Selon le Centre vietnamien de réponse aux urgences cybernétiques - VNCERT/CC du Département de la sécurité de l'information ( ministère de l'Information et des Communications ), Eldorado est un nouveau type de ransomware en tant que service - RaaS, apparu en mars et livré avec des variantes pour le gestionnaire virtuel VMware ESXi et le système d'exploitation Windows.
Group-IB a surveillé les activités d'Eldorado et a découvert que les opérateurs de ce groupe de ransomware faisaient la promotion du service malveillant sur le forum RAMP à la recherche de membres qualifiés pour participer à des campagnes de cyberattaque.
VNCERT/CC a ajouté que le malware Eldorado est écrit dans le langage de programmation Go, capable de crypter les systèmes d'exploitation Windows et Linux via deux variantes distinctes présentant de larges similitudes opérationnelles.
Les recherches du Group-IB ont également révélé que le logiciel malveillant utilise l'algorithme ChaCha20 pour le chiffrement. Après le chiffrement, les fichiers sont dotés de l'extension « .00000001 » et une demande de rançon intitulée « COMMENT_RETOURNER_VOS_DONNÉES.TXT » est placée dans les dossiers Documents et Bureau.
Eldorado chiffre également les partages réseau à l'aide du protocole de communication SMB pour maximiser son impact et supprime les copies fantômes des lecteurs sur les machines Windows compromises afin d'empêcher toute récupération. De plus, le malware est configuré pour s'autodétruire par défaut, afin d'échapper à la détection et à l'analyse des équipes d'intervention.
Concernant le niveau de dangerosité d'Eldorado, VNCERT/CC a déclaré : « Ce malware est capable de chiffrer des fichiers sur les systèmes Windows et VMware ESXi, perturbant ainsi le fonctionnement des serveurs et des postes de travail ; cela peut entraîner l'inaccessibilité de données et de services importants, perturbant ainsi les opérations commerciales. » « En ciblant VMware ESXi, Eldorado peut arrêter et chiffrer des machines virtuelles, perturbant ainsi le fonctionnement de l'ensemble de l'infrastructure de virtualisation », a ajouté un représentant de VNCERT/CC.
En effet, le gestionnaire virtuel VMware ESXi et le système d'exploitation Windows sont très répandus au Vietnam. Par conséquent, pour garantir la sécurité du système d'information de l'unité et contribuer à la sécurité du cyberespace vietnamien, le VNCERT/CC recommande aux administrateurs certaines mesures à mettre en œuvre.
Plus précisément, les administrateurs des systèmes d'information des agences, organisations et entreprises utilisant VMware ESXi et Windows doivent déployer une authentification multifacteur ainsi que des solutions d'accès basées sur les informations d'identification ; utiliser la surveillance de la sécurité du système EDR pour identifier et répondre rapidement aux indicateurs de ransomware ; et sauvegarder régulièrement les données pour minimiser les dommages et la perte de données.
Parallèlement à cela, il est également conseillé aux administrateurs d’utiliser des solutions d’analyse basées sur l’IA et une technologie avancée de détection des logiciels malveillants pour détecter et répondre aux intrusions en temps réel, en se concentrant sur la mise à jour périodique des correctifs de sécurité pour corriger les vulnérabilités du système.
En plus de prêter attention à la propagande et de former le personnel sur la manière de reconnaître et de signaler les menaces de cybersécurité, il est également recommandé aux agences, organisations et entreprises de réaliser des audits techniques annuels ou des évaluations de sécurité.
Source : https://kinhtedothi.vn/canh-giac-voi-ma-doc-ma-hoa-du-lieu-moi.html
Comment (0)