ระวังมัลแวร์เข้ารหัสข้อมูลชนิดใหม่

ตามข้อมูลจากศูนย์ตอบสนองเหตุฉุกเฉินทางไซเบอร์ของเวียดนาม (VNCERT/CC) ภายใต้กรมความปลอดภัยข้อมูล (กระทรวงสารสนเทศและการสื่อสาร) Eldorado เป็นแรนซัมแวร์รูปแบบใหม่ในรูปแบบ RaaS ซึ่งเปิดตัวในเดือนมีนาคมและมาพร้อมกับตัวแปรสำหรับตัวจัดการเสมือนของ VMware ESXi และระบบปฏิบัติการ Windows

Group-IB ได้ติดตามกิจกรรมของ Eldorado และพบว่าผู้ดำเนินการกลุ่มแรนซัมแวร์นี้ได้ส่งเสริมบริการที่เป็นอันตรายบนฟอรัม RAMP เพื่อค้นหาสมาชิกที่มีทักษะในการเข้าร่วมในแคมเปญโจมตีทางไซเบอร์

VNCERT/CC เสริมว่ามัลแวร์ Eldorado เขียนด้วยภาษาการเขียนโปรแกรม Go ซึ่งสามารถเข้ารหัสระบบปฏิบัติการทั้ง Windows และ Linux ผ่านตัวแปรแยกกันสองตัวที่มีความคล้ายคลึงกันในการทำงานในวงกว้าง

การวิจัยของ Group-IB ยังแสดงให้เห็นอีกว่ามัลแวร์ใช้อัลกอริทึม ChaCha20 ในการเข้ารหัส หลังจากขั้นตอนการเข้ารหัส ไฟล์ต่างๆ จะถูกผนวกด้วยนามสกุลไฟล์ “.00000001” และมีบันทึกเรียกค่าไถ่ชื่อ “HOW_RETURN_YOUR_DATA.TXT” วางไว้ในโฟลเดอร์เอกสารและเดสก์ท็อป

Eldorado ยังเข้ารหัสการแชร์เครือข่ายโดยใช้โปรโตคอลการสื่อสาร SMB เพื่อเพิ่มผลกระทบให้สูงสุด และลบสำเนาเงาของไดรฟ์บนเครื่อง Windows ที่ถูกบุกรุกเพื่อป้องกันการกู้คืน ไม่เพียงเท่านั้น มัลแวร์ยังถูกตั้งค่าให้ลบตัวเองตามค่าเริ่มต้นด้วย เพื่อหลีกเลี่ยงการตรวจจับและการวิเคราะห์โดยทีมตอบสนอง

เกี่ยวกับระดับความอันตรายของ Eldorado ทาง VNCERT/CC กล่าวว่า มัลแวร์ตัวนี้สามารถเข้ารหัสไฟล์ได้ทั้งบนระบบ Windows และ VMware ESXi โดยรบกวนการทำงานของเซิร์ฟเวอร์และเวิร์กสเตชัน อาจส่งผลให้ไม่สามารถเข้าถึงข้อมูลและบริการที่สำคัญได้ ส่งผลให้การดำเนินธุรกิจหยุดชะงัก “ด้วยการกำหนดเป้าหมายไปที่ VMware ESXi, Eldorado จะสามารถปิดและเข้ารหัสเครื่องเสมือน ซึ่งจะรบกวนการทำงานของโครงสร้างพื้นฐานเสมือนจริงทั้งหมด” ตัวแทนจาก VNCERT/CC กล่าวเสริม

ในความเป็นจริง ตัวจัดการเสมือนของ VMware ESXi และระบบปฏิบัติการ Windows ได้รับความนิยมอย่างมากในเวียดนาม ดังนั้น เพื่อให้แน่ใจว่าระบบสารสนเทศของหน่วยงานมีความปลอดภัยข้อมูล และมีส่วนช่วยในการรักษาความปลอดภัยของไซเบอร์สเปซของเวียดนาม VNCERT/CC จึงแนะนำขั้นตอนต่างๆ ที่ผู้ดูแลระบบต้องดำเนินการ

โดยเฉพาะอย่างยิ่งผู้ดูแลระบบสารสนเทศของหน่วยงาน องค์กร และบริษัทต่างๆ ที่ใช้ VMware ESXi และ Windows จะต้องปรับใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย รวมถึงโซลูชันการเข้าถึงตามข้อมูลประจำตัว ใช้การตรวจสอบความปลอดภัยระบบ EDR เพื่อระบุและตอบสนองต่อตัวบ่งชี้ของแรนซัมแวร์อย่างรวดเร็ว สำรองข้อมูลของคุณเป็นประจำเพื่อลดความเสียหายและสูญหายของข้อมูล

นอกจากนั้น ผู้ดูแลระบบยังได้รับคำแนะนำให้ใช้โซลูชันวิเคราะห์ที่ใช้ AI และเทคโนโลยีการตรวจจับมัลแวร์ขั้นสูงเพื่อตรวจจับและตอบสนองต่อการบุกรุกแบบเรียลไทม์อีกด้วย เน้นการอัปเดตแพตช์ความปลอดภัยเป็นประจำเพื่อแก้ไขช่องโหว่ของระบบ

นอกจากการให้ความสำคัญกับการโฆษณาชวนเชื่อและการฝึกอบรมพนักงานเกี่ยวกับวิธีการรับรู้และรายงานภัยคุกคามทางไซเบอร์แล้ว ยังแนะนำให้หน่วยงาน องค์กร และธุรกิจต่างๆ ดำเนินการตรวจสอบทางเทคนิคหรือการประเมินความปลอดภัยประจำปีด้วย