Attention aux nouveaux logiciels malveillants de cryptage de données

Selon le Centre de réponse aux urgences cybernétiques du Vietnam - VNCERT/CC, relevant du Département de la sécurité de l'information ( ministère de l'Information et des Communications ), Eldorado est un nouveau type de ransomware RaaS, apparu en mars et livré avec des variantes pour le gestionnaire virtuel VMware ESXi et le système d'exploitation Windows.

Group-IB a surveillé les activités d'Eldorado et a découvert que les opérateurs de ce groupe de ransomware faisaient la promotion du service malveillant sur le forum RAMP à la recherche de membres qualifiés pour participer à des campagnes de cyberattaques.

VNCERT/CC a ajouté que le malware Eldorado est écrit dans le langage de programmation Go, capable de crypter les systèmes d'exploitation Windows et Linux via deux variantes distinctes présentant de grandes similitudes opérationnelles.

Les recherches du Group-IB ont également révélé que le logiciel malveillant utilise l'algorithme ChaCha20 pour le chiffrement. Après le chiffrement, les fichiers sont dotés de l'extension « .00000001 » et une demande de rançon intitulée « COMMENT_RETOURNER_VOS_DONNEES.TXT » est déposée dans les dossiers « Documents » et « Bureau ».

Eldorado chiffre également les partages réseau via le protocole de communication SMB pour maximiser son impact et supprime les copies fantômes des lecteurs sur les machines Windows compromises afin d'empêcher toute récupération. De plus, le logiciel malveillant est configuré pour s'autodétruire par défaut, afin d'échapper à la détection et à l'analyse des équipes d'intervention.

Concernant le niveau de dangerosité d'Eldorado, VNCERT/CC a déclaré : « Ce logiciel malveillant est capable de chiffrer des fichiers sur les systèmes Windows et VMware ESXi, perturbant ainsi le fonctionnement des serveurs et des postes de travail. Cela peut entraîner l'inaccessibilité de données et de services importants, perturbant ainsi les activités de l'entreprise. » « En ciblant VMware ESXi, Eldorado peut arrêter et chiffrer des machines virtuelles, perturbant ainsi le fonctionnement de l'ensemble de l'infrastructure de virtualisation », a ajouté un représentant de VNCERT/CC.

En effet, le gestionnaire virtuel VMware ESXi et le système d'exploitation Windows sont très répandus au Vietnam. Par conséquent, afin de garantir la sécurité du système d'information de l'unité et de contribuer à la sécurité du cyberespace vietnamien, le VNCERT/CC recommande aux administrateurs certaines mesures à mettre en œuvre.

Plus précisément, les administrateurs des systèmes d’information des agences, organisations et entreprises utilisant VMware ESXi et Windows doivent déployer une authentification multifacteur ainsi que des solutions d’accès basées sur des informations d’identification ; utiliser les fonctionnalités de surveillance de la sécurité du système EDR pour identifier et répondre rapidement aux indicateurs de ransomware ; et sauvegarder régulièrement les données pour minimiser les dommages et la perte de données.

Parallèlement à cela, il est également conseillé aux administrateurs d’utiliser des solutions d’analyse basées sur l’IA et une technologie avancée de détection des logiciels malveillants pour détecter et répondre aux intrusions en temps réel, en se concentrant sur la mise à jour périodique des correctifs de sécurité pour corriger les vulnérabilités du système.

En plus de prêter attention à la propagande et de former le personnel sur la manière de reconnaître et de signaler les menaces de cybersécurité, il est également recommandé aux agences, organisations et entreprises de réaliser des audits techniques annuels ou des évaluations de sécurité.