Pozor na nový malware šifrující data.

Podle Vietnamského centra pro reakci na kybernetické nouze (VNCERT/CC) spadajícího pod odbor informační bezpečnosti ( Ministerstvo informací a komunikací ) je Eldorado nový typ ransomwaru jako služby (RaaS), který se objevil v březnu a je dodáván ve variantách pro virtuální systém správy VMware ESXi a operační systém Windows.

Společnost Group-IB monitorovala aktivitu Eldorado a zjistila, že provozovatelé této skupiny útočící ransomwarem propagovali svou škodlivou službu na fóru RAMP, aby rekrutovali zkušené členy pro kybernetické útoky.

VNCERT/CC dále uvedl, že malware Eldorado je napsán v programovacím jazyce Go a je schopen šifrovat operační systémy Windows i Linux prostřednictvím dvou odlišných variant s velmi podobným fungováním.

Výzkum společnosti Group-IB také naznačuje, že tento malware používá k šifrování algoritmus ChaCha20. Po fázi šifrování jsou soubory označeny příponou „.00000001“ a do složek Dokumenty a Plocha je umístěna žádost o výkupné s názvem „HOW_RETURN_YOUR_DATA.TXT“.

Eldorado také šifruje síťové sdílení pomocí komunikačního protokolu SMB, aby maximalizoval svůj dopad, a maže stínové kopie disků na napadených počítačích se systémem Windows, aby zabránil obnovení. Malware je navíc ve výchozím nastavení nakonfigurován tak, aby se sám smazal, a vyhnul se tak detekci a analýze ze strany zásahových týmů.

Pokud jde o závažnost nákazy Eldorado, VNCERT/CC uvedl: „Tento malware je schopen šifrovat soubory v systémech Windows i VMware ESXi a narušovat provoz serverů a pracovních stanic; to může vést k nemožnosti přístupu ke kritickým datům a službám a narušovat tak provoz podniku. “ „Eldorado, zaměřený na VMware ESXi, může vypnout a šifrovat virtuální počítače a narušit tak provoz celé virtualizační infrastruktury,“ dodal zástupce VNCERT/CC.

Virtuální systém správy VMware ESXi a operační systém Windows se ve Vietnamu používají poměrně běžně. Proto VNCERT/CC doporučuje několik kroků, které by administrátoři měli implementovat, aby zajistili bezpečnost informačních systémů organizace a přispěli k zajištění bezpečnosti kyberprostoru Vietnamu.

Konkrétně správci informačních systémů v agenturách, organizacích a firmách používajících VMware ESXi a Windows musí implementovat vícefaktorové ověřování a také řešení přístupu založená na přihlašovacích údajích; používat funkci monitorování zabezpečení systému EDR k rychlé identifikaci a reakci na indikátory ransomwaru; a pravidelně zálohovat data, aby se minimalizovalo poškození a ztráta dat.

Kromě toho se administrátorům doporučuje používat analytická řešení založená na umělé inteligenci a pokročilé technologie detekce malwaru k detekci a reakci na vniknutí v reálném čase; a zaměřit se na pravidelnou aktualizaci bezpečnostních záplat pro opravu zranitelností systému.

Kromě zaměření na zvyšování povědomí a školení zaměstnanců v oblasti identifikace a hlášení kybernetických bezpečnostních hrozeb se agenturám, organizacím a podnikům doporučuje provádět každoroční technické audity nebo bezpečnostní hodnocení.