Nóng trên mạng

Cẩn trọng với mã độc mã hóa dữ liệu mới nhắm vào Windows, VMware ESXi VM

  • Tác giả : Giang Thu
Eldorado là một loại ransomware dạng dịch vụ - RaaS mới, xuất hiện vào tháng 3 và đi kèm với các biến thể dành cho trình quản lý ảo VMware ESXi và hệ điều hành Windows.

Mã độc mã hóa dữ liệu tống tiền – ransomware đã và đang là mối nguy lớn với nhiều tổ chức, doanh nghiệp tại Việt Nam cũng như trên toàn cầu. Trong nửa đầu năm nay, không gian mạng Việt Nam xảy ra một số sự cố tấn công ransomware gây thiệt hại và làm gián đoạn dịch vụ trực tuyến của các cơ quan, tổ chức, doanh nghiệp hoạt động trong lĩnh vực chứng khoán, năng lượng, viễn thông và logistics.

Theo Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam – VNCERT/CC thuộc Cục An toàn thông tin (Bộ TT&TT), Eldorado là một loại ransomware dạng dịch vụ - RaaS mới, xuất hiện vào tháng 3 và đi kèm với các biến thể dành cho trình quản lý ảo VMware ESXi và hệ điều hành Windows.

Cẩn trọng với mã độc mã hóa dữ liệu mới nhắm vào Windows, VMware ESXi VM. Ảnh VNCERT/CC

Cẩn trọng với mã độc mã hóa dữ liệu mới nhắm vào Windows, VMware ESXi VM. Ảnh VNCERT/CC

Group-IB đã theo dõi hoạt động của Eldorado và nhận thấy những người điều hành nhóm tấn công ransomware này đã quảng bá dịch vụ độc hại trên diễn đàn RAMP nhằm tìm kiếm những thành viên có kỹ năng tham gia các chiến dịch tấn công mạng.

VNCERT/CC cũng cho biết, mã độc Eldorado được viết bằng ngôn ngữ lập trình Go, có khả năng mã hóa cả các hệ điều hành Windows và Linux thông qua 2 biến thể riêng biệt có sự tương đồng vận hành rộng rãi.

Nghiên cứu của Group-IB cũng chỉ ra rằng, phần mềm độc hại này sử dụng thuật toán ChaCha20 để mã hóa. Sau giai đoạn mã hóa, các tệp được thêm phần mở rộng “.00000001” và ghi chú tiền chuộc có tên “HOW_RETURN_YOUR_DATA.TXT” được đưa vào thư mục Documents và Desktop.

Eldorado cũng mã hóa các chia sẻ mạng bằng giao thức truyền thông SMB để tối đa hóa tác động của nó và xóa các bản sao ổ đĩa bóng trên các máy Windows bị xâm phạm để ngăn chặn việc khôi phục. Không những thế, phần mềm độc hại còn được thiết lập mặc định để tự xóa, với mục đích tránh bị nhóm phản ứng phát hiện và phân tích.

"Mã độc này có khả năng mã hóa các tệp trên cả hệ thống Windows và VMware ESXi, gây gián đoạn hoạt động của các máy chủ và máy trạm; điều này có thể dẫn đến tình trạng không thể truy cập dữ liệu và dịch vụ quan trọng, làm gián đoạn hoạt động kinh doanh. Nhắm vào VMware ESXi, Eldorado có thể tắt và mã hóa các máy ảo, làm gián đoạn hoạt động của toàn bộ cơ sở hạ tầng ảo hóa”, đại diện VNCERT/CC thông tin.

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, VNCERT/CC khuyến nghị quản trị viên được khuyến cáo nên thực hiện những bước sau:

Triển khai xác thực đa yếu tố (MFA) và các giải pháp truy cập dựa trên thông tin xác thực.

Sử dụng tính năng EDR để nhanh chóng xác định và phản hồi các chỉ báo về phần mềm tống tiền.

Sao lưu dữ liệu thường xuyên để giảm thiểu thiệt hại và mất dữ liệu.

Sử dụng phân tích dựa trên AI và công nghệ phát hiện phần mềm độc hại tiên tiến để phát hiện và phản hồi xâm nhập theo thời gian thực.

Ưu tiên và áp dụng các bản vá bảo mật định kỳ để khắc phục lỗ hổng.

Giáo dục và đào tạo nhân viên cách nhận biết và báo cáo các mối đe dọa an ninh mạng.

Tiến hành kiểm toán kỹ thuật hoặc đánh giá bảo mật hàng năm và duy trì vệ sinh kỹ thuật số.

Không nên trả tiền chuộc vì điều này hiếm khi đảm bảo khôi phục dữ liệu và có thể dẫn đến nhiều cuộc tấn công hơn.

Giang Thu

BẢN DESKTOP