نئے ڈیٹا انکرپشن میلویئر سے ہوشیار رہیں

ویتنام سائبر ایمرجنسی رسپانس سنٹر - VNCERT/CC محکمہ انفارمیشن سیکیورٹی ( وزارت اطلاعات اور مواصلات ) کے تحت، Eldorado ایک نئی قسم کا ransomware ہے بطور سروس - RaaS، جو مارچ میں نمودار ہوا اور VMware ESXi ورچوئل مینیجر اور ونڈوز آپریٹنگ سسٹم کی مختلف حالتوں کے ساتھ آتا ہے۔

Group-IB Eldorado کی سرگرمیوں کی نگرانی کر رہا ہے اور پتہ چلا ہے کہ اس ransomware گروپ کے آپریٹرز سائبر حملے کی مہموں میں حصہ لینے کے لیے ہنر مند اراکین کی تلاش میں RAMP فورم پر بدنیتی پر مبنی سروس کو فروغ دے رہے ہیں۔

VNCERT/CC نے مزید کہا کہ Eldorado میلویئر گو پروگرامنگ لینگویج میں لکھا گیا ہے، جو وسیع آپریشنل مماثلت کے ساتھ دو الگ الگ قسموں کے ذریعے ونڈوز اور لینکس آپریٹنگ سسٹم دونوں کو خفیہ کرنے کے قابل ہے۔

Group-IB کی تحقیق سے یہ بھی پتہ چلا ہے کہ میلویئر انکرپشن کے لیے ChaCha20 الگورتھم کا استعمال کرتا ہے۔ خفیہ کاری کے مرحلے کے بعد، فائلوں کو ".00000001" ایکسٹینشن کے ساتھ شامل کیا جاتا ہے اور "HOW_RETURN_YOUR_DATA.TXT" نامی ایک تاوان کا نوٹ دستاویزات اور ڈیسک ٹاپ فولڈرز میں رکھا جاتا ہے۔

Eldorado اپنے اثر کو زیادہ سے زیادہ کرنے کے لیے SMB کمیونیکیشن پروٹوکول کا استعمال کرتے ہوئے نیٹ ورک شیئرز کو بھی انکرپٹ کرتا ہے اور ریکوری کو روکنے کے لیے کمپرومائز شدہ ونڈوز مشینوں پر ڈرائیوز کی شیڈو کاپیوں کو حذف کرتا ہے۔ مزید برآں، ریسپانس ٹیموں کے ذریعے پتہ لگانے اور تجزیہ کرنے سے بچنے کی کوشش میں، میلویئر بطور ڈیفالٹ خود کو تباہ کرنے کے لیے سیٹ کیا گیا ہے۔

Eldorado کے خطرے کی سطح کے بارے میں، VNCERT/CC نے کہا: یہ میلویئر ونڈوز اور VMware ESXi دونوں سسٹمز پر فائلوں کو انکرپٹ کرنے کی صلاحیت رکھتا ہے، سرورز اور ورک سٹیشنز کے آپریشن میں خلل ڈالتا ہے۔ یہ اہم ڈیٹا اور خدمات تک رسائی کا باعث بن سکتا ہے، جس سے کاروباری کارروائیوں میں خلل پڑ سکتا ہے۔ "VMware ESXi کو نشانہ بناتے ہوئے، Eldorado ورچوئل مشینوں کو بند اور انکرپٹ کر سکتا ہے، جس سے پورے ورچوئلائزیشن انفراسٹرکچر کے آپریشن میں خلل پڑتا ہے،" VNCERT/CC کے نمائندے نے مزید کہا۔

درحقیقت، VMware ESXi ورچوئل مینیجر اور ونڈوز آپریٹنگ سسٹم ویتنام میں کافی مقبول ہیں۔ اس لیے، یونٹ کے انفارمیشن سسٹم کے لیے معلومات کی حفاظت کو یقینی بنانے کے لیے، ویتنام کے سائبر اسپیس کی حفاظت کو یقینی بنانے میں تعاون کرتے ہوئے، VNCERT/CC کچھ اقدامات کی سفارش کرتا ہے جن پر منتظمین کو عمل درآمد کرنے کی ضرورت ہے۔

خاص طور پر، VMware ESXi اور Windows استعمال کرنے والی ایجنسیوں، تنظیموں اور کاروباری اداروں کے انفارمیشن سسٹم کے منتظمین کو ملٹی فیکٹر توثیق کے ساتھ ساتھ اسناد پر مبنی رسائی کے حل کو تعینات کرنے کی ضرورت ہے۔ رینسم ویئر کے اشارے کی فوری شناخت اور جواب دینے کے لیے EDR سسٹم سیکیورٹی مانیٹرنگ کا استعمال کریں۔ اور نقصان اور ڈیٹا کے نقصان کو کم کرنے کے لیے باقاعدگی سے ڈیٹا کا بیک اپ لیں۔

اس کے ساتھ، منتظمین کو یہ بھی مشورہ دیا جاتا ہے کہ وہ AI پر مبنی تجزیہ حل اور جدید میلویئر کا پتہ لگانے والی ٹیکنالوجی استعمال کریں تاکہ حقیقی وقت میں مداخلت کا پتہ لگایا جا سکے۔ نظام کی کمزوریوں کو دور کرنے کے لیے وقتاً فوقتاً سیکیورٹی پیچ کو اپ ڈیٹ کرنے پر توجہ مرکوز کرنا۔

سائبرسیکیوریٹی کے خطرات کو پہچاننے اور رپورٹ کرنے کے طریقہ پر پروپیگنڈہ اور تربیتی عملے پر توجہ دینے کے علاوہ، ایجنسیوں، تنظیموں اور کاروباری اداروں کو سالانہ تکنیکی آڈٹ یا سیکیورٹی اسیسمنٹ کرنے کی بھی سفارش کی جاتی ہے۔