Laut dem Vietnam Cyber Emergency Response Center – VNCERT/CC unter der Abteilung für Informationssicherheit ( Ministerium für Information und Kommunikation ) ist Eldorado eine neue Art von Ransomware als Service – RaaS, die im März erschien und mit Varianten für den virtuellen Manager VMware ESXi und das Windows-Betriebssystem geliefert wird.
Group-IB hat die Aktivitäten von Eldorado überwacht und festgestellt, dass die Betreiber dieser Ransomware-Gruppe den Schaddienst im RAMP-Forum beworben haben, um nach erfahrenen Mitgliedern für die Teilnahme an Cyberangriffskampagnen zu suchen.
VNCERT/CC fügte hinzu, dass die Eldorado-Malware in der Programmiersprache Go geschrieben ist und in der Lage ist, sowohl Windows- als auch Linux-Betriebssysteme über zwei separate Varianten mit weitgehenden operativen Ähnlichkeiten zu verschlüsseln.
Die Untersuchungen von Group-IB ergaben außerdem, dass die Malware den ChaCha20-Algorithmus zur Verschlüsselung verwendet. Nach der Verschlüsselung werden Dateien mit der Erweiterung „.00000001“ versehen und eine Lösegeldforderung mit dem Namen „HOW_RETURN_YOUR_DATA.TXT“ in den Ordnern „Dokumente“ und „Desktop“ abgelegt.
Eldorado verschlüsselt außerdem Netzwerkfreigaben mithilfe des SMB-Kommunikationsprotokolls, um seine Wirkung zu maximieren, und löscht Schattenkopien von Laufwerken auf infizierten Windows-Rechnern, um eine Wiederherstellung zu verhindern. Darüber hinaus ist die Malware standardmäßig auf Selbstzerstörung eingestellt, um eine Erkennung und Analyse durch Reaktionsteams zu verhindern.
Zur Gefährlichkeit von Eldorado erklärte VNCERT/CC: Diese Schadsoftware kann Dateien sowohl auf Windows- als auch auf VMware ESXi-Systemen verschlüsseln und so den Betrieb von Servern und Workstations stören. Dies kann dazu führen, dass wichtige Daten und Dienste nicht mehr zugänglich sind und der Geschäftsbetrieb beeinträchtigt wird. „Eldorado zielt auf VMware ESXi ab und kann virtuelle Maschinen herunterfahren und verschlüsseln, wodurch der Betrieb der gesamten Virtualisierungsinfrastruktur gestört wird“, fügte ein VNCERT/CC-Vertreter hinzu.
Tatsächlich erfreuen sich der virtuelle Manager VMware ESXi und das Windows-Betriebssystem in Vietnam großer Beliebtheit. Um die Informationssicherheit des Informationssystems der Einheit zu gewährleisten und so zur Sicherheit des vietnamesischen Cyberspace beizutragen, empfiehlt VNCERT/CC Administratoren daher einige Maßnahmen zur Umsetzung.
Insbesondere müssen Administratoren von Informationssystemen von Behörden, Organisationen und Unternehmen, die VMware ESXi und Windows verwenden, Multi-Faktor-Authentifizierung sowie berechtigungsbasierte Zugriffslösungen einsetzen, die Sicherheitsüberwachung des EDR-Systems nutzen, um Anzeichen von Ransomware schnell zu erkennen und darauf zu reagieren, und regelmäßig Daten sichern, um Schäden und Datenverluste zu minimieren.
Darüber hinaus wird Administratoren empfohlen, KI-basierte Analyselösungen und fortschrittliche Malware-Erkennungstechnologien zu verwenden, um Eindringlinge in Echtzeit zu erkennen und darauf zu reagieren. Dabei sollte der Schwerpunkt auf der regelmäßigen Aktualisierung von Sicherheitspatches liegen, um Systemschwachstellen zu beheben.
Behörden, Organisationen und Unternehmen sollten nicht nur auf Propaganda achten und ihre Mitarbeiter darin schulen, wie sie Cybersicherheitsbedrohungen erkennen und melden können, sondern auch jährliche technische Audits oder Sicherheitsbewertungen durchführen.
[Anzeige_2]
Quelle: https://kinhtedothi.vn/canh-giac-voi-ma-doc-ma-hoa-du-lieu-moi.html
Kommentar (0)