Остерігайтеся нового шкідливого програмного забезпечення для шифрування даних

Згідно з даними В'єтнамського центру реагування на кібернадзвичайні ситуації – VNCERT/CC при Департаменті інформаційної безпеки ( Міністерство інформації та зв'язку ), Eldorado – це новий тип програми-вимагача RaaS, який з'явився в березні та постачається у варіантах для віртуального менеджера VMware ESXi та операційної системи Windows.

Group-IB стежила за діяльністю Eldorado та виявила, що оператори цієї групи програм-вимагачів просували шкідливий сервіс на форумі RAMP у пошуках кваліфікованих учасників для участі в кампаніях кібератак.

VNCERT/CC додали, що шкідливе програмне забезпечення Eldorado написано мовою програмування Go та здатне шифрувати операційні системи Windows та Linux за допомогою двох окремих варіантів із значною операційною схожістю.

Дослідження Group-IB також виявило, що шкідливе програмне забезпечення використовує алгоритм ChaCha20 для шифрування. Після етапу шифрування до файлів додається розширення «.00000001», а повідомлення з вимогою викупу під назвою «HOW_RETURN_YOUR_DATA.TXT» поміщається в папки «Документи» та «Робочий стіл».

Eldorado також шифрує мережеві ресурси за допомогою протоколу зв'язку SMB для максимізації свого впливу та видаляє тіньові копії дисків на компрометованих комп'ютерах з Windows, щоб запобігти відновленню. Крім того, шкідливе програмне забезпечення за замовчуванням налаштоване на самознищення, щоб уникнути виявлення та аналізу групами реагування.

Щодо рівня небезпеки Eldorado, VNCERT/CC зазначив: «Це шкідливе програмне забезпечення здатне шифрувати файли як у системах Windows, так і в VMware ESXi, порушуючи роботу серверів і робочих станцій; це може призвести до недоступності важливих даних і служб, що порушує роботу бізнесу». «Націлюючись на VMware ESXi, Eldorado може вимикати та шифрувати віртуальні машини, порушуючи роботу всієї інфраструктури віртуалізації», – додав представник VNCERT/CC.

Фактично, віртуальний менеджер VMware ESXi та операційна система Windows досить популярні у В'єтнамі. Тому, щоб забезпечити інформаційну безпеку інформаційної системи підрозділу, сприяючи забезпеченню безпеки кіберпростору В'єтнаму, VNCERT/CC рекомендує деякі кроки, які адміністратори повинні впровадити.

Зокрема, адміністраторам інформаційних систем установ, організацій та підприємств, що використовують VMware ESXi та Windows, необхідно впроваджувати багатофакторну автентифікацію, а також рішення для доступу на основі облікових даних; використовувати функції моніторингу безпеки системи EDR для швидкого виявлення та реагування на індикатори програм-вимагачів; а також регулярно створювати резервні копії даних, щоб мінімізувати пошкодження та втрату даних.

Поряд з цим, адміністраторам також рекомендується використовувати аналітичні рішення на основі штучного інтелекту та передові технології виявлення шкідливих програм для виявлення вторгнень та реагування на них у режимі реального часу, зосереджуючись на періодичному оновленні патчів безпеки для виправлення вразливостей системи.

Окрім того, що агентствам, організаціям та підприємствам також рекомендується приділяти увагу пропаганді та навчанню персоналу розпізнаванню та повідомлянню про кіберзагрози, їм також рекомендується проводити щорічні технічні аудити або оцінки безпеки.