По данным Центра реагирования на чрезвычайные ситуации в киберпространстве во Вьетнаме (VNCERT/CC) при Департаменте информационной безопасности (Министерство информации и коммуникаций), Eldorado — это новый тип вируса-вымогателя как услуги (RaaS), который появился в марте и поставляется с вариантами для виртуального менеджера VMware ESXi и операционной системы Windows.

Group-IB отслеживала деятельность Eldorado и обнаружила, что операторы этой группы вымогателей продвигали вредоносный сервис на форуме RAMP в поисках опытных участников для участия в кампаниях по кибератакам.

VNCERT/CC добавили, что вредоносная программа Eldorado написана на языке программирования Go и способна шифровать операционные системы Windows и Linux с помощью двух отдельных вариантов, имеющих большое функциональное сходство.

Исследование Group-IB также показывает, что вредоносная программа использует алгоритм ChaCha20 для шифрования. После этапа шифрования файлы получают расширение «.00000001», а в папки «Документы» и «Рабочий стол» помещается записка с требованием выкупа под названием «HOW_RETURN_YOUR_DATA.TXT».

Eldorado также шифрует сетевые ресурсы с помощью протокола связи SMB, чтобы максимизировать его воздействие, и удаляет теневые копии дисков на скомпрометированных компьютерах Windows, чтобы предотвратить восстановление. Более того, вредоносная программа по умолчанию настроена на самоудаление, чтобы избежать обнаружения и анализа группой реагирования.

Что касается уровня опасности Eldorado, VNCERT/CC заявила: эта вредоносная программа способна шифровать файлы как в системах Windows, так и в VMware ESXi, нарушая работу серверов и рабочих станций; Это может привести к невозможности доступа к критически важным данным и услугам, что приведет к сбоям в работе предприятия. «Нацелившись на VMware ESXi, Eldorado может отключать и шифровать виртуальные машины, нарушая работу всей инфраструктуры виртуализации», — добавил представитель VNCERT/CC.

На самом деле виртуальный менеджер VMware ESXi и операционная система Windows довольно популярны во Вьетнаме. Таким образом, для обеспечения информационной безопасности информационной системы подразделения, способствуя обеспечению безопасности киберпространства Вьетнама, VNCERT/CC рекомендует администраторам реализовать ряд мер.

В частности, администраторам информационных систем агентств, организаций и предприятий, использующих VMware ESXi и Windows, необходимо развернуть многофакторную аутентификацию, а также решения для доступа на основе учетных данных; Используйте мониторинг безопасности системы EDR для быстрого выявления и реагирования на признаки программ-вымогателей; Регулярно создавайте резервные копии данных, чтобы свести к минимуму ущерб и потерю данных.

Наряду с этим администраторам также рекомендуется использовать аналитические решения на основе искусственного интеллекта и передовые технологии обнаружения вредоносных программ для обнаружения вторжений и реагирования на них в режиме реального времени; Сосредоточьтесь на регулярном обновлении исправлений безопасности для устранения уязвимостей системы.

Помимо уделения внимания пропаганде и обучению персонала тому, как распознавать и сообщать об угрозах кибербезопасности, агентствам, организациям и предприятиям также рекомендуется проводить ежегодные технические аудиты или оценки безопасности.