وفقًا لمركز الاستجابة للطوارئ السيبرانية في فيتنام - VNCERT/CC التابع لإدارة أمن المعلومات (وزارة المعلومات والاتصالات)، فإن Eldorado هو نوع جديد من برامج الفدية كخدمة - RaaS، والذي ظهر في شهر مارس ويأتي مع إصدارات لمدير VMware ESXi الافتراضي ونظام التشغيل Windows.

قامت مجموعة IB بمراقبة أنشطة Eldorado واكتشفت أن مشغلي مجموعة برامج الفدية هذه كانوا يقومون بالترويج للخدمة الخبيثة على منتدى RAMP بحثًا عن أعضاء مهرة للمشاركة في حملات الهجوم الإلكتروني.

وأضاف VNCERT/CC أن برنامج Eldorado الخبيث مكتوب بلغة البرمجة Go، وهو قادر على تشفير أنظمة التشغيل Windows وLinux من خلال نسختين منفصلتين مع تشابه تشغيلي واسع النطاق.

وتظهر أبحاث Group-IB أيضًا أن البرامج الضارة تستخدم خوارزمية ChaCha20 للتشفير. بعد مرحلة التشفير، يتم إلحاق الملفات بالامتداد ".00000001" ويتم وضع مذكرة فدية باسم "HOW_RETURN_YOUR_DATA.TXT" في مجلدي المستندات وسطح المكتب.

يقوم Eldorado أيضًا بتشفير مشاركات الشبكة باستخدام بروتوكول الاتصالات SMB لتعظيم تأثيره ويحذف النسخ الظلية لمحركات الأقراص الموجودة على أجهزة الكمبيوتر التي تعمل بنظام Windows المخترقة لمنع الاسترداد. ليس هذا فحسب، بل يتم أيضًا ضبط البرامج الضارة على الحذف الذاتي بشكل افتراضي، بهدف تجنب اكتشافها وتحليلها بواسطة فريق الاستجابة.

وفيما يتعلق بمستوى خطورة Eldorado، قال VNCERT/CC: هذا البرنامج الخبيث قادر على تشفير الملفات على أنظمة Windows وVMware ESXi، مما يؤدي إلى تعطيل تشغيل الخوادم ومحطات العمل؛ وقد يؤدي هذا إلى عدم القدرة على الوصول إلى البيانات والخدمات الهامة، مما يؤدي إلى تعطيل العمليات التجارية. وأضاف أحد ممثلي VNCERT/CC: "من خلال استهداف VMware ESXi، يمكن لـ Eldorado إيقاف تشغيل وتشفير الأجهزة الافتراضية، مما يؤدي إلى تعطيل تشغيل البنية التحتية الافتراضية بأكملها".

في الواقع، يعد برنامج VMware ESXi virtual manager ونظام التشغيل Windows شائعين للغاية في فيتنام. لذلك، ولضمان أمن المعلومات لنظام المعلومات الخاص بالوحدة، والمساهمة في ضمان سلامة الفضاء الإلكتروني في فيتنام، يوصي مركز VNCERT/CC بعدد من الخطوات التي يتعين على المسؤولين تنفيذها.

على وجه التحديد، يحتاج مسؤولو أنظمة المعلومات في الوكالات والمؤسسات والشركات التي تستخدم VMware ESXi وWindows إلى نشر مصادقة متعددة العوامل بالإضافة إلى حلول الوصول القائمة على بيانات الاعتماد؛ استخدم مراقبة أمان نظام EDR لتحديد مؤشرات برامج الفدية والاستجابة لها بسرعة؛ قم بعمل نسخة احتياطية لبياناتك بشكل منتظم لتقليل الضرر وفقدان البيانات.

وبالإضافة إلى ذلك، يُنصح المسؤولون أيضًا باستخدام حلول التحليلات القائمة على الذكاء الاصطناعي وتقنية الكشف عن البرامج الضارة المتقدمة للكشف عن عمليات الاختراق والاستجابة لها في الوقت الفعلي؛ ركز على تحديث تصحيحات الأمان بشكل منتظم لإصلاح ثغرات النظام.

بالإضافة إلى الاهتمام بالدعاية وتدريب الموظفين على كيفية التعرف على تهديدات الأمن السيبراني والإبلاغ عنها، يوصى أيضًا للوكالات والمنظمات والشركات بإجراء عمليات تدقيق فنية سنوية أو تقييمات أمنية.