احذر من برامج تشفير البيانات الجديدة

وفقًا لمركز الاستجابة للطوارئ السيبرانية في فيتنام - VNCERT/CC التابع لإدارة أمن المعلومات ( وزارة المعلومات والاتصالات )، فإن Eldorado هو نوع جديد من برامج الفدية كخدمة - RaaS، والذي ظهر في مارس ويأتي مع إصدارات لمدير VMware ESXi الافتراضي ونظام التشغيل Windows.

قامت مجموعة IB بمراقبة أنشطة Eldorado واكتشفت أن مشغلي مجموعة برامج الفدية هذه كانوا يقومون بالترويج للخدمة الخبيثة على منتدى RAMP بحثًا عن أعضاء مهرة للمشاركة في حملات الهجوم الإلكتروني.

وأضاف VNCERT/CC أن برنامج Eldorado الخبيث مكتوب بلغة البرمجة Go، وهو قادر على تشفير أنظمة التشغيل Windows وLinux من خلال نسختين منفصلتين مع تشابه تشغيلي واسع النطاق.

وجد بحث مجموعة IB أيضًا أن البرنامج الخبيث يستخدم خوارزمية ChaCha20 للتشفير. بعد مرحلة التشفير، تُضاف الملفات ذات الامتداد ".00000001" وتُوضع إشعار فدية باسم "HOW_RETURN_YOUR_DATA.TXT" في مجلدي المستندات وسطح المكتب.

يقوم Eldorado أيضًا بتشفير مشاركات الشبكة باستخدام بروتوكول اتصالات SMB لزيادة تأثيره، ويحذف النسخ الاحتياطية من محركات الأقراص على أجهزة Windows المخترقة لمنع استعادتها. علاوة على ذلك، يتم ضبط البرنامج الخبيث على التدمير الذاتي افتراضيًا، في محاولة لتجنب اكتشافه وتحليله من قِبل فرق الاستجابة.

فيما يتعلق بمستوى خطورة Eldorado، صرحت VNCERT/CC: هذا البرنامج الخبيث قادر على تشفير الملفات على أنظمة Windows وVMware ESXi، مما يُعطل تشغيل الخوادم ومحطات العمل؛ مما قد يؤدي إلى عدم إمكانية الوصول إلى البيانات والخدمات المهمة، وتعطيل العمليات التجارية. وأضاف ممثل VNCERT/CC: "باستهدافه VMware ESXi، يُمكن لـ Eldorado إيقاف تشغيل وتشفير الأجهزة الافتراضية، مما يُعطل تشغيل البنية التحتية الافتراضية بأكملها".

في الواقع، يحظى برنامج VMware ESXi للمدير الافتراضي ونظام تشغيل Windows بشعبية واسعة في فيتنام. لذلك، ولضمان أمن المعلومات لنظام معلومات الوحدة، والمساهمة في ضمان سلامة الفضاء الإلكتروني في فيتنام، يوصي مركز VNCERT/CC ببعض الخطوات التي يجب على المسؤولين تنفيذها.

على وجه التحديد، يحتاج مسؤولو أنظمة المعلومات في الوكالات والمؤسسات والشركات التي تستخدم VMware ESXi وWindows إلى نشر مصادقة متعددة العوامل بالإضافة إلى حلول الوصول القائمة على بيانات الاعتماد؛ واستخدام مراقبة أمان نظام EDR لتحديد مؤشرات برامج الفدية والاستجابة لها بسرعة؛ والنسخ الاحتياطي للبيانات بانتظام لتقليل الضرر وفقدان البيانات.

وبالإضافة إلى ذلك، يُنصح المسؤولون أيضًا باستخدام حلول التحليل القائمة على الذكاء الاصطناعي وتقنية الكشف عن البرامج الضارة المتقدمة للكشف عن عمليات الاختراق والاستجابة لها في الوقت الفعلي؛ مع التركيز على تحديث تصحيحات الأمان بشكل دوري لإصلاح ثغرات النظام.

بالإضافة إلى الاهتمام بالدعاية وتدريب الموظفين على كيفية التعرف على تهديدات الأمن السيبراني والإبلاغ عنها، يوصى أيضًا للوكالات والمنظمات والشركات بإجراء عمليات تدقيق فنية سنوية أو تقييمات أمنية.