Según el Centro de Respuesta a Emergencias Cibernéticas de Vietnam - VNCERT/CC bajo el Departamento de Seguridad de la Información (Ministerio de Información y Comunicaciones), Eldorado es un nuevo tipo de ransomware como servicio - RaaS, que apareció en marzo y viene con variantes para el administrador virtual VMware ESXi y el sistema operativo Windows.
Group-IB ha estado monitoreando las actividades de Eldorado y descubrió que los operadores de este grupo de ransomware han estado promocionando el servicio malicioso en el foro RAMP en busca de miembros capacitados para participar en campañas de ciberataques.
VNCERT/CC agregó que el malware Eldorado está escrito en el lenguaje de programación Go, capaz de cifrar los sistemas operativos Windows y Linux a través de dos variantes separadas con amplias similitudes operativas.
La investigación de Group-IB también muestra que el malware utiliza el algoritmo ChaCha20 para el cifrado. Después de la etapa de cifrado, a los archivos se les añade la extensión “.00000001” y se coloca una nota de rescate llamada “HOW_RETURN_YOUR_DATA.TXT” en las carpetas Documentos y Escritorio.
Eldorado también cifra los recursos compartidos de red mediante el protocolo de comunicación SMB para maximizar su impacto y elimina copias de seguridad de las unidades en las máquinas Windows comprometidas para evitar la recuperación. No sólo eso, el malware también está configurado para eliminarse automáticamente de forma predeterminada, con el objetivo de evitar su detección y análisis por parte del equipo de respuesta.
Respecto al nivel de peligrosidad de Eldorado, VNCERT/CC afirmó: Este malware es capaz de encriptar archivos tanto en sistemas Windows como VMware ESXi, interrumpiendo el funcionamiento de servidores y estaciones de trabajo; Esto podría provocar la imposibilidad de acceder a datos y servicios críticos, interrumpiendo las operaciones comerciales. “Al atacar VMware ESXi, Eldorado puede apagar y cifrar máquinas virtuales, interrumpiendo el funcionamiento de toda la infraestructura de virtualización”, agregó un representante de VNCERT/CC.
De hecho, el administrador virtual VMware ESXi y el sistema operativo Windows son bastante populares en Vietnam. Por lo tanto, para garantizar la seguridad de la información del sistema de información de la unidad, contribuyendo a garantizar la seguridad del ciberespacio de Vietnam, VNCERT/CC recomienda una serie de pasos que los administradores deben implementar.
En concreto, los administradores de sistemas de información de agencias, organizaciones y empresas que utilizan VMware ESXi y Windows necesitan implementar autenticación multifactor, así como soluciones de acceso basadas en credenciales; Utilice la supervisión de seguridad del sistema EDR para identificar y responder rápidamente a los indicadores de ransomware; Realice copias de seguridad de sus datos periódicamente para minimizar los daños y la pérdida de datos.
Además de eso, también se recomienda a los administradores utilizar soluciones de análisis basadas en inteligencia artificial y tecnología avanzada de detección de malware para detectar y responder a las intrusiones en tiempo real; Concéntrese en actualizar periódicamente los parches de seguridad para corregir las vulnerabilidades del sistema.
Además de prestar atención a la propaganda y capacitar al personal sobre cómo reconocer y denunciar las amenazas a la ciberseguridad, también se recomienda a las agencias, organizaciones y empresas que realicen auditorías técnicas o evaluaciones de seguridad anuales.
[anuncio_2]
Fuente: https://kinhtedothi.vn/canh-giac-voi-ma-doc-ma-hoa-du-lieu-moi.html
Kommentar (0)