情報通信省情報セキュリティ局傘下のベトナムサイバー緊急対応センター（VNCERT/CC）によると、Eldoradoは3月に登場した新しいタイプのサービスとしてのランサムウェア（RaaS）であり、VMware ESXi仮想マネージャーとWindowsオペレーティングシステム向けの亜種が登場している。

Group-IB は Eldorado の活動を監視しており、このランサムウェア グループの運営者が、サイバー攻撃キャンペーンに参加する熟練したメンバーを探すために RAMP フォーラムで悪意のあるサービスを宣伝していることを発見しました。

VNCERT/CCは、エルドラドマルウェアはGoプログラミング言語で書かれており、動作に幅広い類似性を持つ2つの異なる亜種を通じてWindowsとLinuxの両方のオペレーティングシステムを暗号化できると付け加えた。

Group-IB の調査では、このマルウェアが暗号化に ChaCha20 アルゴリズムを使用していることも明らかになっています。暗号化段階の後、ファイルに拡張子「.00000001」が追加され、「HOW_RETURN_YOUR_DATA.TXT」という名前の身代金要求メモがドキュメントフォルダとデスクトップフォルダに配置されます。

Eldorado は、その効果を最大化するために SMB 通信プロトコルを使用してネットワーク共有を暗号化し、侵害された Windows マシン上のドライブのシャドウ コピーを削除して回復を防止します。それだけでなく、このマルウェアは対応チームによる検出と分析を回避する目的で、デフォルトで自己削除するように設定されています。

Eldorado の危険度について、VNCERT/CC は次のように述べています。このマルウェアは、Windows と VMware ESXi システムの両方でファイルを暗号化し、サーバーとワークステーションの動作を妨害する可能性があります。その結果、重要なデータやサービスにアクセスできなくなり、業務に支障をきたす可能性があります。 「VMware ESXiを標的とするEldoradoは、仮想マシンをシャットダウンして暗号化し、仮想化インフラ全体の運用を混乱させる可能性がある」とVNCERT/CCの担当者は付け加えた。

実際、VMware ESXi 仮想マネージャーと Windows オペレーティング システムはベトナムで非常に人気があります。したがって、ユニットの情報システムの情報セキュリティを確保し、ベトナムのサイバースペースの安全確保に貢献するために、VNCERT/CC は管理者が実装する必要があるいくつかの手順を推奨しています。

具体的には、VMware ESXi および Windows を使用している機関、組織、企業の情報システムの管理者は、多要素認証と資格情報ベースのアクセス ソリューションを導入する必要があります。 EDR システム セキュリティ監視を使用して、ランサムウェアの兆候を迅速に特定し、対応します。損害やデータ損失を最小限に抑えるために、定期的にデータをバックアップしてください。

それに加えて、管理者は AI ベースの分析ソリューションと高度なマルウェア検出テクノロジーを使用して、侵入をリアルタイムで検出して対応することも推奨されます。システムの脆弱性を修正するために、セキュリティ パッチを定期的に更新することに重点を置きます。

政府機関、組織、および企業は、サイバーセキュリティの脅威を認識し報告する方法についての宣伝やスタッフのトレーニングに注意を払うだけでなく、毎年の技術監査やセキュリティ評価を実施することも推奨されます。