Cuidado con el nuevo malware de cifrado de datos

Según el Centro de Respuesta a Emergencias Cibernéticas de Vietnam - VNCERT/CC bajo el Departamento de Seguridad de la Información ( Ministerio de Información y Comunicaciones ), Eldorado es un nuevo tipo de ransomware RaaS, que apareció en marzo y viene con variantes para el administrador virtual VMware ESXi y el sistema operativo Windows.

Group-IB ha estado monitoreando las actividades de Eldorado y descubrió que los operadores de este grupo de ransomware han estado promocionando el servicio malicioso en el foro RAMP en busca de miembros capacitados para participar en campañas de ciberataques.

VNCERT/CC agregó que el malware Eldorado está escrito en el lenguaje de programación Go, capaz de cifrar los sistemas operativos Windows y Linux a través de dos variantes separadas con amplias similitudes operativas.

La investigación de Group-IB también reveló que el malware utiliza el algoritmo ChaCha20 para el cifrado. Tras la etapa de cifrado, se añaden archivos con la extensión ".00000001" y se coloca una nota de rescate llamada "HOW_RETURN_YOUR_DATA.TXT" en las carpetas Documentos y Escritorio.

Eldorado también cifra los recursos compartidos de red mediante el protocolo de comunicación SMB para maximizar su impacto y elimina las instantáneas de las unidades en los equipos Windows afectados para impedir su recuperación. Además, el malware está configurado para autodestruirse por defecto, para evitar su detección y análisis por parte de los equipos de respuesta.

Respecto al nivel de peligrosidad de Eldorado, VNCERT/CC declaró: Este malware es capaz de cifrar archivos tanto en sistemas Windows como VMware ESXi, interrumpiendo el funcionamiento de servidores y estaciones de trabajo. Esto puede provocar la inaccesibilidad a datos y servicios importantes, lo que afecta las operaciones comerciales. "Eldorado, dirigido a VMware ESXi, puede apagar y cifrar máquinas virtuales, interrumpiendo el funcionamiento de toda la infraestructura de virtualización", añadió un representante de VNCERT/CC.

De hecho, el administrador virtual VMware ESXi y el sistema operativo Windows son muy populares en Vietnam. Por lo tanto, para garantizar la seguridad de la información del sistema de información de la unidad y contribuir a la seguridad del ciberespacio vietnamita, VNCERT/CC recomienda algunas medidas que los administradores deben implementar.

En concreto, los administradores de sistemas de información de agencias, organizaciones y empresas que utilizan VMware ESXi y Windows necesitan implementar autenticación multifactor, así como soluciones de acceso basadas en credenciales; utilizar funciones de monitorización de seguridad del sistema EDR para identificar y responder rápidamente a los indicadores de ransomware; y realizar copias de seguridad de los datos periódicamente para minimizar los daños y la pérdida de datos.

Además de eso, también se recomienda a los administradores utilizar soluciones de análisis basadas en inteligencia artificial y tecnología avanzada de detección de malware para detectar y responder a las intrusiones en tiempo real, centrándose en actualizar periódicamente los parches de seguridad para corregir las vulnerabilidades del sistema.

Además de prestar atención a la propaganda y capacitar al personal sobre cómo reconocer y denunciar las amenazas a la ciberseguridad, también se recomienda a las agencias, organizaciones y empresas que realicen auditorías técnicas o evaluaciones de seguridad anuales.