Se upp för ny skadlig kod för datakryptering

Enligt Vietnam Cyber ​​Emergency Response Center - VNCERT/CC under avdelningen för informationssäkerhet ( ministeriet för information och kommunikation ) är Eldorado en ny typ av RaaS-ransomware, som dök upp i mars och kommer med varianter för VMware ESXi Virtual Manager och Windows operativsystem.

Group-IB har övervakat Eldorados aktiviteter och upptäckt att operatörerna av denna ransomware-grupp har marknadsfört den skadliga tjänsten på RAMP-forumet i jakt på skickliga medlemmar som kan delta i cyberattackkampanjer.

VNCERT/CC tillade att skadlig programvara Eldorado är skriven i programmeringsspråket Go, och kan kryptera både Windows- och Linux-operativsystem genom två separata varianter med stora operativa likheter.

Group-IB:s forskning fann också att skadlig programvara använder ChaCha20-algoritmen för kryptering. Efter krypteringsfasen läggs filer till med tillägget ".00000001" och en lösensumma med namnet "HOW_RETURN_YOUR_DATA.TXT" släpps i mapparna Dokument och Skrivbord.

Eldorado krypterar även nätverksdelningar med hjälp av SMB-kommunikationsprotokollet för att maximera dess effekt och tar bort skuggkopior av hårddiskar på komprometterade Windows-maskiner för att förhindra återställning. Inte bara det, skadlig programvara är också inställd på att självförstöras som standard, i ett försök att undvika upptäckt och analys av räddningsteam.

Angående Eldorados faronivå sa VNCERT/CC: Denna skadliga kod kan kryptera filer på både Windows- och VMware ESXi-system, vilket stör driften av servrar och arbetsstationer. Detta kan leda till otillgänglighet av viktiga data och tjänster, vilket stör affärsverksamheten. "Eldorado, som riktar sig mot VMware ESXi, kan stänga av och kryptera virtuella maskiner, vilket stör driften av hela virtualiseringsinfrastrukturen", tillade en representant för VNCERT/CC.

Faktum är att VMware ESXi Virtual Manager och operativsystemet Windows är ganska populära i Vietnam. För att säkerställa informationssäkerheten för enhetens informationssystem och bidra till att säkerställa säkerheten i Vietnams cyberrymd rekommenderar VNCERT/CC därför några steg som administratörer behöver implementera.

Mer specifikt behöver administratörer av informationssystem hos myndigheter, organisationer och företag som använder VMware ESXi och Windows implementera flerfaktorsautentisering samt lösningar för åtkomst baserad på autentiseringsuppgifter; använda säkerhetsövervakningsfunktioner för EDR-system för att snabbt identifiera och reagera på indikatorer på ransomware; och regelbundet säkerhetskopiera data för att minimera skador och dataförlust.

Utöver detta rekommenderas administratörer också att använda AI-baserade analyslösningar och avancerad teknik för detektering av skadlig kod för att upptäcka och reagera på intrång i realtid, med fokus på att regelbundet uppdatera säkerhetsuppdateringar för att åtgärda systemsårbarheter.

Förutom att uppmärksamma propaganda och utbilda personal i hur man känner igen och rapporterar cybersäkerhetshot rekommenderas även myndigheter, organisationer och företag att genomföra årliga tekniska revisioner eller säkerhetsbedömningar.