ระวังมัลแวร์เข้ารหัสข้อมูลชนิดใหม่

ตามข้อมูลจากศูนย์ตอบสนองเหตุฉุกเฉินทางไซเบอร์ของเวียดนาม (VNCERT/CC) ภายใต้กรมความปลอดภัยข้อมูล ( กระทรวงสารสนเทศและการสื่อสาร ) Eldorado เป็นแรนซัมแวร์รูปแบบใหม่ในรูปแบบ RaaS ซึ่งเปิดตัวในเดือนมีนาคมและมาพร้อมกับตัวแปรสำหรับตัวจัดการเสมือนของ VMware ESXi และระบบปฏิบัติการ Windows

Group-IB ได้ติดตามกิจกรรมของ Eldorado และพบว่าผู้ดำเนินการกลุ่มแรนซัมแวร์นี้ได้ส่งเสริมบริการที่เป็นอันตรายบนฟอรัม RAMP เพื่อค้นหาสมาชิกที่มีทักษะในการเข้าร่วมในแคมเปญโจมตีทางไซเบอร์

VNCERT/CC เสริมว่ามัลแวร์ Eldorado เขียนด้วยภาษาการเขียนโปรแกรม Go ซึ่งสามารถเข้ารหัสระบบปฏิบัติการทั้ง Windows และ Linux ผ่านตัวแปรแยกกันสองตัวที่มีความคล้ายคลึงกันในการทำงานในวงกว้าง

นอกจากนี้ การวิจัยของ Group-IB ยังพบว่ามัลแวร์ใช้อัลกอริทึม ChaCha20 ในการเข้ารหัส หลังจากขั้นตอนการเข้ารหัสแล้ว ไฟล์ต่างๆ จะถูกเพิ่มนามสกุล “.00000001” และบันทึกเรียกค่าไถ่ชื่อ “HOW_RETURN_YOUR_DATA.TXT” จะถูกวางไว้ในโฟลเดอร์ Documents และ Desktop

นอกจากนี้ Eldorado ยังเข้ารหัสการแชร์เครือข่ายโดยใช้โปรโตคอลการสื่อสาร SMB เพื่อเพิ่มผลกระทบสูงสุด และลบสำเนาเงาของไดรฟ์บนเครื่อง Windows ที่ถูกบุกรุกเพื่อป้องกันการกู้คืน นอกจากนี้ มัลแวร์ยังถูกตั้งค่าให้ทำลายตัวเองตามค่าเริ่มต้น เพื่อพยายามหลีกเลี่ยงการตรวจจับและการวิเคราะห์โดยทีมตอบสนอง

VNCERT/CC เผยว่า มัลแวร์ตัวนี้สามารถเข้ารหัสไฟล์ได้ทั้งในระบบ Windows และ VMware ESXi ทำให้การทำงานของเซิร์ฟเวอร์และเวิร์กสเตชันหยุดชะงัก ซึ่งอาจนำไปสู่การไม่สามารถเข้าถึงข้อมูลและบริการที่สำคัญได้ ส่งผลให้การดำเนินธุรกิจหยุดชะงัก ตัวแทนของ VNCERT/CC กล่าวว่า "การกำหนดเป้าหมายไปที่ VMware ESXi ทำให้ Eldorado สามารถปิดระบบและเข้ารหัสเครื่องเสมือนได้ ทำให้การทำงานของโครงสร้างพื้นฐานเสมือนจริงทั้งหมดหยุดชะงัก"

ในความเป็นจริง ตัวจัดการเสมือน VMware ESXi และระบบปฏิบัติการ Windows ได้รับความนิยมอย่างมากในเวียดนาม ดังนั้น เพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลในระบบสารสนเทศของหน่วยงานและช่วยให้มั่นใจถึงความปลอดภัยของไซเบอร์สเปซของเวียดนาม VNCERT/CC จึงแนะนำขั้นตอนบางอย่างที่ผู้ดูแลระบบจำเป็นต้องดำเนินการ

โดยเฉพาะอย่างยิ่งผู้ดูแลระบบสารสนเทศของหน่วยงาน องค์กร และบริษัทต่างๆ ที่ใช้ VMware ESXi และ Windows จะต้องปรับใช้การตรวจสอบปัจจัยหลายประการ รวมถึงโซลูชันการเข้าถึงตามข้อมูลประจำตัว ใช้การตรวจสอบความปลอดภัยของระบบ EDR เพื่อระบุและตอบสนองต่อตัวบ่งชี้ของแรนซัมแวร์ได้อย่างรวดเร็ว และสำรองข้อมูลเป็นประจำเพื่อลดความเสียหายและการสูญเสียข้อมูลให้น้อยที่สุด

นอกจากนั้น ผู้ดูแลระบบยังได้รับคำแนะนำให้ใช้โซลูชันการวิเคราะห์ที่ใช้ AI และเทคโนโลยีการตรวจจับมัลแวร์ขั้นสูงเพื่อตรวจจับและตอบสนองการบุกรุกแบบเรียลไทม์ โดยเน้นการอัปเดตแพตช์ความปลอดภัยเป็นระยะเพื่อแก้ไขช่องโหว่ของระบบ

นอกจากการให้ความสำคัญกับการโฆษณาชวนเชื่อและการฝึกอบรมพนักงานเกี่ยวกับวิธีการรับรู้และรายงานภัยคุกคามทางไซเบอร์แล้ว ยังแนะนำให้หน่วยงาน องค์กร และธุรกิจต่างๆ ดำเนินการตรวจสอบทางเทคนิคหรือการประเมินความปลอดภัยประจำปีด้วย