Vær oppmerksom på ny skadelig programvare for datakryptering

Ifølge Vietnam Cyber ​​Emergency Response Center – VNCERT/CC under Department of Information Security ( Ministry of Information and Communications ), er Eldorado en ny type RaaS-ransomware, som dukket opp i mars og kommer med varianter for VMware ESXi Virtual Manager og Windows-operativsystemet.

Group-IB har overvåket Eldorados aktiviteter og funnet ut at operatørene av denne ransomware-gruppen har promotert den ondsinnede tjenesten på RAMP-forumet på jakt etter dyktige medlemmer til å delta i cyberangrepskampanjer.

VNCERT/CC la til at Eldorado-skadevaren er skrevet i programmeringsspråket Go, som er i stand til å kryptere både Windows- og Linux-operativsystemer gjennom to separate varianter med store operasjonelle likheter.

Group-IBs forskning fant også at skadevaren bruker ChaCha20-algoritmen for kryptering. Etter krypteringsfasen legges det til filer med filtypen «.00000001», og en løsepengemelding kalt «HOW_RETURN_YOUR_DATA.TXT» legges inn i mappene Dokumenter og Skrivebord.

Eldorado krypterer også nettverksdelinger ved hjelp av SMB-kommunikasjonsprotokollen for å maksimere effekten og sletter skyggekopier av stasjoner på kompromitterte Windows-maskiner for å forhindre gjenoppretting. Ikke bare det, skadevaren er også satt til å selvdestruere som standard, i et forsøk på å unngå deteksjon og analyse av responsteam.

Angående farenivået til Eldorado, sa VNCERT/CC: Denne skadelige programvaren er i stand til å kryptere filer på både Windows- og VMware ESXi-systemer, noe som forstyrrer driften av servere og arbeidsstasjoner. Dette kan føre til utilgjengelighet av viktige data og tjenester, noe som forstyrrer forretningsdriften. «Eldorado, som er rettet mot VMware ESXi, kan stenge ned og kryptere virtuelle maskiner, noe som forstyrrer driften av hele virtualiseringsinfrastrukturen», la VNCERT/CC-representanten til.

Faktisk er VMware ESXi Virtual Manager og Windows-operativsystemet ganske populære i Vietnam. Derfor anbefaler VNCERT/CC noen tiltak som administratorer må implementere for å sikre informasjonssikkerheten til enhetens informasjonssystem og bidra til å sikre Vietnams cyberspace.

Mer spesifikt må administratorer av informasjonssystemer for etater, organisasjoner og bedrifter som bruker VMware ESXi og Windows, implementere flerfaktorautentisering samt tilgangsløsninger basert på legitimasjon, bruke sikkerhetsovervåkingsfunksjoner for EDR-systemer for raskt å identifisere og reagere på indikatorer på ransomware, og regelmessig sikkerhetskopiere data for å minimere skade og datatap.

I tillegg til dette anbefales administratorer å bruke AI-baserte analyseløsninger og avansert teknologi for deteksjon av skadelig programvare for å oppdage og reagere på inntrenging i sanntid, med fokus på regelmessige oppdateringer av sikkerhetsoppdateringer for å fikse systemsårbarheter.

I tillegg til å være oppmerksom på propaganda og lære opp ansatte i hvordan de skal gjenkjenne og rapportere trusler mot nettsikkerhet, anbefales det også at etater, organisasjoner og bedrifter gjennomfører årlige tekniske revisjoner eller sikkerhetsvurderinger.