مراقب بدافزار جدید رمزگذاری داده‌ها باشید

طبق اعلام مرکز واکنش اضطراری سایبری ویتنام - VNCERT/CC تحت نظارت وزارت امنیت اطلاعات ( وزارت اطلاعات و ارتباطات )، Eldorado نوع جدیدی از باج‌افزار RaaS است که در ماه مارس ظاهر شد و انواعی از آن برای VMware ESXi virtual manager و سیستم عامل ویندوز وجود دارد.

گروه-آی‌بی فعالیت‌های الدورادو را زیر نظر داشته و دریافته است که گردانندگان این گروه باج‌افزار، سرویس مخرب خود را در انجمن RAMP تبلیغ می‌کنند تا اعضای ماهر را برای شرکت در کمپین‌های حمله سایبری جذب کنند.

VNCERT/CC افزود که بدافزار Eldorado با زبان برنامه‌نویسی Go نوشته شده است و قادر به رمزگذاری هر دو سیستم عامل ویندوز و لینوکس از طریق دو نوع جداگانه با شباهت‌های عملیاتی گسترده است.

تحقیقات Group-IB همچنین نشان داد که این بدافزار از الگوریتم ChaCha20 برای رمزگذاری استفاده می‌کند. پس از مرحله رمزگذاری، فایل‌ها با پسوند ".00000001" اضافه می‌شوند و یک یادداشت باج‌خواهی با نام "HOW_RETURN_YOUR_DATA.TXT" در پوشه‌های Documents و Desktop قرار می‌گیرد.

Eldorado همچنین با استفاده از پروتکل ارتباطی SMB، فایل‌های اشتراکی شبکه را رمزگذاری می‌کند تا تأثیر خود را به حداکثر برساند و کپی‌های سایه‌ای درایوها را در دستگاه‌های ویندوزی آلوده حذف می‌کند تا از بازیابی آنها جلوگیری کند. نه تنها این، بلکه این بدافزار به طور پیش‌فرض روی خود تخریبی نیز تنظیم شده است تا از شناسایی و تجزیه و تحلیل توسط تیم‌های واکنش جلوگیری کند.

در مورد سطح خطر Eldorado، VNCERT/CC گفت: این بدافزار قادر به رمزگذاری فایل‌ها در سیستم‌های ویندوز و VMware ESXi است و عملکرد سرورها و ایستگاه‌های کاری را مختل می‌کند. این می‌تواند منجر به عدم دسترسی به داده‌ها و سرویس‌های مهم و اختلال در عملیات تجاری شود. نماینده VNCERT/CC افزود: «Eldorado با هدف قرار دادن VMware ESXi می‌تواند ماشین‌های مجازی را خاموش و رمزگذاری کند و عملکرد کل زیرساخت مجازی‌سازی را مختل کند.»

در واقع، VMware ESXi virtual manager و سیستم عامل ویندوز در ویتنام بسیار محبوب هستند. بنابراین، برای اطمینان از امنیت اطلاعات سیستم اطلاعاتی واحد، که به تضمین امنیت فضای مجازی ویتنام کمک می‌کند، VNCERT/CC مراحلی را توصیه می‌کند که مدیران باید آنها را اجرا کنند.

به طور خاص، مدیران سیستم‌های اطلاعاتی آژانس‌ها، سازمان‌ها و کسب‌وکارهایی که از VMware ESXi و Windows استفاده می‌کنند، باید احراز هویت چند عاملی و همچنین راهکارهای دسترسی مبتنی بر اعتبارنامه را پیاده‌سازی کنند؛ از ویژگی‌های نظارت امنیتی سیستم EDR برای شناسایی سریع و واکنش به نشانه‌های باج‌افزار استفاده کنند؛ و به طور منظم از داده‌ها نسخه پشتیبان تهیه کنند تا آسیب و از دست رفتن داده‌ها را به حداقل برسانند.

در کنار آن، به مدیران توصیه می‌شود از راهکارهای تحلیلی مبتنی بر هوش مصنوعی و فناوری پیشرفته تشخیص بدافزار برای شناسایی و پاسخ به نفوذها در زمان واقعی استفاده کنند؛ و بر به‌روزرسانی دوره‌ای وصله‌های امنیتی برای رفع آسیب‌پذیری‌های سیستم تمرکز کنند.

علاوه بر توجه به تبلیغات و آموزش کارکنان در مورد چگونگی تشخیص و گزارش تهدیدات امنیت سایبری، به سازمان‌ها، نهادها و مشاغل نیز توصیه می‌شود که ممیزی‌های فنی یا ارزیابی‌های امنیتی سالانه انجام دهند.