Waspadai malware enkripsi data baru

Menurut Pusat Tanggap Darurat Siber Vietnam - VNCERT/CC di bawah Departemen Keamanan Informasi ( Kementerian Informasi dan Komunikasi ), Eldorado adalah jenis baru ransomware sebagai layanan - RaaS, yang muncul pada bulan Maret dan hadir dengan varian untuk manajer virtual VMware ESXi dan sistem operasi Windows.

Group-IB telah memantau aktivitas Eldorado dan menemukan bahwa operator kelompok ransomware ini telah mempromosikan layanan jahat di forum RAMP untuk mencari anggota terampil guna berpartisipasi dalam kampanye serangan siber.

VNCERT/CC menambahkan bahwa malware Eldorado ditulis dalam bahasa pemrograman Go, yang mampu mengenkripsi sistem operasi Windows dan Linux melalui dua varian terpisah dengan kesamaan operasional yang luas.

Riset Group-IB juga menemukan bahwa malware tersebut menggunakan algoritma ChaCha20 untuk enkripsi. Setelah proses enkripsi, berkas dengan ekstensi ".00000001" ditambahkan dan pesan tebusan bernama "HOW_RETURN_YOUR_DATA.TXT" ditempatkan di folder Dokumen dan Desktop.

Eldorado juga mengenkripsi berbagi jaringan menggunakan protokol komunikasi SMB untuk memaksimalkan dampaknya dan menghapus salinan bayangan drive pada mesin Windows yang disusupi untuk mencegah pemulihan. Lebih lanjut, malware ini diatur untuk menghancurkan dirinya sendiri secara default, dalam upaya menghindari deteksi dan analisis oleh tim tanggap darurat.

Mengenai tingkat bahaya Eldorado, VNCERT/CC menyatakan: Malware ini mampu mengenkripsi berkas di sistem Windows dan VMware ESXi, mengganggu pengoperasian server dan workstation; hal ini dapat menyebabkan data dan layanan penting tidak dapat diakses, sehingga mengganggu operasional bisnis. "Dengan menyerang VMware ESXi, Eldorado dapat mematikan dan mengenkripsi mesin virtual, mengganggu pengoperasian seluruh infrastruktur virtualisasi," tambah perwakilan VNCERT/CC.

Faktanya, manajer virtual VMware ESXi dan sistem operasi Windows cukup populer di Vietnam. Oleh karena itu, untuk memastikan keamanan informasi bagi sistem informasi unit, yang berkontribusi pada keamanan dunia maya Vietnam, VNCERT/CC merekomendasikan beberapa langkah yang perlu diterapkan oleh administrator.

Secara khusus, administrator sistem informasi lembaga, organisasi, dan perusahaan yang menggunakan VMware ESXi dan Windows perlu menerapkan autentikasi multifaktor serta solusi akses berbasis kredensial; menggunakan pemantauan keamanan sistem EDR untuk mengidentifikasi dan merespons indikator ransomware dengan cepat; dan mencadangkan data secara berkala untuk meminimalkan kerusakan dan kehilangan data.

Selain itu, administrator juga disarankan untuk menggunakan solusi analisis berbasis AI dan teknologi deteksi malware canggih untuk mendeteksi dan menanggapi intrusi secara real time; dengan berfokus pada pembaruan patch keamanan secara berkala untuk memperbaiki kerentanan sistem.

Selain memperhatikan propaganda dan pelatihan staf tentang cara mengenali dan melaporkan ancaman keamanan siber, lembaga, organisasi, dan bisnis juga disarankan untuk melakukan audit teknis tahunan atau penilaian keamanan.