כופרה חדשה כשירות (RaaS) בשם Eldorado החלה לפעול בחודש מרץ ומגיעה עם גרסאות עבור VMware ESXi ו- Windows. הכופרה כבר גבתה 16 קורבנות, רובם בארה"ב – במגזרי הנדל"ן, החינוך, הבריאות והייצור. חוקרי סייבר בחברת אבטחת הסייבר Group-IB עקבו אחר פעילות Eldorado והבחינו במפעילי הכופרה מקדמים את השירות הזדוני בפורומים של RAMP, כשהם מחפשים שותפים מיומנים להצטרף לתוכנית. קבוצת Eldorado גם מנהלת אתר הדלפת מידע אשר מפרט את קורבנותיה.
Eldorado הינה כופרה מבוססת Go שיכולה להצפין גם פלטפורמות Windows וגם לינוקס באמצעות שתי גרסאות נפרדות עם קווי דמיון תפעוליים נרחבים. חוקרי הסייבר השיגו מפענח הצפנה שהגיע עם מדריך למשתמש, האומר כי קיימות גרסאות 32/64 סיביות זמינות עבור VMware ESXi hypervisors ו- Windows. בחברת Group-IB טוענים כי כופרת Eldorado הינה פיתוח ייחודי ואינה מסתמכת על מקורות שפורסמו בעבר. הכופרה משתמשת באלגוריתם ChaCha20 להצפנה ויוצרת מפתח ייחודי של 32 בתים ו- nonce של 12 בתים עבור כל אחד מהקבצים הנעולים. המפתחות מוצפנים לאחר מכן באמצעות RSA עם סכימת אופטימלית הצפנה אסימטרית (OAEP). לאחר שלב ההצפנה, מצורפת לקבצים את הסיומת '.00000001' ופתקי כופר בשם 'HOW_RETURN_YOUR_DATA.TXT' המוצבים בתיקיות המסמכים ושולחן העבודה. Eldorado גם מצפינה שיתופי רשת תוך שימוש בפרוטוקול התקשורת SMB, כדי למקסם את השפעתה וכן מוחקת shadow volume copies במכונות Windows שנפגעו כדי למנוע התאוששות. הכופרה מדלגת על קבצי DLL, LNK, SYS ו- EXE, כמו גם קבצים וספריות הקשורות לאתחול המערכת ופונקציונליות בסיסית, כדי למנוע את הפיכת מערכת המחשוב המותקפת לבלתי ניתנת לאתחול או לבלתי שמישה. לבסוף, מוגדרת הכופרה כברירת מחדל למחיקה עצמית כדי להתחמק מזיהוי וניתוח על ידי צוותי תגובה לאירועי סייבר.
לדברי חוקרי Group-IB, יכולים מפעילי הכופרה להתאים אישית את מתקפות הכופרה שלהם. לדוגמה, ב- Windows הם יכולים לציין אילו ספריות להצפין, לדלג על קבצים מקומיים, למקד לשיתופי רשת ברשתות משנה ספציפיות ולמנוע מחיקה עצמית של הכופרה. עם זאת, ב- Linux נעצרים פרמטרי התאמה אישית בהגדרת הספריות להצפנה.
בחברת Group-IB מדגישים כי כופרת Eldorado הינה כופרה חדשה, עצמאית, שלא הופיעה כמיתוג מחדש של קבוצה אחרת: "למרות שהכופרה חדשה יחסית ואיננה מותג מחדש של קבוצות כופרה ידועות, הוכיחה Eldorado במהירות את יכולתה להסב נזק משמעותי למידע תוך פרק זמן קצר וכן להסב נזק למוניטין ולהמשכיות העסקית של הקורבנות שלה." חוקרי הסייבר ממליצים על ההגנות הבאות, שיכולות לסייע במידה מסוימת בהגנה מפני מתקפות כופרה: הטמעת אימות רב גורמי (MFA) ופתרונות גישת משתמשים מבוססי אישורים; שימוש בזיהוי ותגובה של נקודות קצה (EDR) כדי לזהות במהירות ולהגיב לאינדיקטורים של כופרה; ביצוע גיבוי מידע באופן קבוע כדי למזער נזקים ואובדן נתונים; שימוש בניתוח מבוסס בינה מלאכותית לזיהוי ותגובה לפריצות סייבר בזמן אמת; תעדוף והחלת עדכונים ותיקוני אבטחה כדי לתקן נקודות תורפה במערכות המחשוב; הכשרת עובדים לזהות ולדווח על איומי אבטחת סייבר; ביצוע ביקורות טכניות שנתיות או הערכות אבטחה ושמירה על היגיינה דיגיטלית; הימנעות מתשלום דמי כופר בעקבות מתקפת כופרה, מכיוון שהתשלום מבטיח רק לעתים נדירות שחזור המידע וכן עלול להוביל למתקפות כופרה נוספות.
