По данным Центра реагирования на чрезвычайные ситуации в киберпространстве Вьетнама (VNCERT/CC) при Департаменте информационной безопасности ( Министерство информации и коммуникаций ), Eldorado — это новый тип вируса-вымогателя как услуги (RaaS), который появился в марте и поставляется с вариантами для виртуального менеджера VMware ESXi и операционной системы Windows.
Group-IB отслеживала деятельность Eldorado и обнаружила, что операторы этой группы вымогателей продвигали вредоносный сервис на форуме RAMP в поисках опытных участников для участия в кампаниях по кибератакам.
VNCERT/CC добавили, что вредоносная программа Eldorado написана на языке программирования Go и способна шифровать операционные системы Windows и Linux с помощью двух отдельных вариантов, имеющих большое функциональное сходство.
Исследование Group-IB также показало, что вредоносная программа использует алгоритм ChaCha20 для шифрования. После этапа шифрования файлы получают расширение «.00000001», а в папки «Документы» и «Рабочий стол» помещается записка с требованием выкупа под названием «HOW_RETURN_YOUR_DATA.TXT».
Eldorado также шифрует сетевые ресурсы, используя протокол связи SMB, чтобы максимизировать свое воздействие, и удаляет теневые копии дисков на скомпрометированных машинах Windows, чтобы предотвратить восстановление. Кроме того, вредоносная программа по умолчанию настроена на самоуничтожение, чтобы избежать обнаружения и анализа группами реагирования.
Что касается уровня опасности Eldorado, VNCERT/CC заявил: Эта вредоносная программа способна шифровать файлы как на системах Windows, так и на VMware ESXi, нарушая работу серверов и рабочих станций; это может привести к недоступности важных данных и сервисов, нарушая бизнес-операции. «Нацелившись на VMware ESXi, Eldorado может выключать и шифровать виртуальные машины, нарушая работу всей инфраструктуры виртуализации», — добавил представитель VNCERT/CC.
Фактически, виртуальный менеджер VMware ESXi и операционная система Windows довольно популярны во Вьетнаме. Поэтому для обеспечения информационной безопасности информационной системы подразделения, способствуя обеспечению безопасности киберпространства Вьетнама, VNCERT/CC рекомендует администраторам некоторые шаги, которые необходимо реализовать.
В частности, администраторам информационных систем агентств, организаций и предприятий, использующих VMware ESXi и Windows, необходимо развернуть многофакторную аутентификацию, а также решения для доступа на основе учетных данных; использовать мониторинг безопасности системы EDR для быстрого выявления и реагирования на признаки программ-вымогателей; а также регулярно выполнять резервное копирование данных для минимизации ущерба и потери данных.
Наряду с этим администраторам также рекомендуется использовать аналитические решения на основе искусственного интеллекта и передовые технологии обнаружения вредоносных программ для обнаружения вторжений и реагирования на них в режиме реального времени, уделяя особое внимание периодическому обновлению исправлений безопасности для устранения уязвимостей системы.
Помимо уделения внимания пропаганде и обучению персонала тому, как распознавать и сообщать об угрозах кибербезопасности, агентствам, организациям и предприятиям также рекомендуется проводить ежегодные технические аудиты или оценки безопасности.
Источник: https://kinhtedothi.vn/canh-giac-voi-ma-doc-ma-hoa-du-lieu-moi.html
Комментарий (0)