Yeni veri şifreleme kötü amaçlı yazılımlarına dikkat edin

Bilgi Güvenliği Departmanına ( Bilgi ve İletişim Bakanlığı ) bağlı Vietnam Siber Acil Durum Müdahale Merkezi - VNCERT/CC'ye göre Eldorado, Mart ayında ortaya çıkan ve VMware ESXi sanal yöneticisi ve Windows işletim sistemi için varyantları bulunan RaaS adlı yeni bir hizmet olarak fidye yazılımı türüdür.

Group-IB, Eldorado'nun faaliyetlerini izliyor ve bu fidye yazılımı grubunun operatörlerinin, siber saldırı kampanyalarına katılacak yetenekli üyeler bulmak amacıyla RAMP forumunda kötü amaçlı hizmeti teşvik ettiğini tespit etti.

VNCERT/CC, Eldorado kötü amaçlı yazılımının Go programlama dilinde yazıldığını ve geniş operasyonel benzerliklere sahip iki ayrı varyantla hem Windows hem de Linux işletim sistemlerini şifreleyebildiğini ekledi.

Group-IB'nin araştırması ayrıca, kötü amaçlı yazılımın şifreleme için ChaCha20 algoritmasını kullandığını ortaya koydu. Şifreleme aşamasından sonra dosyalara ".00000001" uzantısı ekleniyor ve Belgeler ve Masaüstü klasörlerine "HOW_RETURN_YOUR_DATA.TXT" adlı bir fidye notu yerleştiriliyor.

Eldorado ayrıca, etkisini en üst düzeye çıkarmak için SMB iletişim protokolünü kullanarak ağ paylaşımlarını şifreler ve kurtarmayı önlemek için ele geçirilmiş Windows bilgisayarlarındaki sürücülerin gölge kopyalarını siler. Ayrıca, kötü amaçlı yazılım, müdahale ekipleri tarafından tespit edilip analiz edilmekten kaçınmak amacıyla varsayılan olarak kendi kendini imha edecek şekilde ayarlanmıştır.

VNCERT/CC, Eldorado'nun tehlike seviyesi hakkında şunları söyledi: Bu kötü amaçlı yazılım, hem Windows hem de VMware ESXi sistemlerindeki dosyaları şifreleyerek sunucuların ve iş istasyonlarının işleyişini aksatabilir; bu da önemli veri ve hizmetlere erişilememesine ve iş operasyonlarının aksamasına yol açabilir. VNCERT/CC temsilcisi , "VMware ESXi'yi hedef alan Eldorado, sanal makineleri kapatıp şifreleyerek tüm sanallaştırma altyapısının işleyişini aksatabilir," diye ekledi.

Aslında, VMware ESXi sanal yöneticisi ve Windows işletim sistemi Vietnam'da oldukça popüler. Bu nedenle, birimin bilgi sisteminin bilgi güvenliğini sağlamak ve Vietnam siber alanının güvenliğini sağlamaya katkıda bulunmak için VNCERT/CC, yöneticilerin uygulaması gereken bazı adımları önermektedir.

Özellikle VMware ESXi ve Windows kullanan kurum, kuruluş ve işletmelerin bilgi sistemi yöneticilerinin, çok faktörlü kimlik doğrulamanın yanı sıra kimlik bilgisi tabanlı erişim çözümlerini de devreye almaları; fidye yazılımı göstergelerini hızla tespit edip bunlara yanıt vermek için EDR sistem güvenlik izlemesini kullanmaları ve hasarı ve veri kaybını en aza indirmek için verileri düzenli olarak yedeklemeleri gerekmektedir.

Bununla birlikte, yöneticilere gerçek zamanlı olarak saldırıları tespit edip yanıtlamak için yapay zeka tabanlı analiz çözümlerini ve gelişmiş kötü amaçlı yazılım tespit teknolojilerini kullanmaları, sistem açıklarını gidermek için güvenlik yamalarını periyodik olarak güncellemeye odaklanmaları da tavsiye ediliyor.

Siber güvenlik tehditlerini nasıl tanıyacakları ve bildirecekleri konusunda personele eğitim verilmesi ve propagandaya dikkat edilmesinin yanı sıra, kurum, kuruluş ve işletmelerin yıllık teknik denetimler veya güvenlik değerlendirmeleri yapmaları da önerilmektedir.