Attenzione ai nuovi malware che crittografano i dati.

Secondo il Centro vietnamita di risposta alle emergenze informatiche (VNCERT/CC) del Dipartimento di sicurezza informatica ( Ministero dell'Informazione e delle Comunicazioni ), Eldorado è un nuovo tipo di ransomware as a service (RaaS), emerso a marzo e disponibile in varianti per il sistema di gestione virtuale VMware ESXi e per il sistema operativo Windows.

Group-IB ha monitorato l'attività di Eldorado e ha scoperto che gli operatori di questo gruppo di attacco ransomware promuovevano il loro servizio dannoso sul forum RAMP per reclutare membri qualificati per le campagne di attacchi informatici.

Attenzione ai nuovi malware che crittografano i dati.

VNCERT/CC ha inoltre affermato che il malware Eldorado è scritto nel linguaggio di programmazione Go ed è in grado di crittografare i sistemi operativi Windows e Linux attraverso due varianti distinte con un funzionamento molto simile.

Le ricerche di Group-IB indicano inoltre che questo malware utilizza l'algoritmo ChaCha20 per la crittografia. Dopo la fase di crittografia, ai file viene assegnata l'estensione ".00000001" e una nota di riscatto denominata "HOW_RETURN_YOUR_DATA.TXT" viene inserita nelle cartelle Documenti e Desktop.

Eldorado crittografa anche le condivisioni di rete utilizzando il protocollo di comunicazione SMB per massimizzare il suo impatto ed elimina le copie shadow del disco sui computer Windows compromessi per impedirne il ripristino. Inoltre, il malware è configurato per autoeliminarsi per impostazione predefinita, con l'obiettivo di evitare il rilevamento e l'analisi da parte dei team di risposta.

Riguardo alla gravità di Eldorado, VNCERT/CC ha dichiarato: "Questo malware è in grado di crittografare i file sia sui sistemi Windows che su VMware ESXi, interrompendo il funzionamento di server e workstation; ciò può comportare l'impossibilità di accedere a dati e servizi critici, con conseguenti interruzioni delle attività aziendali. Prendendo di mira VMware ESXi, Eldorado può arrestare e crittografare le macchine virtuali, compromettendo il funzionamento dell'intera infrastruttura di virtualizzazione", ha aggiunto un rappresentante di VNCERT/CC.

In effetti, il sistema di gestione virtuale VMware ESXi e il sistema operativo Windows sono piuttosto diffusi in Vietnam. Pertanto, per garantire la sicurezza delle informazioni dei sistemi informativi dell'organizzazione e contribuire alla sicurezza del cyberspazio vietnamita, VNCERT/CC raccomanda una serie di misure che gli amministratori devono implementare.

Nello specifico, gli amministratori di sistemi informativi presso agenzie, organizzazioni e aziende che utilizzano VMware ESXi e Windows devono implementare l'autenticazione a più fattori e soluzioni di accesso basate sulle credenziali; utilizzare la funzionalità di monitoraggio della sicurezza del sistema EDR per identificare e rispondere rapidamente agli indicatori di ransomware; ed eseguire regolarmente il backup dei dati per ridurre al minimo i danni e la perdita di dati.

Inoltre, si consiglia agli amministratori di utilizzare soluzioni di analisi basate sull'intelligenza artificiale e tecnologie avanzate di rilevamento del malware per individuare e contrastare le intrusioni in tempo reale, nonché di concentrarsi sull'aggiornamento regolare delle patch di sicurezza per correggere le vulnerabilità del sistema.

Oltre a concentrarsi sulla sensibilizzazione e sulla formazione del personale su come identificare e segnalare le minacce alla sicurezza informatica, si consiglia ad agenzie, organizzazioni e aziende di condurre audit tecnici o valutazioni di sicurezza annuali.

Fonte: https://kinhtedothi.vn/canh-giac-voi-ma-doc-ma-hoa-du-lieu-moi.html