Vorsicht vor neuer Datenverschlüsselungs-Malware!

Nach Angaben des Vietnam Cyber ​​Emergency Response Center - VNCERT/CC unter der Abteilung für Informationssicherheit ( Ministerium für Information und Kommunikation ) handelt es sich bei Eldorado um eine neue Art von RaaS-Ransomware, die im März aufgetaucht ist und Varianten für den VMware ESXi Virtual Manager und das Windows-Betriebssystem bietet.

Group-IB hat die Aktivitäten von Eldorado überwacht und festgestellt, dass die Betreiber dieser Ransomware-Gruppe den Schadsoftware-Dienst im RAMP-Forum bewerben, um qualifizierte Mitglieder für die Teilnahme an Cyberangriffskampagnen zu finden.

VNCERT/CC fügte hinzu, dass die Eldorado-Malware in der Programmiersprache Go geschrieben ist und in der Lage ist, sowohl Windows- als auch Linux-Betriebssysteme durch zwei separate Varianten mit großen funktionalen Ähnlichkeiten zu verschlüsseln.

Die Untersuchungen von Group-IB ergaben außerdem, dass die Schadsoftware den ChaCha20-Algorithmus zur Verschlüsselung verwendet. Nach der Verschlüsselung erhalten die Dateien die Erweiterung „.00000001“, und eine Lösegeldforderung mit dem Namen „HOW_RETURN_YOUR_DATA.TXT“ wird in den Ordnern „Dokumente“ und „Desktop“ abgelegt.

Eldorado verschlüsselt zudem Netzwerkfreigaben mithilfe des SMB-Kommunikationsprotokolls, um seine Wirkung zu maximieren, und löscht Schattenkopien von Laufwerken auf infizierten Windows-Rechnern, um eine Wiederherstellung zu verhindern. Darüber hinaus ist die Malware standardmäßig so konfiguriert, dass sie sich selbst zerstört, um der Erkennung und Analyse durch Sicherheitsteams zu entgehen.

Bezüglich des Gefährlichkeitsgrades von Eldorado erklärte VNCERT/CC: Diese Schadsoftware kann Dateien sowohl auf Windows- als auch auf VMware ESXi-Systemen verschlüsseln und so den Betrieb von Servern und Workstations stören. Dies kann zum Verlust des Zugriffs auf wichtige Daten und Dienste und damit zu Beeinträchtigungen des Geschäftsbetriebs führen. „Eldorado zielt auf VMware ESXi ab und kann virtuelle Maschinen herunterfahren und verschlüsseln, wodurch die gesamte Virtualisierungsinfrastruktur lahmgelegt wird“, fügte ein Vertreter von VNCERT/CC hinzu.

Tatsächlich sind VMware ESXi Virtualisierungsmanager und Windows-Betriebssysteme in Vietnam sehr verbreitet. Um die Informationssicherheit des Informationssystems der Einheit zu gewährleisten und damit zur Sicherheit des vietnamesischen Cyberspace beizutragen, empfiehlt VNCERT/CC daher einige Maßnahmen, die Administratoren umsetzen sollten.

Insbesondere Administratoren von Informationssystemen in Behörden, Organisationen und Unternehmen, die VMware ESXi und Windows verwenden, müssen Multi-Faktor-Authentifizierung sowie anmeldeinformationsbasierte Zugriffslösungen implementieren; die Sicherheitsüberwachungsfunktionen des EDR-Systems nutzen, um Anzeichen von Ransomware schnell zu erkennen und darauf zu reagieren; und regelmäßig Daten sichern, um Schäden und Datenverluste zu minimieren.

Darüber hinaus wird Administratoren empfohlen, KI-basierte Analyselösungen und fortschrittliche Malware-Erkennungstechnologien einzusetzen, um Eindringversuche in Echtzeit zu erkennen und darauf zu reagieren; der Fokus sollte dabei auf der regelmäßigen Aktualisierung von Sicherheitspatches zur Behebung von Systemschwachstellen liegen.

Neben der Beachtung von Propaganda und der Schulung von Mitarbeitern im Erkennen und Melden von Cybersicherheitsbedrohungen wird Behörden, Organisationen und Unternehmen auch empfohlen, jährliche technische Audits oder Sicherheitsbewertungen durchzuführen.