Selon le Centre de réponse aux urgences cybernétiques du Vietnam - VNCERT/CC, dépendant du Département de la sécurité de l'information (ministère de l'Information et des Communications), Eldorado est un nouveau type de ransomware en tant que service - RaaS, qui est apparu en mars et est livré avec des variantes pour le gestionnaire virtuel VMware ESXi et le système d'exploitation Windows.
Group-IB a surveillé les activités d'Eldorado et a découvert que les opérateurs de ce groupe de ransomware faisaient la promotion du service malveillant sur le forum RAMP à la recherche de membres qualifiés pour participer à des campagnes de cyberattaques.
VNCERT/CC a ajouté que le malware Eldorado est écrit dans le langage de programmation Go, capable de crypter les systèmes d'exploitation Windows et Linux via deux variantes distinctes présentant de larges similitudes opérationnelles.
Les recherches du Group-IB montrent également que le malware utilise l’algorithme ChaCha20 pour le cryptage. Après l'étape de cryptage, les fichiers sont complétés avec l'extension « .00000001 » et une note de rançon nommée « COMMENT RETOURNER_VOS_DONNEES.TXT » est placée dans les dossiers Documents et Bureau.
Eldorado crypte également les partages réseau à l'aide du protocole de communication SMB pour maximiser son impact et supprime les copies fantômes des lecteurs sur les machines Windows compromises pour empêcher la récupération. De plus, le logiciel malveillant est également configuré pour s’auto-supprimer par défaut, dans le but d’éviter la détection et l’analyse par l’équipe d’intervention.
Concernant le niveau de dangerosité d'Eldorado, VNCERT/CC a déclaré : Ce malware est capable de crypter des fichiers sur les systèmes Windows et VMware ESXi, perturbant ainsi le fonctionnement des serveurs et des postes de travail ; Cela pourrait entraîner l’impossibilité d’accéder aux données et services critiques, perturbant ainsi les opérations commerciales. « En ciblant VMware ESXi, Eldorado peut arrêter et crypter les machines virtuelles, perturbant ainsi le fonctionnement de l'ensemble de l'infrastructure de virtualisation », a ajouté un représentant de VNCERT/CC.
En fait, le gestionnaire virtuel VMware ESXi et le système d’exploitation Windows sont très populaires au Vietnam. Par conséquent, pour assurer la sécurité des informations du système d'information de l'unité, contribuant ainsi à garantir la sécurité du cyberespace vietnamien, VNCERT/CC recommande un certain nombre d'étapes que les administrateurs doivent mettre en œuvre.
Plus précisément, les administrateurs de systèmes d’information d’agences, d’organisations et d’entreprises utilisant VMware ESXi et Windows doivent déployer une authentification multifacteur ainsi que des solutions d’accès basées sur des informations d’identification ; Utilisez la surveillance de la sécurité du système EDR pour identifier et répondre rapidement aux indicateurs de ransomware ; Sauvegardez régulièrement vos données pour minimiser les dommages et la perte de données.
Parallèlement à cela, il est également conseillé aux administrateurs d’utiliser des solutions d’analyse basées sur l’IA et une technologie avancée de détection des logiciels malveillants pour détecter et répondre aux intrusions en temps réel ; Concentrez-vous sur la mise à jour régulière des correctifs de sécurité pour corriger les vulnérabilités du système.
En plus de prêter attention à la propagande et de former le personnel sur la manière de reconnaître et de signaler les menaces de cybersécurité, il est également recommandé aux agences, organisations et entreprises de procéder à des audits techniques annuels ou à des évaluations de sécurité.
Source: https://kinhtedothi.vn/canh-giac-voi-ma-doc-ma-hoa-du-lieu-moi.html
![[Photo] Le Premier ministre Pham Minh Chinh préside une conférence gouvernementale avec les localités sur la croissance économique](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/2/21/f34583484f2643a2a2b72168a0d64baa)
Comment (0)