Προσοχή στο νέο κακόβουλο λογισμικό κρυπτογράφησης δεδομένων.

Σύμφωνα με το Κέντρο Αντιμετώπισης Κυβερνοεκτάκτων Αναγκών του Βιετνάμ (VNCERT/CC) που υπάγεται στο Τμήμα Ασφάλειας Πληροφοριών ( Υπουργείο Πληροφοριών και Επικοινωνιών ), το Eldorado είναι ένας νέος τύπος ransomware ως υπηρεσία (RaaS), ο οποίος εμφανίστηκε τον Μάρτιο και διαθέτει παραλλαγές για το εικονικό σύστημα διαχείρισης VMware ESXi και το λειτουργικό σύστημα Windows.

Το Group-IB παρακολούθησε τη δραστηριότητα της Eldorado και διαπίστωσε ότι οι χειριστές αυτής της ομάδας επιθέσεων ransomware προώθησαν την κακόβουλη υπηρεσία τους στο φόρουμ RAMP για να στρατολογήσουν εξειδικευμένα μέλη για εκστρατείες κυβερνοεπιθέσεων.

Το VNCERT/CC δήλωσε περαιτέρω ότι το κακόβουλο λογισμικό Eldorado είναι γραμμένο στη γλώσσα προγραμματισμού Go και είναι ικανό να κρυπτογραφεί λειτουργικά συστήματα Windows και Linux μέσω δύο ξεχωριστών παραλλαγών με πολύ παρόμοια λειτουργία.

Η έρευνα του Group-IB δείχνει επίσης ότι αυτό το κακόβουλο λογισμικό χρησιμοποιεί τον αλγόριθμο ChaCha20 για κρυπτογράφηση. Μετά τη φάση κρυπτογράφησης, τα αρχεία λαμβάνουν την επέκταση ".00000001" και ένα σημείωμα λύτρων με το όνομα "HOW_RETURN_YOUR_DATA.TXT" τοποθετείται στους φακέλους Έγγραφα και Επιφάνεια εργασίας.

Η Eldorado κρυπτογραφεί επίσης τα κοινόχρηστα στοιχεία δικτύου χρησιμοποιώντας το πρωτόκολλο επικοινωνίας SMB για να μεγιστοποιήσει την επίδρασή της και διαγράφει αντίγραφα σκιώδους δίσκου σε παραβιασμένα μηχανήματα Windows για να αποτρέψει την ανάκτηση. Επιπλέον, το κακόβουλο λογισμικό έχει ρυθμιστεί να διαγράφεται αυτόματα από προεπιλογή, με στόχο την αποφυγή ανίχνευσης και ανάλυσης από ομάδες αντιμετώπισης προβλημάτων.

Όσον αφορά τη σοβαρότητα του Eldorado, το VNCERT/CC δήλωσε: Αυτό το κακόβουλο λογισμικό είναι ικανό να κρυπτογραφεί αρχεία τόσο σε συστήματα Windows όσο και σε συστήματα VMware ESXi, διαταράσσοντας τη λειτουργία διακομιστών και σταθμών εργασίας. Αυτό μπορεί να οδηγήσει σε αδυναμία πρόσβασης σε κρίσιμα δεδομένα και υπηρεσίες, διαταράσσοντας τις επιχειρηματικές δραστηριότητες. «Στοχεύοντας στο VMware ESXi, το Eldorado μπορεί να τερματίσει και να κρυπτογραφήσει εικονικές μηχανές, διαταράσσοντας τη λειτουργία ολόκληρης της υποδομής εικονικοποίησης», πρόσθεσε ένας εκπρόσωπος του VNCERT/CC.

Στην πραγματικότητα, το εικονικό σύστημα διαχείρισης VMware ESXi και το λειτουργικό σύστημα Windows χρησιμοποιούνται αρκετά συχνά στο Βιετνάμ. Επομένως, για να διασφαλιστεί η ασφάλεια των πληροφοριών για τα συστήματα πληροφοριών του οργανισμού και να συμβάλει στην ασφάλεια του κυβερνοχώρου του Βιετνάμ, το VNCERT/CC συνιστά διάφορα βήματα που πρέπει να εφαρμόσουν οι διαχειριστές.

Συγκεκριμένα, οι διαχειριστές συστημάτων πληροφοριών σε οργανισμούς, οργανισμούς και επιχειρήσεις που χρησιμοποιούν VMware ESXi και Windows πρέπει να εφαρμόσουν πολυπαραγοντικό έλεγχο ταυτότητας καθώς και λύσεις πρόσβασης που βασίζονται σε διαπιστευτήρια, να χρησιμοποιούν τη λειτουργία παρακολούθησης ασφάλειας συστήματος EDR για να εντοπίζουν γρήγορα και να ανταποκρίνονται σε ενδείξεις ransomware και να δημιουργούν τακτικά αντίγραφα ασφαλείας των δεδομένων για την ελαχιστοποίηση των ζημιών και της απώλειας δεδομένων.

Επιπλέον, συνιστάται στους διαχειριστές να χρησιμοποιούν λύσεις ανάλυσης που βασίζονται στην τεχνητή νοημοσύνη και προηγμένες τεχνολογίες ανίχνευσης κακόβουλου λογισμικού για την ανίχνευση και την αντιμετώπιση εισβολών σε πραγματικό χρόνο, καθώς και να επικεντρώνονται στην τακτική ενημέρωση των ενημερώσεων ασφαλείας για την επιδιόρθωση των ευπαθειών του συστήματος.

Εκτός από την εστίαση στην ευαισθητοποίηση και την εκπαίδευση του προσωπικού σχετικά με τον τρόπο εντοπισμού και αναφοράς απειλών στον κυβερνοχώρο, οι υπηρεσίες, οι οργανισμοί και οι επιχειρήσεις καλούνται επίσης να διενεργούν ετήσιους τεχνικούς ελέγχους ή αξιολογήσεις ασφάλειας.