新しいデータ暗号化マルウェアに注意

情報通信省情報セキュリティ局傘下のベトナムサイバー緊急対応センター（VNCERT/CC）によると、Eldoradoは3月に登場した新しいタイプのサービスとしてのランサムウェア（RaaS）であり、VMware ESXi仮想マネージャーとWindowsオペレーティングシステム向けの亜種が登場している。

Group-IB は Eldorado の活動を監視しており、このランサムウェア グループの運営者が、サイバー攻撃キャンペーンに参加する熟練したメンバーを探すために RAMP フォーラムで悪意のあるサービスを宣伝していることを発見しました。

VNCERT/CCは、エルドラドマルウェアはGoプログラミング言語で書かれており、動作に幅広い類似性を持つ2つの異なる亜種を通じてWindowsとLinuxの両方のオペレーティングシステムを暗号化できると付け加えた。

Group-IBの調査では、このマルウェアが暗号化にChaCha20アルゴリズムを使用していることも判明しました。暗号化後、ファイルに「.00000001」という拡張子が付けられ、「HOW_RETURN_YOUR_DATA.TXT」という身代金要求メッセージがドキュメントフォルダとデスクトップフォルダに配置されます。

Eldoradoは、その効果を最大化するためにSMB通信プロトコルを使用してネットワーク共有を暗号化し、感染したWindowsマシン上のドライブのシャドウコピーを削除して復元を阻止します。さらに、このマルウェアはデフォルトで自己破壊するように設定されており、対応チームによる検出と分析を回避しようとしています。

Eldoradoの危険度について、VNCERT/CCは次のように述べています。「このマルウェアは、WindowsとVMware ESXiの両方のシステム上のファイルを暗号化し、サーバーやワークステーションの動作を妨害します。これにより、重要なデータやサービスへのアクセスが不可能になり、業務に支障をきたす可能性があります。」VNCERT/CCの担当者は、「VMware ESXiを標的とするEldoradoは、仮想マシンをシャットダウンして暗号化し、仮想化インフラ全体の動作を妨害する可能性があります」と付け加えました。

実際、ベトナムではVMware ESXi仮想マネージャとWindowsオペレーティングシステムが非常に普及しています。そのため、VNCERT/CCは、部隊の情報システムの情報セキュリティを確保し、ベトナムのサイバースペースの安全確保に貢献するために、管理者が実施すべきいくつかの対策を推奨しています。

具体的には、VMware ESXi および Windows を使用している機関、組織、企業の情報システムの管理者は、多要素認証と資格情報ベースのアクセス ソリューションを導入し、EDR システムのセキュリティ監視を使用してランサムウェアの兆候を迅速に特定して対応し、定期的にデータをバックアップして損害とデータ損失を最小限に抑える必要があります。

それに加えて、管理者は AI ベースの分析ソリューションと高度なマルウェア検出テクノロジーを使用して侵入をリアルタイムで検出して対応し、システムの脆弱性を修正するためにセキュリティ パッチを定期的に更新することに重点を置くことが推奨されます。

政府機関、組織、および企業は、サイバーセキュリティの脅威を認識し報告する方法についての宣伝やスタッフのトレーニングに注意を払うだけでなく、毎年の技術監査やセキュリティ評価を実施することも推奨されます。