정보통신부 정보보안부 산하 베트남 사이버 비상 대응 센터(VNCERT/CC)에 따르면, 엘도라도는 3월에 등장한 새로운 유형의 서비스형 랜섬웨어(RaaS)로, VMware ESXi 가상 관리자와 Windows 운영 체제에 대한 변형이 포함됩니다.

그룹-IB는 엘도라도의 활동을 모니터링해 왔으며, 이 랜섬웨어 그룹의 운영자가 사이버 공격 캠페인에 참여할 숙련된 멤버를 찾기 위해 RAMP 포럼에서 악성 서비스를 홍보하고 있다는 것을 발견했습니다.

VNCERT/CC는 Eldorado 맬웨어가 Go 프로그래밍 언어로 작성되었으며, 광범위한 운영상 유사성을 지닌 두 가지 별도의 변종을 통해 Windows 및 Linux 운영 체제를 모두 암호화할 수 있다고 덧붙였습니다.

Group-IB의 조사에 따르면 해당 맬웨어는 암호화를 위해 ChaCha20 알고리즘을 사용한다는 사실도 밝혀졌습니다. 암호화 단계가 끝나면 파일에 ".00000001" 확장자가 추가되고 "HOW_RETURN_YOUR_DATA.TXT"라는 이름의 랜섬웨어 메모가 문서 및 바탕 화면 폴더에 저장됩니다.

Eldorado는 또한 SMB 통신 프로토콜을 사용하여 네트워크 공유를 암호화하여 영향을 극대화하고 손상된 Windows 시스템의 드라이브 섀도 복사본을 삭제하여 복구를 방지합니다. 그뿐만 아니라, 해당 맬웨어는 기본적으로 자체 삭제되도록 설정되어 있어 대응팀의 감지 및 분석을 피할 수 있습니다.

Eldorado의 위험 수준에 대해 VNCERT/CC는 다음과 같이 밝혔습니다. 이 맬웨어는 Windows와 VMware ESXi 시스템 모두에서 파일을 암호화하여 서버와 워크스테이션의 작동을 방해할 수 있습니다. 이로 인해 중요한 데이터와 서비스에 액세스할 수 없게 되어 비즈니스 운영이 중단될 수 있습니다. VNCERT/CC의 한 관계자는 "Eldorado는 VMware ESXi를 표적으로 삼아 가상 머신을 종료하고 암호화하여 전체 가상화 인프라의 운영을 방해할 수 있습니다."라고 덧붙였습니다.

실제로, VMware ESXi 가상 관리자와 Windows 운영 체제는 베트남에서 매우 인기가 있습니다. 따라서 베트남 사이버 공간의 안전을 보장하는 데 기여하고 부대의 정보 시스템에 대한 정보 보안을 확보하기 위해 VNCERT/CC는 관리자가 구현해야 할 여러 가지 단계를 권장합니다.

특히, VMware ESXi 및 Windows를 사용하는 기관, 조직 및 기업의 정보 시스템 관리자는 다중 요소 인증과 자격 증명 기반 액세스 솔루션을 배포해야 합니다. EDR 시스템 보안 모니터링을 사용하여 랜섬웨어 징후를 신속하게 식별하고 대응합니다. 손상과 데이터 손실을 최소화하려면 정기적으로 데이터를 백업하세요.

이와 함께 관리자는 AI 기반 분석 솔루션과 고급 맬웨어 탐지 기술을 사용하여 침입을 실시간으로 탐지하고 대응하는 것이 좋습니다. 시스템 취약점을 해결하기 위해 보안 패치를 정기적으로 업데이트하세요.

선전에 주의를 기울이고 사이버 보안 위협을 인식하고 보고하는 방법에 대한 직원 교육을 실시하는 것 외에도 기관, 조직 및 기업은 매년 기술 감사 또는 보안 평가를 실시하는 것이 좋습니다.