementare l’autenticazione multi-fattore e scegliere soluzioni EDR per il monitoraggio degli endpoint e l’identificazione di attività sospette con approccio proattivo, permettendo ai team di sicurezza di agire non appena si presenta il problema.
In caso di successo degli attacchi, le aziende devono avere una strategia di backup solida che permetta di ripristinare in maniera efficiente i file cifrati, riducendo al minimo la perdita di dati.
Infine, non può mancare un processo di patching per mantenere i software aggiornati e ridurre il numero di vulnerabilità e la definizione di programmi di training per i dipendenti, aiutandoli a identificare attività sospette e tentativi di phishing.
Condividi l'articolo
L'importanza delle soluzioni MDR per la protezione aziendale
Da ACN e DIE una campagna per diffondere la cultura di cybersecurity
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima... -
Come Firemon supporta i propri partner nel processo di... Lo scorso marzo Skybox Security, società israeliana di... -
DragonForce evolve in un “cartello” ransomware... Di recente la Threat Research Unit di Acronis ha analizzato...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
PickleScan, scoperti tre bug 0-day che permettono di... I ricercatori di JFrog Security Research hanno... -
ShadyPanda: oltre 4 milioni di browser infetti in una... Una campagna durata sette anni che ha infettato 4.3... -
Coupang conferma il data breach: esposti i dati di oltre 30... Coupang, colosso del retail sud-coreano, ha confermato di... -
CERT-AGID 22–28 novembre: boom di phishing PagoPA e nuovi... Nel periodo compreso tra il 22 e il 28 novembre,... -
Ecco il tool gratuito per verificare se un IP fa parte di... GreyNoise ha recentemente annunciato il rilascio di...
Ransomware: la serie
No posts found.