De acordo com o Centro de Resposta a Emergências Cibernéticas do Vietnã - VNCERT/CC, do Departamento de Segurança da Informação ( Ministério da Informação e Comunicações ), o Eldorado é um novo tipo de ransomware RaaS, que apareceu em março e vem com variantes para o gerenciador virtual VMware ESXi e sistema operacional Windows.
O Group-IB vem monitorando as atividades do Eldorado e descobriu que os operadores desse grupo de ransomware vêm promovendo o serviço malicioso no fórum RAMP em busca de membros qualificados para participar de campanhas de ataques cibernéticos.
O VNCERT/CC acrescentou que o malware Eldorado é escrito na linguagem de programação Go, capaz de criptografar os sistemas operacionais Windows e Linux por meio de duas variantes separadas com amplas similaridades operacionais.
A pesquisa do Group-IB também descobriu que o malware utiliza o algoritmo ChaCha20 para criptografia. Após a etapa de criptografia, os arquivos são anexados com a extensão ".00000001" e uma nota de resgate chamada "COMO_RETORNAR_SEUS_DADOS.TXT" é inserida nas pastas Documentos e Área de Trabalho.
O Eldorado também criptografa compartilhamentos de rede usando o protocolo de comunicação SMB para maximizar seu impacto e exclui cópias de sombra de unidades em máquinas Windows comprometidas para impedir a recuperação. Além disso, o malware também é configurado para se autodestruir por padrão, na tentativa de evitar a detecção e análise pelas equipes de resposta.
Sobre o nível de perigo do Eldorado, o VNCERT/CC afirmou: Este malware é capaz de criptografar arquivos em sistemas Windows e VMware ESXi, interrompendo a operação de servidores e estações de trabalho; isso pode levar à inacessibilidade de dados e serviços importantes, interrompendo as operações comerciais. "Visando o VMware ESXi, o Eldorado pode desligar e criptografar máquinas virtuais, interrompendo a operação de toda a infraestrutura de virtualização", acrescentou o representante do VNCERT/CC.
De fato, o gerenciador virtual VMware ESXi e o sistema operacional Windows são bastante populares no Vietnã. Portanto, para garantir a segurança das informações do sistema de informação da unidade, contribuindo para a segurança do ciberespaço vietnamita, o VNCERT/CC recomenda algumas medidas que os administradores precisam implementar.
Especificamente, os administradores de sistemas de informação de agências, organizações e empresas que usam VMware ESXi e Windows precisam implantar autenticação multifator, bem como soluções de acesso baseadas em credenciais; usar recursos de monitoramento de segurança do sistema EDR para identificar e responder rapidamente a indicadores de ransomware; e fazer backup de dados regularmente para minimizar danos e perda de dados.
Além disso, os administradores também são aconselhados a usar soluções de análise baseadas em IA e tecnologia avançada de detecção de malware para detectar e responder a intrusões em tempo real; concentrando-se na atualização periódica de patches de segurança para corrigir vulnerabilidades do sistema.
Além de prestar atenção à propaganda e treinar a equipe sobre como reconhecer e relatar ameaças à segurança cibernética, também é recomendado que agências, organizações e empresas realizem auditorias técnicas ou avaliações de segurança anuais.
[anúncio_2]
Fonte: https://kinhtedothi.vn/canh-giac-voi-ma-doc-ma-hoa-du-lieu-moi.html
Comentário (0)