Cảnh báo Ransomware Eldorado mới nhắm vào Windows, VMware ESXi VM

Thông tin về lỗ hổng

Một loại ransomware dạng dịch vụ (RaaS) mới có tên Eldorado xuất hiện vào tháng 3 và đi kèm với các biến thể locker dành cho VMware ESXi và Windows.

Các nhà nghiên cứu tại công ty an ninh mạng Group-IB đã theo dõi hoạt động của Eldorado và nhận thấy những người điều hành nhóm hacker này quảng bá dịch vụ độc hại trên diễn đàn RAMP và tìm kiếm những thành viên có kỹ năng để tham gia các cuộc tấn công.

Eldorado cũng điều hành một trang web rò rỉ dữ liệu liệt kê các nạn nhân nhưng trang web này đã ngừng hoạt động tại thời điểm viết bài.

Mã hóa Windows và Linux

Eldorado là một loại ransomware được viết bằng ngôn ngữ lập trình Go, có khả năng mã hóa cả các hệ điều hành Windows và Linux thông qua hai biến thể riêng biệt có sự tương đồng vận hành rộng rãi.

Các nhà nghiên cứu đã lấy được từ nhà phát triển một bộ mã hóa, đi kèm với hướng dẫn sử dụng cho biết có các phiên bản 32/64 bit dành cho trình quản lý ảo VMware ESXi và Windows.

Group-IB cho biết Eldorado là một dự án phát triển độc đáo “và không dựa vào các nguồn thông tin xây dựng đã công bố trước đó”.

Phần mềm độc hại sử dụng thuật toán ChaCha20 để mã hóa và tạo ra một khóa 32 byte duy nhất và nonce 12 byte cho mỗi tệp bị khóa. Sau đó, các khóa và nonce được mã hóa bằng RSA với sơ đồ Optimal Asymmetric Encryption Padding (OAEP).

Sau giai đoạn mã hóa, các tệp được thêm phần mở rộng “.00000001” và ghi chú tiền chuộc có tên “HOW_RETURN_YOUR_DATA.TXT” được đưa vào thư mục Documents và Desktop.

Eldorado cũng mã hóa các chia sẻ mạng bằng giao thức truyền thông SMB để tối đa hóa tác động của nó và xóa các bản sao ổ đĩa bóng trên các máy Windows bị xâm phạm để ngăn chặn việc khôi phục.

Phần mềm tống tiền này bỏ qua các tệp DLL, LNK, SYS và EXE, cũng như các tệp và thư mục liên quan đến khởi động hệ thống và chức năng cơ bản để ngăn chặn việc khiến hệ thống không thể khởi động/sử dụng được.

Cuối cùng, nó được thiết lập mặc định để tự xóa nhằm tránh bị nhóm phản ứng phát hiện và phân tích.

Theo các nhà nghiên cứu của Group-IB, những người đã thâm nhập vào hoạt động này, các chi nhánh có thể tùy chỉnh các cuộc tấn công của họ. Ví dụ, trên Windows, họ có thể chỉ định thư mục nào để mã hóa, bỏ qua các tệp cục bộ, nhắm mục tiêu vào các chia sẻ mạng trên các mạng con cụ thể và ngăn chặn việc tự xóa phần mềm độc hại.

Tuy nhiên, trên Linux, các thông số tùy chỉnh dừng lại ở việc thiết lập các thư mục để mã hóa.

Khuyến nghị

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, VNCERT/CC khuyến nghị quản trị viên được khuyến cáo nên thực hiện những bước sau:

- Triển khai xác thực đa yếu tố (MFA) và các giải pháp truy cập dựa trên thông tin xác thực.
- Sử dụng tính năng EDR để nhanh chóng xác định và phản hồi các chỉ báo về phần mềm tống tiền.
- Sao lưu dữ liệu thường xuyên để giảm thiểu thiệt hại và mất dữ liệu.
- Sử dụng phân tích dựa trên AI và công nghệ phát hiện phần mềm độc hại tiên tiến để phát hiện và phản hồi xâm nhập theo thời gian thực.
- Ưu tiên và áp dụng các bản vá bảo mật định kỳ để khắc phục lỗ hổng.
- Giáo dục và đào tạo nhân viên cách nhận biết và báo cáo các mối đe dọa an ninh mạng.
- Tiến hành kiểm toán kỹ thuật hoặc đánh giá bảo mật hàng năm và duy trì vệ sinh kỹ thuật số.
- Không nên trả tiền chuộc vì điều này hiếm khi đảm bảo khôi phục dữ liệu và có thể dẫn đến nhiều cuộc tấn công hơn.