Vorsicht vor neuer Datenverschlüsselungs-Malware

Laut dem Vietnam Cyber ​​Emergency Response Center – VNCERT/CC unter der Abteilung für Informationssicherheit ( Ministerium für Information und Kommunikation ) handelt es sich bei Eldorado um eine neue Art von RaaS-Ransomware, die im März auf den Markt kam und mit Varianten für den virtuellen Manager VMware ESXi und das Windows-Betriebssystem ausgestattet ist.

Group-IB hat die Aktivitäten von Eldorado überwacht und festgestellt, dass die Betreiber dieser Ransomware-Gruppe den Schaddienst im RAMP-Forum beworben haben, um nach erfahrenen Mitgliedern für die Teilnahme an Cyberangriffskampagnen zu suchen.

VNCERT/CC fügte hinzu, dass die Eldorado-Malware in der Programmiersprache Go geschrieben ist und in der Lage ist, sowohl Windows- als auch Linux-Betriebssysteme über zwei separate Varianten mit großen operativen Ähnlichkeiten zu verschlüsseln.

Die Untersuchungen von Group-IB ergaben außerdem, dass die Malware den ChaCha20-Algorithmus zur Verschlüsselung verwendet. Nach der Verschlüsselungsphase werden Dateien mit der Erweiterung „.00000001“ angehängt und eine Lösegeldforderung mit dem Namen „HOW_RETURN_YOUR_DATA.TXT“ in den Ordnern „Dokumente“ und „Desktop“ abgelegt.

Eldorado verschlüsselt außerdem Netzwerkfreigaben mithilfe des SMB-Kommunikationsprotokolls, um seine Wirkung zu maximieren, und löscht Schattenkopien von Laufwerken auf kompromittierten Windows-Rechnern, um eine Wiederherstellung zu verhindern. Darüber hinaus ist die Malware standardmäßig auf Selbstzerstörung eingestellt, um einer Erkennung und Analyse durch Reaktionsteams zu entgehen.

Zur Gefährlichkeit von Eldorado erklärte VNCERT/CC: Diese Schadsoftware kann Dateien sowohl auf Windows- als auch auf VMware ESXi-Systemen verschlüsseln und so den Betrieb von Servern und Workstations stören. Dies kann dazu führen, dass wichtige Daten und Dienste nicht mehr zugänglich sind und der Geschäftsbetrieb beeinträchtigt wird. „Eldorado zielt auf VMware ESXi ab und kann virtuelle Maschinen herunterfahren und verschlüsseln, wodurch der Betrieb der gesamten Virtualisierungsinfrastruktur gestört wird“, fügte ein VNCERT/CC-Vertreter hinzu.

Tatsächlich erfreuen sich der virtuelle Manager VMware ESXi und das Windows-Betriebssystem in Vietnam großer Beliebtheit. Um die Informationssicherheit des Informationssystems der Einheit zu gewährleisten und so zur Sicherheit des vietnamesischen Cyberspace beizutragen, empfiehlt VNCERT/CC den Administratoren daher einige Schritte, die sie umsetzen sollten.

Insbesondere müssen Administratoren von Informationssystemen von Behörden, Organisationen und Unternehmen, die VMware ESXi und Windows verwenden, Multi-Faktor-Authentifizierung sowie zugriffsbasierte Lösungen einsetzen, Sicherheitsüberwachungsfunktionen des EDR-Systems nutzen, um Anzeichen von Ransomware schnell zu erkennen und darauf zu reagieren, und regelmäßig Daten sichern, um Schäden und Datenverluste zu minimieren.

Darüber hinaus wird Administratoren empfohlen, KI-basierte Analyselösungen und fortschrittliche Malware-Erkennungstechnologien zu verwenden, um Eindringlinge in Echtzeit zu erkennen und darauf zu reagieren. Dabei sollte der Schwerpunkt auf der regelmäßigen Aktualisierung von Sicherheitspatches liegen, um Systemschwachstellen zu beheben.

Neben der Beachtung von Propaganda und der Schulung von Mitarbeitern im Erkennen und Melden von Cybersicherheitsbedrohungen wird Behörden, Organisationen und Unternehmen auch empfohlen, jährliche technische Audits oder Sicherheitsbewertungen durchzuführen.