Według Vietnam Cyber Emergency Response Center - VNCERT/CC, działającego w ramach Departamentu Bezpieczeństwa Informacyjnego ( Ministerstwo Informacji i Komunikacji ), Eldorado to nowy typ ransomware RaaS, który pojawił się w marcu i występuje w wariantach przeznaczonych dla wirtualnego menedżera VMware ESXi i systemu operacyjnego Windows.
Group-IB monitorował działania Eldorado i odkrył, że operatorzy tej grupy ransomware promowali złośliwą usługę na forum RAMP, poszukując wykwalifikowanych członków do udziału w kampaniach cyberataków.
VNCERT/CC dodał, że złośliwe oprogramowanie Eldorado zostało napisane w języku programowania Go i jest w stanie szyfrować systemy operacyjne Windows i Linux za pomocą dwóch odrębnych wariantów o dużych podobieństwach operacyjnych.
Badania Group-IB wykazały również, że złośliwe oprogramowanie wykorzystuje algorytm ChaCha20 do szyfrowania. Po etapie szyfrowania do plików dodawane jest rozszerzenie „.00000001”, a w folderach Dokumenty i Pulpit umieszczana jest notatka z żądaniem okupu o nazwie „HOW_RETURN_YOUR_DATA.TXT”.
Eldorado szyfruje również udziały sieciowe za pomocą protokołu komunikacyjnego SMB, aby zmaksymalizować swój wpływ, i usuwa kopie zapasowe dysków na zainfekowanych komputerach z systemem Windows, uniemożliwiając ich odzyskanie. Co więcej, złośliwe oprogramowanie jest domyślnie ustawione na samozniszczenie, aby uniknąć wykrycia i analizy przez zespoły reagowania.
Odnosząc się do poziomu zagrożenia, jakie niesie ze sobą Eldorado, VNCERT/CC stwierdził: To złośliwe oprogramowanie potrafi szyfrować pliki zarówno w systemach Windows, jak i VMware ESXi, zakłócając działanie serwerów i stacji roboczych. Może to prowadzić do braku dostępu do ważnych danych i usług, zakłócając tym samym funkcjonowanie firmy. „Atakując VMware ESXi, Eldorado może wyłączać i szyfrować maszyny wirtualne, zakłócając działanie całej infrastruktury wirtualizacji” – dodał przedstawiciel VNCERT/CC.
W rzeczywistości wirtualny menedżer VMware ESXi i system operacyjny Windows cieszą się dużą popularnością w Wietnamie. Dlatego, aby zapewnić bezpieczeństwo informacji w systemie informatycznym jednostki, przyczyniając się do bezpieczeństwa cyberprzestrzeni Wietnamu, VNCERT/CC zaleca administratorom wdrożenie kilku kroków.
Administratorzy systemów informatycznych agencji, organizacji i firm korzystających z VMware ESXi i systemu Windows muszą wdrażać uwierzytelnianie wieloskładnikowe oraz rozwiązania zapewniające dostęp oparty na poświadczeniach; używać funkcji monitorowania bezpieczeństwa systemu EDR w celu szybkiego identyfikowania oznak oprogramowania ransomware i reagowania na nie; a także regularnie tworzyć kopie zapasowe danych w celu zminimalizowania uszkodzeń i utraty danych.
Administratorom zaleca się również korzystanie z rozwiązań analitycznych opartych na sztucznej inteligencji oraz zaawansowanej technologii wykrywania złośliwego oprogramowania, aby wykrywać włamania i reagować na nie w czasie rzeczywistym, kładąc nacisk na okresową aktualizację poprawek bezpieczeństwa w celu usuwania luk w zabezpieczeniach systemu.
Oprócz zwracania uwagi na propagandę i szkolenia personelu w zakresie rozpoznawania i zgłaszania zagrożeń cyberbezpieczeństwa, zaleca się również, aby agencjom, organizacjom i przedsiębiorstwom przeprowadzano coroczne audyty techniczne lub oceny bezpieczeństwa.
Source: https://kinhtedothi.vn/canh-giac-voi-ma-doc-ma-hoa-du-lieu-moi.html
![[Zdjęcie] Premier Pham Minh Chinh przewodniczy szóstemu spotkaniu Rady Koordynacyjnej Delty Rzeki Czerwonej](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/20/310e73a867174433b2c489ec309c9063)
![[WIDEO] 50 lat Petrovietnam: Podtrzymywanie dziedzictwa, tworzenie krajowej energii](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/9/20/dff4ddb3d15a4076ba5f67fcdc6c7189)
Komentarz (0)