Attention aux nouveaux logiciels malveillants de chiffrement de données

Selon le Centre vietnamien de réponse aux urgences cybernétiques (VNCERT/CC) relevant du Département de la sécurité de l'information ( Ministère de l'Information et des Communications ), Eldorado est un nouveau type de ransomware RaaS, apparu en mars et disponible en variantes pour le gestionnaire virtuel VMware ESXi et le système d'exploitation Windows.

Group-IB a surveillé les activités d'Eldorado et a constaté que les opérateurs de ce groupe de ransomware faisaient la promotion de ce service malveillant sur le forum RAMP afin de recruter des membres compétents pour participer à des campagnes de cyberattaques.

VNCERT/CC a ajouté que le logiciel malveillant Eldorado est écrit dans le langage de programmation Go, capable de chiffrer les systèmes d'exploitation Windows et Linux à travers deux variantes distinctes présentant de grandes similitudes opérationnelles.

Les recherches de Group-IB ont également révélé que le logiciel malveillant utilise l'algorithme ChaCha20 pour le chiffrement. Après le chiffrement, les fichiers se voient ajouter l'extension « .00000001 » et une note de rançon nommée « HOW_RETURN_YOUR_DATA.TXT » est déposée dans les dossiers Documents et Bureau.

Eldorado chiffre également les partages réseau via le protocole de communication SMB afin de maximiser son impact et supprime les copies de sauvegarde des disques sur les machines Windows infectées pour empêcher toute récupération. De plus, le logiciel malveillant est configuré pour s'autodétruire par défaut, dans le but d'échapper à la détection et à l'analyse des équipes d'intervention.

Concernant le niveau de dangerosité d'Eldorado, le VNCERT/CC a déclaré : ce logiciel malveillant est capable de chiffrer des fichiers sur les systèmes Windows et VMware ESXi, perturbant ainsi le fonctionnement des serveurs et des postes de travail. Cela peut entraîner l'inaccessibilité de données et de services importants, et paralyser les activités de l'entreprise. « Ciblant VMware ESXi, Eldorado peut arrêter et chiffrer les machines virtuelles, perturbant ainsi le fonctionnement de l'ensemble de l'infrastructure de virtualisation », a ajouté un représentant du VNCERT/CC.

En effet, le gestionnaire de virtualisation VMware ESXi et le système d'exploitation Windows sont très répandus au Vietnam. Par conséquent, afin de garantir la sécurité des systèmes d'information de l'unité et de contribuer à la sécurité du cyberespace vietnamien, le VNCERT/CC recommande certaines mesures que les administrateurs doivent mettre en œuvre.

Plus précisément, les administrateurs des systèmes d'information des agences, organisations et entreprises utilisant VMware ESXi et Windows doivent déployer l'authentification multifacteurs ainsi que des solutions d'accès basées sur les identifiants ; utiliser les fonctionnalités de surveillance de la sécurité du système EDR pour identifier et répondre rapidement aux indicateurs de ransomware ; et sauvegarder régulièrement les données afin de minimiser les dommages et les pertes de données.

Par ailleurs, il est également conseillé aux administrateurs d'utiliser des solutions d'analyse basées sur l'IA et des technologies avancées de détection de logiciels malveillants pour détecter les intrusions et y répondre en temps réel ; en veillant à mettre à jour régulièrement les correctifs de sécurité afin de corriger les vulnérabilités du système.

Outre la vigilance face à la propagande et la formation du personnel à la reconnaissance et au signalement des menaces de cybersécurité, il est également recommandé aux agences, organisations et entreprises de réaliser des audits techniques ou des évaluations de sécurité annuels.