ระวังมัลแวร์เข้ารหัสข้อมูลใหม่

ตามข้อมูลของศูนย์ตอบสนองเหตุฉุกเฉินทางไซเบอร์ของเวียดนาม (VNCERT/CC) ภายใต้กรมความปลอดภัยข้อมูล ( กระทรวงสารสนเทศและการสื่อสาร ) Eldorado เป็นแรนซัมแวร์ประเภทใหม่ในรูปแบบบริการ - RaaS ซึ่งเปิดตัวในเดือนมีนาคมและมาพร้อมกับตัวแปรสำหรับตัวจัดการเสมือน VMware ESXi และระบบปฏิบัติการ Windows

Group-IB ได้ติดตามกิจกรรมของ Eldorado และพบว่าผู้ดำเนินการกลุ่ม ransomware ได้ส่งเสริมบริการที่เป็นอันตรายบนฟอรัม RAMP เพื่อค้นหาสมาชิกที่มีทักษะในการเข้าร่วมในแคมเปญโจมตีทางไซเบอร์

VNCERT/CC เสริมว่ามัลแวร์ Eldorado เขียนด้วยภาษาโปรแกรม Go ซึ่งสามารถเข้ารหัสระบบปฏิบัติการทั้ง Windows และ Linux ผ่านตัวแปรแยกกันสองตัวที่มีความคล้ายคลึงกันในการทำงานเป็นวงกว้าง

งานวิจัยของ Group-IB ยังพบว่ามัลแวร์ใช้อัลกอริทึม ChaCha20 ในการเข้ารหัส หลังจากขั้นตอนการเข้ารหัส ไฟล์จะถูกเพิ่มนามสกุล “.00000001” และบันทึกเรียกค่าไถ่ชื่อ “HOW_RETURN_YOUR_DATA.TXT” จะถูกวางไว้ในโฟลเดอร์ Documents และ Desktop

Eldorado ยังเข้ารหัสการแชร์เครือข่ายโดยใช้โปรโตคอลการสื่อสาร SMB เพื่อเพิ่มผลกระทบสูงสุด และลบสำเนาเงาของไดรฟ์บนเครื่อง Windows ที่ถูกบุกรุกเพื่อป้องกันการกู้คืน นอกจากนี้ มัลแวร์ยังถูกตั้งค่าให้ทำลายตัวเองตามค่าเริ่มต้น เพื่อหลีกเลี่ยงการถูกตรวจจับและวิเคราะห์โดยทีมรับมือ

เกี่ยวกับระดับความอันตรายของ Eldorado ทาง VNCERT/CC กล่าวว่า มัลแวร์นี้สามารถเข้ารหัสไฟล์ได้ทั้งบนระบบ Windows และ VMware ESXi ส่งผลให้เซิร์ฟเวอร์และเวิร์กสเตชันทำงานผิดปกติ ซึ่งอาจนำไปสู่การไม่สามารถเข้าถึงข้อมูลและบริการสำคัญได้ ส่งผลให้การดำเนินธุรกิจหยุดชะงัก ตัวแทนจาก VNCERT/CC เสริมว่า "Eldorado สามารถปิดระบบและเข้ารหัสเครื่องเสมือนที่โจมตี VMware ESXi ซึ่งจะส่งผลกระทบต่อการทำงานของโครงสร้างพื้นฐานเสมือนจริงทั้งหมด"

อันที่จริงแล้ว ตัวจัดการเสมือน VMware ESXi และระบบปฏิบัติการ Windows ได้รับความนิยมอย่างมากในเวียดนาม ดังนั้น เพื่อรับประกันความปลอดภัยของข้อมูลในระบบสารสนเทศของหน่วยงาน ซึ่งจะช่วยสร้างความปลอดภัยให้กับไซเบอร์สเปซของเวียดนาม VNCERT/CC จึงแนะนำขั้นตอนบางประการที่ผู้ดูแลระบบควรนำไปปฏิบัติ

โดยเฉพาะอย่างยิ่ง ผู้ดูแลระบบสารสนเทศของหน่วยงาน องค์กร และบริษัทต่างๆ ที่ใช้ VMware ESXi และ Windows จำเป็นต้องใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย รวมถึงโซลูชันการเข้าถึงตามข้อมูลประจำตัว ใช้การตรวจสอบความปลอดภัยของระบบ EDR เพื่อระบุและตอบสนองต่อตัวบ่งชี้ของแรนซัมแวร์ได้อย่างรวดเร็ว และสำรองข้อมูลเป็นประจำเพื่อลดความเสียหายและการสูญเสียข้อมูลให้น้อยที่สุด

นอกจากนั้น ผู้ดูแลระบบยังได้รับคำแนะนำให้ใช้โซลูชันการวิเคราะห์ที่ใช้ AI และเทคโนโลยีการตรวจจับมัลแวร์ขั้นสูงเพื่อตรวจจับและตอบสนองต่อการบุกรุกแบบเรียลไทม์ โดยเน้นที่การอัปเดตแพตช์ความปลอดภัยเป็นระยะเพื่อแก้ไขช่องโหว่ของระบบ

นอกเหนือจากการให้ความสำคัญกับการโฆษณาชวนเชื่อและการฝึกอบรมพนักงานเกี่ยวกับวิธีการรับรู้และรายงานภัยคุกคามทางไซเบอร์แล้ว ยังแนะนำให้หน่วยงาน องค์กร และธุรกิจต่างๆ ดำเนินการตรวจสอบทางเทคนิคหรือการประเมินความปลอดภัยประจำปีด้วย