Atenție la noile programe malware pentru criptarea datelor

Potrivit Centrului de Răspuns la Urgențe Cibernetice din Vietnam - VNCERT/CC din cadrul Departamentului pentru Securitatea Informațiilor ( Ministerul Informațiilor și Comunicațiilor ), Eldorado este un nou tip de ransomware RaaS, apărut în martie și care vine cu variante pentru VMware ESXi Virtual Manager și sistemul de operare Windows.

Group-IB a monitorizat activitățile Eldorado și a descoperit că operatorii acestui grup ransomware au promovat serviciul rău intenționat pe forumul RAMP în căutarea unor membri calificați pentru a participa la campanii de atacuri cibernetice.

VNCERT/CC a adăugat că malware-ul Eldorado este scris în limbajul de programare Go, capabil să cripteze atât sistemele de operare Windows, cât și Linux prin două variante separate cu similarități operaționale semnificative.

Cercetările Group-IB au descoperit, de asemenea, că malware-ul folosește algoritmul ChaCha20 pentru criptare. După etapa de criptare, fișierelor li se adaugă extensia „.00000001”, iar o notă de răscumpărare numită „HOW_RETURN_YOUR_DATA.TXT” este plasată în folderele Documente și Desktop.

Eldorado criptează, de asemenea, partajările de rețea folosind protocolul de comunicare SMB pentru a-și maximiza impactul și șterge copiile din umbră ale unităților de pe mașinile Windows compromise pentru a preveni recuperarea. Nu numai atât, malware-ul este, de asemenea, configurat să se autodistrugă în mod implicit, în încercarea de a evita detectarea și analiza de către echipele de răspuns.

În ceea ce privește nivelul de pericol al Eldorado, VNCERT/CC a declarat: „Acest malware este capabil să cripteze fișiere atât pe sistemele Windows, cât și pe cele VMware ESXi, perturbând funcționarea serverelor și a stațiilor de lucru; acest lucru poate duce la inaccesibilitatea datelor și serviciilor importante, perturbând operațiunile de afaceri. „Vizează VMware ESXi, Eldorado poate opri și cripta mașini virtuale, perturbând funcționarea întregii infrastructuri de virtualizare”, a adăugat un reprezentant VNCERT/CC.

De fapt, managerul virtual VMware ESXi și sistemul de operare Windows sunt destul de populare în Vietnam. Prin urmare, pentru a asigura securitatea informațiilor pentru sistemul informatic al unității, contribuind la asigurarea siguranței spațiului cibernetic din Vietnam, VNCERT/CC recomandă câțiva pași pe care administratorii trebuie să îi implementeze.

Mai exact, administratorii sistemelor informatice ale agențiilor, organizațiilor și companiilor care utilizează VMware ESXi și Windows trebuie să implementeze autentificare multi-factor, precum și soluții de acces bazate pe acreditări; să utilizeze funcții de monitorizare a securității sistemului EDR pentru a identifica și a răspunde rapid la indicatorii de ransomware; și să efectueze în mod regulat copii de rezervă ale datelor pentru a minimiza daunele și pierderile de date.

În plus, administratorilor li se recomandă să utilizeze soluții de analiză bazate pe inteligență artificială și tehnologie avansată de detectare a programelor malware pentru a detecta și a răspunde la intruziuni în timp real; concentrându-se pe actualizarea periodică a patch-urilor de securitate pentru a remedia vulnerabilitățile sistemului.

Pe lângă atenția acordată propagandei și instruirea personalului cu privire la modul de recunoaștere și raportare amenințărilor cibernetice, agențiilor, organizațiilor și companiilor li se recomandă, de asemenea, să efectueze audituri tehnice sau evaluări de securitate anuale.