Остерегайтесь нового вредоносного ПО для шифрования данных

По данным Центра реагирования на чрезвычайные ситуации в киберпространстве Вьетнама (VNCERT/CC) при Департаменте информационной безопасности ( Министерство информации и коммуникаций ), Eldorado — это новый тип вируса-вымогателя как услуги (RaaS), который появился в марте и поставляется в вариантах для виртуального менеджера VMware ESXi и операционной системы Windows.

Group-IB отслеживала деятельность «Эльдорадо» и обнаружила, что операторы этой группы вымогателей продвигали вредоносный сервис на форуме RAMP в поисках квалифицированных участников для участия в кампаниях по кибератакам.

VNCERT/CC добавили, что вредоносная программа Eldorado написана на языке программирования Go и способна шифровать операционные системы Windows и Linux посредством двух отдельных вариантов с большим количеством общих принципов работы.

Исследование Group-IB также показало, что вредоносная программа использует алгоритм шифрования ChaCha20. После шифрования к файлам добавляется расширение «.00000001», а в папки «Документы» и «Рабочий стол» помещается записка с требованием выкупа «HOW_RETURN_YOUR_DATA.TXT».

Eldorado также шифрует сетевые ресурсы, используя протокол SMB, чтобы максимально эффективно использовать вредоносное ПО, и удаляет теневые копии дисков на скомпрометированных компьютерах Windows, чтобы предотвратить восстановление. Кроме того, вредоносная программа по умолчанию настроена на самоуничтожение, чтобы избежать обнаружения и анализа службами реагирования.

Что касается уровня опасности Eldorado, VNCERT/CC заявил: «Эта вредоносная программа способна шифровать файлы как в системах Windows, так и в системах VMware ESXi, нарушая работу серверов и рабочих станций; это может привести к недоступности важных данных и сервисов, нарушая работу бизнеса». «Нацелившись на VMware ESXi, Eldorado может вывести из строя и зашифровать виртуальные машины, нарушив работу всей инфраструктуры виртуализации», — добавил представитель VNCERT/CC.

Фактически, виртуальный менеджер VMware ESXi и операционная система Windows весьма популярны во Вьетнаме. Поэтому для обеспечения информационной безопасности информационной системы подразделения, способствующей безопасности киберпространства Вьетнама, VNCERT/CC рекомендует администраторам предпринять ряд мер.

В частности, администраторам информационных систем агентств, организаций и предприятий, использующих VMware ESXi и Windows, необходимо развернуть многофакторную аутентификацию, а также решения для доступа на основе учетных данных; использовать мониторинг безопасности системы EDR для быстрого выявления и реагирования на признаки программ-вымогателей; а также регулярно создавать резервные копии данных для минимизации ущерба и потери данных.

Наряду с этим администраторам также рекомендуется использовать аналитические решения на основе искусственного интеллекта и передовые технологии обнаружения вредоносных программ для обнаружения вторжений и реагирования на них в режиме реального времени, уделяя особое внимание периодическому обновлению исправлений безопасности для устранения уязвимостей системы.

Помимо уделения внимания пропаганде и обучению персонала тому, как распознавать и сообщать об угрозах кибербезопасности, агентствам, организациям и предприятиям также рекомендуется проводить ежегодные технические аудиты или оценки безопасности.